174 71 5MB
German Pages 441 [442] Year 2016
Christina Kühnl Persönlichkeitsschutz 2.0
Schriften zum europäischen Urheber-, Immaterialgüter- und Informationsrecht
Herausgegeben von Prof. Dr. Karl-Nikolaus Peifer, Köln Prof. Dr. Karl Riesenhuber, M.C.J. (Austin/Texas), Bochum
EurUR Band 12
Christina Kühnl
Persönlichkeitsschutz 2.0 Profilbildung und -nutzung durch Soziale Netzwerke am Beispiel von Facebook im Rechtsvergleich zwischen Deutschland und den USA
Dr. iur. Christina Kühnl, Universität zu Köln Gedruckt mit Unterstützung der Fritz Thyssen Stiftung.
ISBN 978-3-11-048562-2 e-ISBN (PDF) 978-3-11-049587-4 e-ISBN (EPUB) 978-3-11-049285-9 Library of Congress Cataloging-in-Publication Data A CIP catalog record for this book has been applied for at the Library of Congress. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar. © 2016 Walter de Gruyter GmbH, Berlin/Boston Druck und Bindung: CPI books GmbH, Leck ♾ Gedruckt auf säurefreiem Papier Printed in Germany www.degruyter.com
Geleitwort Die EurUR-Schriftenreihe hat sich bisher auf Beiträge zum nationalen und Europäischen Urheberrecht konzentriert. Es zeigt sich immer stärker, dass urheberrechtliche Fragen eine intensive Anbindung an sämtliche Kommunikationszusammenhänge und an die übrigen Schutzmaterien des Immaterialgüterrechts erfahren. Die Entwicklung betrifft den Schutz von Kennzeichen, Logos und Designs. Zusätzliche Bedeutung für das Rechtsgebiet erhalten technische Schutzrechte. Neuerdings wird auf Ebene des Unions- und nationalen Rechts über einen Schutz von Daten nachgedacht, sei es im Bereich personenbezogener Informationen oder bei Industriedaten, die bei der Vernetzung von Produktions-, Distributions- und Kommunikationsvorgängen anfallen. Spätestens mit der Diskussion um das Phänomen der sog. „Industrie 4.0“ ist das Informationsrecht in seiner gesamten Breite adressiert. Die Herausgeber haben vor dem Hintergrund dieser Entwicklungen entschieden, den Themenbereich der Schriftenreihe auszuweiten und dies auch in der Benennung zum Ausdruck zu bringen. Die erste Schrift, die unter der neuen Bezeichnung „Schriften zum Europäischen Urheber-, Immaterialgüter- und Informationsrecht“ erscheint, ist eine an der Universität zu Köln entstandene Dissertation, die sich mit der Kommunikation und der Nutzung personenbezogener Daten innerhalb sozialer Netzwerke befasst. Die rechtsvergleichende Schrift erläutert die unterschiedlichen rechtlichen Konzepte in den USA und der Europäischen Union. Mit der bevorstehenden Anwendbarkeit der EU-Datenschutz-Grundverordnung werden Nutzung und Transfer von Informationen in der Europäischen Union grundlegend neugeordnet. Damit verbunden ist eine extraterritoriale Anwendung des Unionsrechts, die das Informationsrecht in eine neue Dimension führt. Sie berührt die Kommunikation bis hin zur Übermittlung von Kunden- und Beschäftigtendaten, kann den Informationsaustausch und den freien Fluss von Daten mithin belasten, aber auch das Vertrauen in die Nutzung von digitalen Infrastrukturen erhöhen. Die Aufnahme der Schrift in die neubenannte Reihe unterstreicht, dass diesen Rechtsproblemen in besonderer Weise Rechnung getragen werden soll. Bochum und Köln, im Juni 2016 Die Herausgeber
Meinen Eltern
Vorwort Die vorliegende Arbeit wurde von der Rechtswissenschaftlichen Fakultät der Universität zu Köln im November 2015 als Dissertation angenommen. Die bis zum Mai 2016 veröffentlichte Gesetzgebung wurde ebenso nachgetragen wie wesentliche Rechtsprechung und Literatur. Bei meinem Doktorvater Herrn Prof. Dr. Karl-Nikolaus Peifer bedanke ich mich herzlich für seine fachliche und persönliche Unterstützung sowie für das mir entgegengebrachte Vertrauen über die gesamte Dauer der Promotion. Herrn Prof. Dr. Karl-Eberhard Hain danke ich für die Bereitschaft zur Übernahme des Zweitgutachtens, die ebenso zügige wie gründliche Durchsicht meiner Arbeit und die weiterführenden Anmerkungen. Mein besonderer Dank gilt zudem Prof. Paul M. Schwartz und J.D. Chris J. Hoofnagle von der UC Berkeley, die mir während und nach meinem Forschungsaufenthalt in den USA mit ihrem Fachwissen zur Seite standen und mir wertvolle Einblicke in die US-amerikanische Sichtweise ermöglicht haben. Ich bedanke mich außerdem bei der Fritz Thyssen Stiftung für die großzügige finanzielle Unterstützung meines Forschungsaufenthalts sowie für die Übernahme der Druckkosten. Besonders danke ich Frau Miriam Resch und Herrn Dr. Dennis M. Groh für die Durchsicht meiner Arbeit und ihre hilfreiche Kritik. Ebenso danke ich Frau Nora Lorentz und Herrn Valentino Halim für ihre konstruktiven Anregungen. Meine Familie und meine Freunde haben auf vielfältige Weise zur Entstehung und Vollendung dieser Arbeit beigetragen. Dafür möchte ich an dieser Stelle meinen außerordentlichen Dank ausdrücken. Nicht genug danken kann ich Udo, ohne dessen stets liebevolle, geduldige, persönliche und lektorierende Unterstützung diese Arbeit nicht bestehen würde. Köln, im Mai 2016
Christina Kühnl
Inhaltsübersicht Einleitung
Teil :
1
Einführung
Kapitel Grundlagen
15
Kapitel Interessenanalyse
Teil :
44
Länderberichte
Kapitel Deutschland
67
Kapitel 211 USA
Teil :
Verbesserung des Privatheitsschutzes durch transatlantische Standards
Kapitel Chancen von Interoperabilität
311
Kapitel Formeller Rahmen transatlantischer Standards für Profile Sozialer Netzwerke 322 Kapitel Inhalt transatlantischer Standards für Profile Sozialer Netzwerke Kapitel Schlussbetrachtungen
353
335
Inhalt Geleitwort Vorwort
V IX
Abkürzungsverzeichnis
XXVII
Einleitung 1 I. Problemstellung und Arbeitshypothese 1 7 II. Methodik der Untersuchung III. Stand von Forschung und Rechtsprechung IV. Gang der Darstellung 11
Teil :
8
Einführung
Kapitel 15 Grundlagen A. Soziale Netzwerke 15 I. Was ist ein soziales Netzwerk? 16 17 II. Was ist ein soziales Netzwerk im Internet? B. Persönlichkeitsprofil 20 C. Profilerstellung und ‐nutzung in Sozialen Netzwerken am Beispiel von 21 Facebook I. Datensammlung 22 23 . Registrierung . Facebook-Website 23 a) Facebook-Anwendungen auf der Facebook-Website 24 b) Anwendungen Dritter auf der Facebook-Website 27 . Webseiten Dritter 27 a) Cookies 28 b) Pixel-Tags 29 c) Social Plugins 30 d) Open Graph 31 . Von Dritten bereitgestellte Daten 31 32 . Zusammenfassung II. Analyse der gesammelten Daten zu Profilbildungszwecken 32 . Analysefelder 32
XIV
Inhalt
. Analysemethode: Knowledge Discovery in Databases 36 a) Clustering b) Klassifikation 37 c) Assoziationsregeln 37 d) Generalisierung 38 38 e) Evaluation . Konsequenzen 39 39 III. Kommerzielle Profilnutzung . Werbung 40 . Weitergabe statistischer Daten zur Reichweitenanalyse 41 . Künftige kommerzielle Nutzungsmöglichkeiten
35
41
Kapitel Interessenanalyse 44 A. Betreiber- und Drittinteressen an der Profilbildung und -nutzung 44 B. Privatheitsinteressen der Nutzer 46 47 I. Besteht ein Interesse an Privatheit noch? II. Ist die (kostenfreie) Nutzung wichtiger als der Schutz der eigenen Daten? 51 . Tatsächliche Nutzung 52 53 . Aussagekraft des Nutzungsverhaltens a) Uninformiertheit 55 b) Begrenzte Rationalität 57 59 c) Schlussfolgerungen . Ergebnis 60 III. Beeinträchtigung von Privatheitsinteressen der Nutzer durch Profilbildung und -nutzung 60
Teil :
Länderberichte
Kapitel Deutschland 67 A. Einführung deutscher Persönlichkeitsschutz 67 B. Verfassungsrechtliche Vorgaben 68 I. Verhältnis unions- und mitgliedsstaatlicher Grundrechte . Standpunkt des BVerfG 70 . Standpunkt des EuGH 70 . Auswirkungen der DS-GVO und Schlussfolgerungen II. Grundrechtlich geschützte Betreiber- und Drittinteressen
69
72 73
Inhalt
XV
. Grundrechtsschutz für ausländische Personen 73 a) Anwendbarkeit von Grundrechten auf ausländische 73 juristische Personen b) Allgemeine Handlungsfreiheit als Auffangtatbestand 74 . Meinungs- und Informationsfreiheit 74 75 a) Art. 5 I 1 GG b) Art. 11 GRCh 76 77 . Berufsfreiheit a) Art. 12 I GG 77 b) Art. 15 GRCh 79 80 . Eigentumsgarantie a) Art. 14 I GG 80 b) Art. 17 GRCh 81 82 . Wirtschaftliche Betätigungsfreiheit a) Art. 2 I GG 82 b) Art. 16 GRCh 83 83 . Ergebnis III. Grundrechtlich geschützte Nutzerinteressen 84 . Menschenwürdegarantie 85 a) Art. 1 I GG 85 86 aa) Vollständige Erfassung der Persönlichkeit bb) Kernbereich privater Lebensgestaltung 86 b) Art. 1 GRCh 87 88 . Allgemeines Persönlichkeitsrecht a) Vorstellung der Leitentscheidungen 89 aa) BVerfGE 65, 1, 43 – Volkszählungsurteil: Recht auf informationelle Selbstbestimmung 89 bb) BVerfGE 120, 274 – Online Durchsuchung: Vertraulichkeit und Integrität informationstechnischer Systeme 91 b) Abgrenzung der Schutzbereiche 95 aa) Streitstand 95 bb) Herleitung aus der Begründung des neuen Schutzbedarfs 96 cc) Abgrenzungsformel und Übertragung auf Soziale Netzwerke 98 c) Schutz durch die EU-Grundrechtscharta 99 . Fernmeldegeheimnis 101 a) BVerfGE 125, 260 – Vorratsdatenspeicherung 102 aa) Schutzumfang und Eingriff 103
XVI
Inhalt
bb) Schranken und Schranken-Schranken 103 104 b) Schutz durch die EU-Grundrechtscharta IV. Gesetzgeberischer Gestaltungsauftrag zur Profilbildung durch Private 105 . Vertraulichkeitsgarantien 106 a) Schutzauftrag aus der Grundrechtsausprägung der Vertraulichkeit und Integrität informationstechnischer 106 Systeme? aa) Persönlichkeitsbilder neuartiger Tiefe und Breite 107 107 bb) Anzahl mitbetroffener Personen cc) Qualitativ mit einer heimlichen Infiltration vergleichbarer Eingriff 108 109 dd) Berechtigte Vertraulichkeitserwartungen ee) Würdigung und Ergebnis 109 b) Schutzauftrag aus Art. 10 I GG 110 111 . Autonomie a) Beeinträchtigung der freien Entfaltung durch Profilbildung Sozialer Netzwerkbetreiber 111 b) Abgeleitete Vorgaben für Profile Sozialer Netzwerke 112 112 aa) Einschränkungen der Profilbildung bb) Schaffung der Voraussetzungen von Autonomie 114 cc) Reichweite des Schutzbereichs 115 116 V. Ergebnis C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes 117 I. Anwendbarkeit deutschen Datenschutzrechts 117 . Internationale Anwendbarkeit 117 a) Anwendbares Kollisionsrecht 118 aa) Zulässige Rechtswahl? 118 bb) Spezialgesetzliche Kollisionsnorm 119 b) Anwendbares Datenschutzrecht nach der Kollisionsnorm des § 1 V BDSG 120 aa) Betreiber Sozialer Netzwerke als verantwortliche Stellen 120 bb) Relevanter Standort der verantwortlichen Stelle 122 cc) Ergebnis 129 . Sachliche Anwendbarkeit 130 a) Einordnung Sozialer Netzwerke 130
Inhalt
XVII
b) Gemeinsame Anwendungsvoraussetzungen der datenschutzrechtlichen Vorschriften des TMG und 131 BDSG aa) Datenverwendung 132 bb) Personenbezogene Daten 134 140 cc) Ergebnis II. Datenschutzrechtliche Anforderungen an Profile Sozialer Netzwerkseiten 140 . Vorgaben des TMG 141 a) Spezielle Anwendungsvoraussetzung des TMG: Anbieter141 Nutzer-Verhältnis aa) Anbieter-Nutzer-Verhältnis bei Third-Party-Tools 141 bb) Ergebnis 143 144 b) Pseudonyme Nutzungsprofile nach § 15 III TMG aa) Erfasste Datenarten 144 bb) Rechtmäßig erhobene Daten 148 150 cc) Begriffsauslegung Nutzungsprofil dd) Pseudonym 152 ee) Zweckbindung 153 ff) Kein Widerspruch des Betroffenen gegen Erstellung 154 eines Nutzungsprofils gg) Datennutzung zum Zweck des Direktmarketings nach der DS-GVO 154 154 hh) Ergebnis c) Löschpflicht 155 d) Anonyme oder pseudonyme Dienstenutzung 156 e) Ergebnis 156 . Vorgaben des BDSG 157 a) Spezielle Anwendungsvoraussetzungen des BDSG 157 b) Rechtmäßigkeit der Datenerhebung 157 aa) Einordnung Sozialer Netzwerke in §§ 28, 29 BDSG 157 bb) Vorgaben des § 28 I BDSG 159 c) Rechtmäßigkeit der Datenverwendung zu Werbezwecken 160 d) Rechtmäßigkeit der Datenverwendung zu sonstigen Zwecken 160 aa) Sicherheit und Diensteoptimierung 160 bb) Weitere Geschäftsmodelle 162 e) Berichtigung und Löschpflicht, § 35 BDSG 164
XVIII
Inhalt
f) Ergebnis 165 . Unterrichtungs- und Benachrichtigungspflichten der Betreiber 166 gegenüber Nutzern . Einwilligung in Profilbildung und -nutzung 167 a) Einholung der Einwilligung 168 169 b) Wirksamkeitsvoraussetzungen der Erklärung aa) Freiwillige Einwilligung, § 4a I 1 BDSG 169 172 bb) Informierte Einwilligung, § 4a I 2 BDSG cc) Form der Einwilligung, § 13 II TMG, § 4a I 3 BDSG 175 178 dd) Hervorhebungsgebot bei AGB, § 4a I 4 BDSG ee) Widerruflichkeit 179 c) Ergebnis 179 179 . Rechtsansprüche des Betroffenen a) Auskunftsrecht, § 34 BDSG 180 b) Schadensersatzanspruch, § 7 BDSG 181 181 . Rechtmäßigkeit der Datenübermittlung in die USA a) Ungültigkeit der Safe Harbor-Entscheidung nach dem EuGH-Urteil vom 06. 10. 2015 182 aa) Ausgangsverfahren und Vorlagefragen 183 184 bb) Entscheidungsinhalt und -begründung b) Konsequenzen für die Datenübermittlung an Facebook Inc. 187 aa) Prüfung der Angemessenheit des Datenschutzniveaus 187 durch Behörden bb) Alternativen zu Safe Harbor? 188 c) Neuverhandlung von Safe Harbor 189 aa) Weitere Kritikpunkte an der bisherigen Safe HarborEntscheidung 189 bb) Verhandlungsergebnis 192 d) Ergebnis 193 . Gesamtergebnis 194 III. Zivilrechtliches allgemeines Persönlichkeitsrecht 194 . Anwendbarkeit 195 . Anwendung auf Profile 195 196 IV. Durchsetzungsmechanismen . Zivilrechtliche Rechtsdurchsetzung 196 . Hoheitliche Rechtsdurchsetzung 197 a) Ordnungsrechtliche Maßnahmen 197 aa) Sanktionsmechanismen 197
Inhalt
bb) Zuständigkeit 198 199 b) Straftatbestände . Ergebnis 200 D. Selbstregulierung 200 I. Gesetzlich vorgesehene Möglichkeiten 200 200 . Normgebende Selbstregulierung . Transparenzschaffende Selbstregulierung 202 203 II. Initiativen . FSM-Verhaltenskodex für Anbieter Sozialer Netzwerke . Safer Social Networking Principles for the EU 204 204 . Ergebnis E. Gestaltungsbedarf 205 I. Unsicherheit über die Anwendbarkeit nationalen 205 Datenschutzrechts II. Mängel des materiellen Rechts 206 . Unterschätzung pseudonymer Nutzungsprofile 206 . Unzulänglichkeit von Transparenz- und 206 Einwilligungserfordernissen a) Informiertheit 207 b) Freiwilligkeit 208 208 . Fehlende Konkretisierung der Löschpflichten . Ergebnis 209 III. Durchsetzungsdefizit prozeduraler Natur 209 210 IV. Ergebnis
XIX
204
Kapitel USA 211 A. Einführung zum US-amerikanischen Schutz der Interessen an Privacy 211 I. Rechtsquellen 211 . Common Law & Equity 211 . Kodifiziertes Recht 212 . Verhältnis Common Law und kodifiziertes Recht 213 . Selbstregulierung 213 II. Rechtsgeschichtliche Entwicklung des Schutzes der Interessen an Privacy in den USA 213 . Begriff 213 . Entwicklung der Information Privacy im Privatrecht 214 a) Right to be let alone 214 b) Common Law Privacy Torts 214
XX
Inhalt
c) Fair Information Practice Principles 215 d) Gesetzgebung zur Information Privacy von Bund und 216 Bundesstaaten B. Verfassungsrechtliche Vorgaben 217 I. Reichweite des verfassungsrechtlichen Schutzes 217 218 II. Föderaler verfassungsrechtlicher Schutz . Verfassungsrechtlich geschützte Betreiber- und Drittinteressen 218 a) Sorrell v. IMS Health 219 b) Bedeutung für Privacy-Gesetzgebung im privaten 220 Bereich aa) Datenverarbeitung und -weitergabe 221 bb) Datenerhebung 222 cc) Einordnung kostenloser Sozialer Netzwerke und Folgen 223 für die Regulierung c) Ergebnis 226 226 . Verfassungsrechtlich geschützte Nutzerinteressen a) Fourth Amendment 227 aa) United States v. Jones 228 bb) Clapper v. Amnesty International USA 230 231 cc) Klayman v. Obama und ACLU v. Clapper dd) Ergebnis 234 b) Right to Information Privacy 234 236 c) First Amendment III. Gliedstaatlicher verfassungsrechtlicher Privatheitsschutz 236 . Kaliforniens Right to Privacy 237 . Anwendung auf Profile 238 . Rechtsdurchsetzung 239 IV. Ergebnis 240 C. Föderale einfachgesetzliche Regelungen 240 I. Electronic Communications Privacy Act 241 . Rechtmäßigkeit der Datenerhebung 242 a) Cookies 243 b) Social Plugins 244 c) Ergebnis 244 245 . Rechtmäßigkeit der Datennutzung a) Praktizierte Datennutzung 245 b) Zukünftige Nutzungsmöglichkeiten 246 . Rechtsdurchsetzung 247 . Ergebnis 247
Inhalt
II. D. Die I. II. III. IV. V.
XXI
COPPA 248 248 Rolle der FTC für den Schutz von US-Privacy-Interessen Behördenstruktur 249 Zuständigkeit 249 Verfahren und weitere Befugnisse 250 253 Verfahren gegen Betreiber Sozialer Netzwerke Prüfungskriterien für Profile und ihre Anwendung 255 255 . Täuschende Geschäftspraktiken a) Prüfungskriterien 255 b) Bewertungsfaktoren zur Bestimmung der 256 Verbraucherperspektive c) Anwendung auf Profile: Information und Wahlmöglichkeit 258 258 aa) Datenerhebung auf der Facebook-Website bb) Datenerhebung auf Drittseiten 259 cc) Profilbildung 260 261 dd) Datennutzung ee) Ergebnis 262 . Unlautere Geschäftspraktiken 263 a) Dreistufentest 263 264 b) Fallgruppen und ihre Anwendung auf Profile aa) Rückwirkende Änderung 264 bb) Heimliche Sammlung sensibler Daten 265 cc) Unfaire Gestaltung von Design und 266 Voreinstellungen . EU-US Safe Harbor- bzw. Privacy Shield-Prinzipien 266 a) Informationspflicht 267 b) Wahlmöglichkeit 267 c) Anwendung auf Profile Sozialer Netzwerke 268 d) Ergebnis 268 VI. Ergebnis 269 E. Gliedstaatliche Regelungen 270 I. Einfachgesetzliche Regelungen ausgewählter Staaten 270 . California Online Privacy Protection Act 271 . California Shine the Light Act 272 272 . California Invasion of Privacy Act . Unfair Competition Laws und Uniform Deceptive Trade Practices Acts 273 . Rechtsdurchsetzung 273 . Ergebnis 274
XXII
Inhalt
II. Common Law Privacy Torts 274 274 . Intrusion into seclusion a) Eindringen in den Privatbereich 274 aa) Datenerhebung 274 bb) Profilbildung 276 277 cc) Datenweitergabe dd) Ergebnis 278 278 b) In hohem Maße beleidigend . Appropriation und Right of Publicity 279 . Disclosure 280 281 . False light . Einwilligung 281 . Rechtsdurchsetzung 282 282 . Ergebnis F. Selbstregulierung 283 I. Gesetzlich vorgesehene Möglichkeiten 283 284 II. Initiativen . OBA-Selbstregulierungsprinzipien der FTC 284 a) Erfasste Werbesysteme 285 b) Erfasste Daten 285 287 c) Vorgaben aa) Wahlmöglichkeit 287 bb) Transparenz 288 cc) Datensparsamkeit und zulässige 289 Speicherdauer d) Ergebnis 289 . Wirtschaftsinitiativen 289 a) Network Advertising Initiative (NAI) 290 b) Digital Advertising Alliance (DAA) 290 c) TRUSTe 291 III. Ergebnis 291 G. Gestaltungsbedarf 292 I. Mängel des materiellen Rechts 292 . Unzureichende Regulierung der Profilbildung Sozialer Netzwerke 293 . Unzulänglichkeit von Transparenz und Wahlmöglichkeiten 293 . Keine Löschpflichten 293 II. Durchsetzungsdefizit 294 III. Ergebnis 294
Inhalt
XXIII
H. Weißbuch der Obama-Regierung: Consumer Data Privacy in a 295 Networked World I. Diskussionsentwurf: Consumer Privacy Bill of Rights Act 296 . Privacy Bill of Rights und ihre Anwendung auf Profile 296 a) Transparenz 297 298 b) Individuelle Kontrolle c) Berücksichtigung des Kontexts 298 299 d) Erforderlichkeitsprinzip e) Datensicherheit 300 f) Einsichtnahme und Richtigkeit 300 301 g) Verantwortlichkeit . Durchsetzung des Consumer Privacy Bill of Rights Act 301 . Durchsetzbare Codes of Conduct als sicherer Hafen 301 a) Ausarbeitungsverfahren: Verhandlungslösung und 302 Registrierung b) Teilnahmevorteil „sicherer Hafen“ 303 c) Durchsetzung der Codes of Conduct durch private 303 Verwalter . Verhältnis zu sonstigen Regelungen 303 . Realisierungschancen des Consumer Privacy Bill of Rights 303 Act II. Internationale Interoperabilität datenschutzrechtlicher Regulierungen 304 305 . Gegenseitige Anerkennung . Internationale Aushandlung der Codes of Conduct 305 . Kooperation bei der Durchsetzung 306 a) Multilaterale Initiativen 306 b) Bilaterale Initiativen 307 . Ergebnis 307 III. Ergebnis 307
Teil :
Verbesserung des Privatheitsschutzes durch transatlantische Standards
Kapitel Chancen von Interoperabilität 311 A. Gründe für vereinheitlichte Standards I. Aktuelle Interessenlage 311 II. Vorteile 314
311
XXIV
Inhalt
III. Nachteile 315 316 IV. Ergebnis B. Untergesetzliche Regulierungsmöglichkeiten und ihre Eignung für Profile Sozialer Netzwerke 316 I. Verfassungs- und unionsrechtliche Vorgaben 317 318 II. Vor- und Nachteile untergesetzlicher Regelungsformen III. Freiwillige oder regulierte Selbstregulierung 319 IV. Eignung branchenweiter Regelungen für die Regulierung von 320 Profilen Sozialer Netzwerke Kapitel Formeller Rahmen transatlantischer Standards für Profile Sozialer Netzwerke 322 322 A. De lege lata I. Bestehender Verfahrensrahmen 322 II. Verbindlicher Prüfungsmaßstab 323 323 . „Common Law“ der FTC? . Angemessenheitsentscheidung der EU-Kommission 324 . Ergebnis 324 III. Erfahrungen zu Verbreitung und Durchsetzung 325 325 IV. Ergebnis B. De lege ferenda 325 I. Verfahrensrahmen 326 326 . Verhandlungslösung und Registrierung . Internationale Umsetzung 326 a) Registrierung von Codes of Conduct 326 b) Transatlantische Aushandlung mit Registrierung von Codes of Conduct 327 II. Verbindlicher Prüfungsmaßstab: CPBR 328 III. Erzielung branchenweiter Verbreitung 328 . Erhöhung der Anreize 329 a) Sicherer Hafen 329 b) Staatliche Gütesiegel 329 . Branchenweite verpflichtende Verbindlichkeit 330 a) Internationale Vorbilder 330 330 b) Negotiated Rulemaking Act, 5 U.S.C. §§ 561 – 570a . Ergebnis 331 IV. Verbesserung der Durchsetzung 331 . Kooperation der Aufsichtsbehörden 331
Inhalt
XXV
. Datenschutzaudits unabhängiger Privater 332 332 a) Regelmäßige Überprüfung b) Veröffentlichung der Ergebnisse 333 c) Transatlantisches Gütesiegel 333 C. Ergebnis 333 Kapitel 335 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke A. Vom Regelungsbereich der CoC erfasste Daten 335 B. Anforderungen an Profilbildung und ‐nutzung 336 336 I. Profilbildung und -nutzung zu Werbezwecken . Deutschland 336 . USA 337 337 a) De lege lata b) De lege ferenda 338 . Transatlantische Lösung 338 II. Profilbildung und -nutzung zu sonstigen kommerziellen 338 Zwecken . Deutschland 338 . USA 339 339 a) De lege lata b) De lege ferenda 340 . Transatlantische Lösung 340 340 III. Informationspflicht und Einholung der Einwilligung . Allgemeine Vorgaben 341 . Konkrete Vorschläge 341 a) 2-Klick-Lösung 342 b) Informationspräsentation und Auswahlmöglichkeiten 342 aa) Piktogramme 342 bb) Privacy Label 344 cc) Ergänzende Vorschläge unter Einbeziehung verhaltenswissenschaftlicher Studien 344 dd) Präsentation von Widerspruchsmöglichkeiten 348 ee) Ergebnis 349 349 c) Regelmäßige Erneuerung der Einwilligung IV. Rechtsansprüche des Betroffenen 350 C. Löschpflichten 351 D. Ergebnis 352
XXVI
Inhalt
Kapitel 353 Schlussbetrachtungen A. Verifizierung der Arbeitshypothese 353 B. Mögliche Kritikpunkte an transatlantischen Standards 355 I. Frage der tatsächlichen Realisierbarkeit 356 356 . Transatlantische Standards – eine Utopie? . Transatlantische Kooperation 356 357 II. Konsequenzen für den Einzelnen . Tatsächlicher Nutzen 357 . Individueller Datenschutz 358 Literaturverzeichnis
361
Verzeichnis sonstiger Quellen Sachregister
405
385
Abkürzungsverzeichnis Soweit hier nicht aufgeführt, werden Abkürzungen in Übereinstimmung mit dem amtlichen Gebrauch oder mit Kirchner, Abkürzungsverzeichnis der Rechtssprache, 7. Aufl., Berlin 2013 verwendet. Abb. ABC acatech ACLU ACM Admin. L. Rev. ADR ADV AELJ AEPD AER AEUV AfP AICGS AJS AK Alb. L.J. Sci. & Tech. ALI ALJ AnwZert ITR Am. U. L. Rev. APA APC APEC API Art. 29 WP ASNEF Assn. BBB BCG B.C.L. Rev. BCP BCR BDI BDSG Begr.RegE. Berkeley Tech. L.J. BfDI BGB BLM
Abbildung American Broadcasting Companies Deutsche Akademie der Technikwissenschaften American Civil Liberties Union Association for Computing Machinery Administrative Law Review Alternative Dispute Resolution Auftragsdatenverarbeitung Cardozo Arts and Entertainment Law Journal Agencia Española de Protección de Datos American Economic Review Vertrag über die Arbeitsweise der Europäischen Union Zeitschrift für Medien- und Kommunikationsrecht American Institute for Contemporary German Studies American Journal of Sociology Arbeitskreis Albany Law Journal of Science & Technology American Law Institute Administrative Law Judge AnwaltZertifikat IT-Recht American University Law Review Administrative Procedure Act Amsterdam Privacy Conference Asia Pacific Economic Cooperation Anwendungsprogrammierschnittstelle Article 29 Data Protection Working Party = Artikel-29-Datenschutzgruppe Asociación Nacional de Establecimientos Financieros de Crédito Association Better Business Bureau The Boston Consulting Group Boston College Law Review Bureau of Consumer Protection Binding Corporate Rules Bundesverband der Deutschen Industrie e.V. Bundesdatenschutzgesetz Begründung des Gesetzentwurfs der Bundesregierung Berkeley Technology Law Journal Bundesbeauftragte(r) für den Datenschutz und die Informationsfreiheit Bürgerliches Gesetzbuch Bayerische Landeszentrale für neue Medien
XXVIII
Abkürzungsverzeichnis
BMI BNA BR-Drs. BSTS BT-Drs. BUSLAW BvD Cal. Bus. & Prof. Code Cal. Const. Cal. L. Rev. CalOPPA Cardozo Arts & Ent. L.J. Cath. U. L. Rev. CBBB CBPR C.D. CEO CFAA C.F.R. CHC Chi.-Kent L. Rev. CIPA Cir. Civ. Clev. St. L. Rev. CNIL CoC CommLaw Conspectus Comm. L. & Pol’y Conn. L. Rev. Const. Cookie-RL
COPPA CPBR CPBRA CPM CPO Ct. App. CTR
Bundesministerium des Innern Bureau of National Affairs, Inc. (Bloomberg) Bundesratsdrucksache Bulletin of Science, Technology & Society Bundestagsdrucksache Business Lawyer Berufsverband der Datenschutzbeauftragten Deutschlands e.V. California Business and Professions Code California Constitution (Verfassung Kaliforniens) California Law Review California Online Privacy Protection Act Cardozo Arts and Entertainment Law Journal Catholic University Law Review Council of Better Business Bureau Cross Border Privacy Rules Central District Chief Executive Officer Computer Fraud and Abuse Act Code of Federal Regulations Coalition for Healthcare Communication Chicago-Kent Law Review California Invasion of Privacy Act Circuit Civil Code Cleveland State Law Review Commission Nationale de l‘Informatique et des Libertés Codes of Conduct CommLaw Conspectus: Journal of Communications Law and Policy Communication Law and Policy Connecticut Law Review Constitution Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz Children Online Privacy Protection Act Consumer Privacy Bill of Rights Consumer Privacy Bill of Rights Act Critical Path Method Chief Privacy Officer Court of Appeals Center For Transatlantic Relations
Abkürzungsverzeichnis
D. DAA DAJV e.V. DATATILSYNET DAV DDOW DePaul J. Art, Tech. & Intell. Prop. L. Dept. ders. DFN DG JFS DIVSI DMA DNT DOC DOS DPC DPL DSB DS-GVO
DS-GVO-E
DSK DSRL
Düsseldorfer Kreis EAID EASA EC ECIPE eco ECPA ECRL
E.D. EDAA EGBGB
XXIX
District Court Digital Advertising Alliance Deutsch-amerikanische Juristen-Vereinigung Danish Data Protection Agency Datenverarbeitung Deutscher Datenschutzrat Online-Werbung DePaul Journal of Art, Technology & Intellectual Property Law Department derselbe Deutsches Forschungsnetz Directorate-General Justice, Freedom and Security Deutsches Institut für Vertrauen und Sicherheit im Internet Direct Marketing Association Do Not Track Department of Commerce Department of State Data Protection Commissioner Data Protection Law Datenschutzbeauftragter Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (Datenschutzgrundverordnungsentwurf) Konferenz der Datenschutzbeauftragten des Bundes und der Länder Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – kurz: Datenschutzrichtlinie Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich Europäische Akademie für Informationsfreiheit und Datenschutz European Advertising Standards Alliance European Commission European Centre for International Political Economy Verband der deutschen Internetwirtschaft e.V. Electronic Communications Privacy Act Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) – kurz: E-Commerce Richtlinie oder E-Privacy-Richtlinie Eastern District European Interactive Digital Advertising Alliance Einführungsgesetz zum Bürgerlichen Gesetzbuch
XXX
EGMR Einl. EL EMRK
Abkürzungsverzeichnis
Europäischer Gerichtshof für Menschenrechte Einleitung Ergänzungslieferung Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 – kurz: Europäische Menschenrechtskonvention engl. englisch ENISA European Union Agency for Network and Information Security EP Europäisches Parlament EUR Euro EUV Vertrag über die Europäische Union FAZ Frankfurter Allgemeine Zeitung FCRA Fair Credit Reporting Act Fed. Comm. L.J. Federal Communications Law Journal FEDMA Federation of European Direct Marketing FIPPS Fair Information Practice Principles FISA Foreign Intelligence Surveillance Act FPF Future of Privacy Forum FRA European Union Agency for Fundamental Rights Front. Hum. Neurosci. Frontiers in Human Neuroscience fsm Freiwillige Selbstkontrolle Multimedia e.V. FTC Federal Trade Commission FTCA Federal Trade Commission Act Geo. L.J. The Georgetown Law Journal Geo. Mason L. Rev. George Mason Law Review Geo. Wash. L. Rev. George Washington Law Review GewO Gewerbeordnung GG Grundgesetz der Bundesrepublik Deutschland GLB Act Gramm-Leach-Bliley Act GPEN Global Privacy Enforcement Network GRCh Charta der Grundrechte der Europäischen Union, kurz: EU-Grundrechtecharta Harv. J. on Legis. Harvard Journal on Legislation Harv. J.L. & Tech. Harvard Journal of Law & Technology Harv. L. & Pol’y Rev. Harvard Law & Policy Review Harv. L. Rev. Harvard Law Review Hastings Comm. & Hastings Communications and Entertainment Law Journal Ent L.J. HIPPA Health Insurance Portability and Accountability Act HmbBfDI Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit Hous. L. Rev. Houston Law Review IAB Interactive Advertising Bureau IDPC Irish Data Protection Commissioner IDPL International Data Privacy Law IfD Institut für Demoskopie i-frame inline-frame IJOC International Journal of Communication Inc. Incorporation (Gesellschaftsform)
Abkürzungsverzeichnis
Ind. L. Rev. Int. DSK
XXXI
Indiana Law Review Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre Int’l J.L. & Info. Tech. International Journal of Law and Information Technology Intell. Prop. & Tech. Intellectual Property and Technology Law Journal L.J IPTF Internet Policy Task Force i.S.d. im Sinne des/der ISJLP I/S: A Journal of Law and Policy for the Information Society ITRB Der IT-Rechts-Berater IuKDG Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste IViR Institute for Information Law, University of Amsterdam IW Institut der deutschen Wirtschaft Köln IWGDPT International Working Group on Data Protection in Telecommunications JCMC Journal of Computer-Mediated Communication JFF Institut für Medienpädagogik in Forschung und Praxis JI-Rat Justiz- und Innenministerrat der Europäischen Union J. Internet L. Journal of Internet Law J. L. & Pol’y Journal of Law and Policy JOLTI Case Western Reserve Journal of Law, Technology & the Internet JPC Journal of Privacy and Confidentiality JRC Joint Research Centre J. Tech. L. & Pol’y Journal of Technology Law & Policy Jurimetrics J. Jurimetrics: The Journal of Law, Science, and Technology JTHTL Journal on Telecommunications and High Technology Law jurisPR-ITR Juris Praxisreport IT-Recht KDD Knowledge Discovery in Databases K&R Kommunikation und Recht KUG Kunsturhebergesetz lat. lateinisch LDSG Landesdatenschutzgesetz Schleswig-Holstein LfD Landesbeauftragte für den Datenschutz Litig. Litigation L. J. Law Journal LLC Limited Liability Company (Gesellschaftsform) Loy. L.A. Ent. L. Rev. Loyola of Los Angeles Entertainment Law Review L. Rev. Law Review LT Landtag Ltd. Limited (Gesellschaftsform) Marshall J. Computer John Marshall Journal of Computer & Information Law & Info. L. Marshall L. Rev. John Marshall Law Review Md. L. Rev. Maryland Law Review m. E. meines Erachtens Melb. U. L. Rev. Melbourne University Law Review
XXXII
Abkürzungsverzeichnis
Mich. Telecomm. & Tech. L. Rev. Minn. J.L. Sci. & Tech. Minn. L. Rev. Miss. L.J. MIT MOU NAACP NAI N.C. L. Rev. N.D. Nexus: Chap. J. L. & Pol’y N. Ill. U. L. Rev. NJOZ NRA NSA NTIA Nw. J. Tech. & Intell. Prop. Nw. U. L. Rev. N.Y.L. Sch. L. Rev. N.Y.U. Ann. Surv. Am. L. N.Y.U. L. Rev. OBA OCPM OECD OWiG Pac. McGeorge Global Bus. & Dev. L.J. PET PII PLSC PNAS PRISM Priv. & Sec. L. Rep. PSLR Pub.L. RCTLJ Rest.2d Torts Rich. J.L. & Tech. RL
Michigan Telecommunications and Technology Law Review Minnesota Journal of Law, Science & Technology Minnesota Law Review Mississippi Law Journal Massachusetts Institute of Technology Memorandum of Understanding National Association for the Advancement of Colored People Network Advertising Initiative North Carolina Law Review Northern District Nexus: Chapman’s Journal of Law & Policy Northern Illinois University Law Review Neue Juristische Online-Zeitschrift Negotiated Rulemaking Act National Security Agency National Telecommunications & Information Administration North Western Journal of Technology and Intellectual Property Northwestern University Law Review New York Law School Law Review New York University Annual Survey of American Law New York University Law Review Online Behavioral Advertisement Optimized Critical Path Method Organisation für wirtschaftliche Zusammenarbeit und Entwicklung Gesetz über Ordnungswidrigkeiten Pacific McGeorge Global Business & Development Law Journal
Privacy Enhancing Technology Personally Identifiable Information Privacy Law Scholars Conference Proceedings of the National Academy of Sciences of the United States of America Planning Tool for Resource Integration, Synchronization, and Management Privacy and Security Law Report Privacy & Security Law Report Public Law Rutgers Computer and Technology Law Journal Restatement Second of Torts Richmond Journal of Law and Technology Richtlinie
Abkürzungsverzeichnis
Rom I-VO
XXXIII
Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. 06. 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I) RStV Rundfunkstaatsvertrag SCA Stored Communications Act S. Cal. L. Rev. Southern California Law Review Sc.St.L. Scandinavian Studies in Law S.D. Southern District SDLR San Diego Law Review Sec. Section SigG Signaturgesetz SNS Social Network Service SSRN Social Science Research Network Stan. L. Rev. Stanford Law Review Stan. Tech. L. Rev. Stanford Technology Law Review StGB Strafgesetzbuch Suffolk J. Trial & App. Suffolk Journal of Trial & Appellate Advocacy Adv. SZ Süddeutsche Zeitung TACD Transatlantic Consumer Dialogue TB Tätigkeitsbericht TDDSG Teledienstedatenschutzgesetz TDG Gesetz über die Nutzung von Telediensten – Teledienstegesetz TET Transpareny-Enhancing Technologies TKG Telekommunikationsgesetz TMG Telemediengesetz TUM Technische Universität München U.C. Davis L. Rev. University of California, Davis, School of Law, Law Review U. Chi. L. Rev. University of Chicago Law Review U. Chi. Legal F. University of Chicago Legal Forum U. Cin. L. Rev. University of Cincinnati Law Review UCL Unfair Competition Law UDTPA Uniform Deceptive Trade Practices Act U. Ill. L. Rev. University of Illinois Law Review UKlaG Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein UNCTAD UN Conference on Trade and Development unv. unveröffentlicht U. Pa. J. Bus. L. University of Pennsylvania Journal of Business Law U. Pa. J. Const. L. University of Pennsylvania Journal of Constitutional Law U. Pa. L. Rev. University of Pennsylvania Law Review U. Pitt. J. Tech. L. & University of Pittsburg Journal of Law and Policy Pol’y UrhG Gesetz über Urheberrecht und verwandte Schutzrechte (Urheberrechtsgesetz) U.S.C. United States Code
XXXIV
Abkürzungsverzeichnis
USD UWG Va. J.L. & Tech. Vand. J. Ent. & Tech. L. Vand. L. Rev. VDS verb. Verf. VO Vor. VPPA vs. vzbv Wash. L. Rev. Wash. U. L.Q. W.D. WD BT Wis. L. Rev. WL WLR Wm. Mitchell L. Rev. WP WSJ W. Va. L. Rev. Yale J. Int’l L. zit.
US-Dollar Gesetz gegen den unlauteren Wettbewerb Virginia Journal of Law and Technology Vanderbilt Journal of Entertainment and Technology Law Vanderbilt Law Review Vorratsdatenspeicherung verbunden(e) Verfasser Verordnung Vorbemerkung(en) Video Privacy Protection Act versus (lat./engl. für gegen) Verbraucherzentrale Bundesverband e.V. Washington Law Review Washington University Law Quarterly Western District Wissenschaftliche Dienste Bundestag Wisconsin Law Review Westlaw Washington Law Review William Mitchell Law Review Working Paper Wall Street Journal West Virginia Law Review Yale Journal of International Law zitiert
Einleitung I. Problemstellung und Arbeitshypothese Als seine Tochter Werbe-Coupons für Baby-Artikel von einer Einzelhandelskette zugeschickt bekam, stellte ein Mann aus Minnesota den Manager der verantwortlichen Filiale persönlich zur Rede. Eine solche Werbeaktion sei für ein Highschool-Mädchen absolut unangemessen. Als der Manager wenige Tage nach dem Besuch des wutentbrannten Vaters diesen anrief, um sich erneut zu entschuldigen, kam dieser ihm zuvor. Es habe in seiner Familie eine Entwicklung gegeben, von der er bislang nichts gewusst habe. Seine Tochter würde in wenigen Monaten ein Kind bekommen.¹ Der Einzelhändler hatte durch die Analyse der Einkaufsgewohnheiten seiner Kundinnen ein Modell zur Vorhersage von Schwangerschaften entwickelt, wodurch es dem Unternehmen durch den Abgleich dieser Daten mit den Einkäufen der Tochter gelang, noch vor ihrem Vater herauszufinden, dass das Mädchen schwanger war.² Nach der Veröffentlichung in der New York Times 2012 erlangte dieser Fall in den USA Berühmtheit und gilt heute als berüchtigtes Beispiel für die alltägliche Auswertung von Kundendaten zu Marketingzwecken und die sich daraus ergebende Möglichkeit zur Aufdeckung privater Informationen.³ Aber auch andere Fälle der Datenanalyse mit überraschenden Ergebnissen sorgten weltweit für Aufsehen: AOL veröffentlichte 2006 auf einer Webseite 650.000 Suchanfragen, die über AOL-Suchmaschinen innerhalb eines Zeitraums von drei Monaten angefallen waren. Der Nutzername und die IP-Adresse wurden durch einen Unique Identifier, also eine individualisierende Zahlenkombination ersetzt.⁴ Der New York Times gelang es, aus den Suchanfragen die Identität einer 62 Jahre alten Witwe aus Lilburn, Georgia zu ermitteln, die bestätigte, die veröffentlichten Suchanfragen gestellt zu haben.⁵ Ein weiterer bekanntgewordener Fall ist der einiger Bostoner Studenten, die mittels bestimmter Auswertungstechniken einen Weg fanden, anhand der Freunde eines Nutzers im Sozialen Netzwerk Facebook dessen sexuelle Orien-
Duhigg, N. Y. Times . . . Duhigg, N. Y. Times . . . Brill, Big Data, S. . Barbaro/Zeller, N. Y. Times . . ; Ohm, UCLA L. Rev. , (). Barbaro/Zeller, N.Y. Times . . ; Ohm, UCLA L. Rev. , ().Weitere Fälle sind beschrieben bei Mayer-Schönberger/Cukier, Big Data, S. .
2
Einleitung
tierung zu erkennen.⁶ Dass auch auf weitere Eigenschaften wie politische Einstellungen oder die Religion mit hoher Wahrscheinlichkeit geschlossen werden kann, ergibt eine Untersuchung aus 2013.⁷ Wie die Beispiele zeigen, ist die Auswertung von Daten mit (potentiellem) Personenbezug geeignet, Privatsphäreinteressen der Betroffenen zu beeinträchtigen. Durch die Zusendung der Werbe-Coupons für Baby-Artikel wurde die Entscheidung der Tochter unterminiert, ihrem Vater zunächst nichts von der Schwangerschaft zu erzählen. Aus vermeintlich anonymen Suchanfragen können Rückschlüsse auf die Identität der Betroffenen gezogen werden und die Freundesliste der Nutzer Sozialer Netzwerke gibt unerwartete Einblicke in ihre Intimsphäre und weitere sensible Daten, die nicht jeder Betroffene bereit wäre zu offenbaren. Grund dafür ist, dass anhand umfassender Datensätze neue Erkenntnisse über einzelne Personen gewonnen und zu verschiedenen Zwecken eingesetzt werden können. Datenanalysen zur Profilbildung erfolgen sowohl in der analogen Welt als auch im Internet und zum Teil auch in einer Kombination aus Online- und OfflineDaten etwa durch Werbetreibende, Auskunfteien, Banken, Versicherungen, Suchmaschinen oder Soziale Netzwerke.⁸ Sozialen Netzwerken, allen voran dem US-amerikanischen Unternehmen Facebook Inc.,⁹ stehen reichhaltige Datenbestände zur Verfügung,¹⁰ weil sie drei entscheidende Kriterien miteinander vereinen: Konvergenz, Ubiquität und Web 2.0. Konvergenz bedeutet in diesem Zusammenhang, dass sich diverse Funktionalitäten wie das Hochladen von Fotografien, das Lesen von Nachrichten und Zeitungsartikeln¹¹ oder der Austausch mit Freunden oder Kollegen, die zuvor von verschiedenen Diensten im Internet erbracht wurden, akkumuliert bei Sozialen Netzwerken finden oder in Verbindung mit dem Sozialen Netzwerk ausgeführt werden, indem Angebote wie die Gefällt-mir-Schaltfläche von Facebook (Like Button) auf Drittseiten eingebunden werden.¹² Dadurch stehen Sozialen Netz-
Jernigan/Mistree, First Monday (). Kosinski/Stillwell/Graepel, PNAS ff. (). Roosendaal, Digital Personae, S. ff.; Surma, in: Ting/Hong/Wang, Social Network Mining, S. ; Weichert, ZD , , . Facebook Inc. hat als US-amerikanische Konzernmutter ihren Sitz in Kalifornien, Tochtergesellschaften finden sich u. a. in Irland und in Deutschland. Ist im Folgenden nur von Facebook die Rede, bezieht sich die Arbeit auf die Gesellschaft im Ganzen. Kirkpatrick, Der Facebook-Effekt, S. . Somaiya/Isaac/Goel, N. Y. Times . . . Trottier, Social Media, S. .
I. Problemstellung und Arbeitshypothese
3
werken Informationen über weite Bereiche der Internetnutzung ihrer Mitglieder zur Verfügung. Hinzu tritt die Ubiquität, also die Allgegenwart der Dienstenutzung über verschiedene Geräte hinweg, angefangen beim PC über das Smartphone und andere mobile Geräte bis hin zu Wearables, also tragbaren Datenverarbeitungssystemen, die etwa das Schlafverhalten messen und mit dem Sozialen Netzwerk verbunden sind.¹³ Für Web 2.0-Dienste charakterisierend ist die Interaktionsmöglichkeit der Nutzer untereinander. Dadurch erfährt der Datensatz sozialer Medien gegenüber anderen Internetdiensten wie Suchmaschinen in mehrfacher Hinsicht eine erhebliche Aufwertung. Während bei Suchmaschinen Daten gegen Daten ausgetauscht werden („Wo ist der nächste Bäcker?“), werden bei Facebook Daten für Interaktionsmöglichkeiten offenbart („Ich bin am Potsdamer Platz – wer noch?“), was die Nutzungsmotivation erhöht.¹⁴ Der Vergleich mit früheren Diensten zeigt, dass die Form der sozialen Interaktion, wie sie auf Facebook ausgestaltet ist, dazu führt, dass Benutzer Daten preisgeben, die sie früher für sich behalten haben. Bei frühen Geolokations-Services wie Googles „Latitude“ oder „Loopt“ waren Nutzer seltener bereit, ihren Standort anzugeben, wohingegen die Bereitschaft bei den neuen Diensten wie Foursquare und Facebooks „Orte“ größer ist, nachdem bei dieser Version der Dienste Freunde über den Standort benachrichtigt werden und so die Möglichkeit eines Zusammentreffens vereinfacht wird.¹⁵ Außerdem sind Soziale Netzwerke für den Nutzer Plattformen, auf denen er sich ausprobieren, sich mit Freunden austauschen und sie an seinem Leben und Fühlen teilhaben lassen kann.¹⁶ Die Möglichkeit, Informationen nur einem beschränkten Teilnehmerkreis zugänglich machen zu können, hat dazu geführt, dass zunehmend mehr und auch zunehmend sensible Daten über die Plattform geteilt werden.¹⁷ Der Nutzer möchte zudem von Freunden und Bekannten gefunden und andere Nutzer mit ähnlichen Interessen kennenlernen. So entsteht ein hoher Anreiz, ein umfangreiches Profil unter seinem realen Namen zu erstellen, unabhängig davon,
Trottier, Social Media, S. f.; Thierer, Harv. J.L. & Pub. Pol’y , (). Jarvis, Public Parts, S. ; Thierer, Harv. J.L. & Pub. Pol’y , (). Jarvis, Public Parts, S. . Boyd, Taken Out of Context, S. ; JFF, Persönliche Informationen?, S. f.; acatech, Internet Privacy , S. , f.; Edwards, in: Brown, Governance, S. . Stutzmann/Gross/Acquisiti, JPC , , , (); BITKOM, Soziale Netzwerke , S. f.
4
Einleitung
ob die Nutzungsbedingungen eine Klarnamenpflicht vorsehen.¹⁸ Dadurch stehen den Betreibern Sozialer Netzwerke Informationen über Namen, Vorlieben, Freunde ebenso wie Erlebnisse und Gefühle ihrer Nutzer zur Verfügung.¹⁹ Die wachsende Mitgliederzahl belegt die hohe gesellschaftliche Relevanz Sozialer Netzwerke:²⁰ 2015 sind bereits etwa ein Viertel der Weltbevölkerung Mitglied in einem Sozialen Netzwerk im Internet.²¹ 71 Prozent der Internetnutzer sind auch Facebook-Mitglieder; 28 Prozent nutzen LinkedIn und 23 Prozent Twitter.²² Daneben sind Soziale Netzwerke auch von wirtschaftlich großer Bedeutung: Trotz des allgemein geringen Wirtschaftwachstums in den letzten Jahren konnten Web 2.0-Anbieter ihre Einnahmen erheblich steigern.²³ Kundendaten sind zu einem der wichtigsten Aktivposten von Unternehmen geworden.²⁴ Facebook zählt neben Google und Microsoft weltweit zu den Marktführern im Geschäft mit OnlineWerbung.²⁵ Während die Profilbildung Sozialer Netzwerke also eine wirtschaftlich wertvolle Möglichkeit für die Betreiber ist, ihre Mitglieder besser kennenzulernen und sich damit besser auf sie einstellen zu können, wächst die Skepsis der Betroffenen gegenüber den Diensten. So sind etwa Dreiviertel der Europäer besorgt darüber, wie Soziale Netzwerke mit den Nutzerdaten umgehen.²⁶ Mitglieder können nicht einschätzen, was Soziale Netzwerke über sie wissen und wie dieses Wissen eingesetzt wird.²⁷ Weder ist den Betroffenen bekannt, welche Informationen Betreibern tatsächlich zur Verfügung stehen, noch ist es für sie oder die Aufsichtsbehörden transparent, in welcher Form eine Datenauswertung stattfindet und welche möglichen Folgen dies nach sich ziehen kann.²⁸
JFF, Persönliche Informationen?, S. ; Schmidt, in: Schmidt/Weichert, Datenschutz, S. , . Schertz/Höch, Privat war gestern, S. . BT-Drs. /, S. . BCG, The Value of Our Digital Identity, S. ; statista, Number of social network users worldwide from to . PewInternet, Social Media , S. . BCG, The Value of Our Digital Identity, S. . Roosendaal, Digital Personae, S. . Emarketer, Digital Ad Market. EC, Eurobarometer , S. . BT-Drs. /, S. . BT-Drs. /, S. ; Debatin et al., JCMC , (); Brill, Big Data, S. .
I. Problemstellung und Arbeitshypothese
5
Uneinigkeit besteht darüber, welche Konsequenzen daraus zu ziehen sind.²⁹ Eine Ansicht sieht den Staat in der Pflicht, mit nationalen Neuregelungen seinen Schutzpflichten gerecht zu werden,³⁰ wohingegen andere die Auffassung vertreten, die derzeitigen Regelungen seien ausreichend und freiwillige Selbstverpflichtungen der richtige Ansatz, um mehr Transparenz und Gesetzeskonformität zu schaffen.³¹ Unberücksichtigt bleibt dabei, dass es aufgrund des grenzüberschreitenden Charakters der Problematik und der weltweiten Bedeutung Sozialer Netzwerke internationaler und vor allem transatlantischer Regelungen bedarf, um das Datenschutzrecht international durchsetzbar zu machen.³² Denn nach EU-Recht gilt zwar grundsätzlich für jede Form des automatisierten Datenumgangs und damit auch für die Profilbildung das Verbot mit Erlaubnisvorbehalt,³³ d. h. die freiwillige und informierte Einwilligung des Betroffenen ist einzuholen, sofern keine gesetzliche Erlaubnisnorm besteht. Das führende Soziale Netzwerk Facebook hat seinen Sitz jedoch in den USA und zeigt vor dem Hintergrund fehlender Durchsetzung des nationalstaatlichen Datenschutzrechts durch die zuständigen Behörden wenig Bereitschaft, sich europäischen Vorstellungen anzupassen.³⁴ In den USA besteht kein umfassendes Datenschutzrecht und Gerichtsverfahren gegen den Datenumgang Sozialer Netzwerke scheitern meist bereits an der fehlenden Anwendbarkeit sektoraler Normen. Zu substantiellen Verhaltensänderungen haben bislang im Wesentlichen nur Verfahren der Bundesbehörde für Handel, der Federal Trade Commission (FTC), gegen Facebook geführt, die jedoch nicht die Profilbildung zum Gegenstand hatten. Weder die EU noch die USA, als Heimat-Jurisdiktion großer internationaler Sozialer Netzwerke, haben es geschafft, zum Schutz von Privatheitsinteressen³⁵ einen branchenweit einheitlichen Standard für die Profilbildung Sozialer Netzwerke zu etablieren, wodurch Betreiber internationaler Sozialer Netzwerke nach Belieben Fakten schaffen.
BT-Drs. /, BT-Drs. /, S. ff.; BT-Drs. /, S. D; BT-Drs. / (Internetenquete), S. ; IWGDPT, Standpunkt Online-Profile. BT-Drs. /, S. ; DSK, Modernes Datenschutzrecht, S. . BT-Drs. /, S. C ff. White House, Consumer Data Privacy (); Merati-Kashani, Datenschutz, S. ; TACD, Social Networking, S. . Art. DSRL. Dazu ausführlich unten Teil , Kap. , C., ., b), aa), (). BT-Drs. / (Internetenquete), S. . Der Begriff der Privatheit versteht sich in Abgrenzung zum Begriff der Öffentlichkeit, ohne rechtsterminologisch besetzt zu sein. Umfasst sind davon „jene Lebensumstände […], die der Einzelne der Kenntnis durch die breite Öffentlichkeit entziehen möchte.“, s. Hubmann, Das Persönlichkeitsrecht, S. .
6
Einleitung
Die Arbeit untersucht deshalb, ob ein transatlantischer Standard zum besseren Schutz von Privatheitsinteressen im Hinblick auf die Profilbildung durch Soziale Netzwerke gefunden und wie dieser umgesetzt werden kann. Im Bereich des Datenschutzes wird oft vom sog. Brussels Effect ³⁶ gesprochen, wonach sich die internationale Gesetzgebung den hohen Standards der EU im Laufe der Zeit anpasst.³⁷ Danach würde sich ein Tätigwerden von Seiten der Europäer erübrigen. In der Tat haben in den 2000er Jahren auch asiatische, südamerikanische und afrikanische Staaten sowie Australien umfassende Datenschutzgesetze erlassen.³⁸ Die Etablierung einer umfassenden Datenschutzregelung ist in den USA jedoch nicht zu erwarten.³⁹ Auch das Konzept des Datenschutzes als vorgelagerte Gefahrenabwehr wird als unvereinbar mit der US-amerikanischen Rechtstradition und politischen Kultur angesehen.⁴⁰ Eine Annäherung kann deshalb nur unter Berücksichtigung des sektoralen Ansatzes der USA erfolgen,⁴¹ wofür sich insbesondere verschiedene Formen der regulierten Selbstregulierung anbieten.⁴² Die Arbeit vertritt vor diesem Hintergrund die These, dass in Bezug auf die Profilbildung und ‐nutzung Sozialer Netzwerke transatlantische Maßnahmen zum effektiven Schutz der Privatheit realisierbar sind, namentlich eine Konvergenz bei den grundlegenden Prinzipien, die Verbesserung der Zusammenarbeit der Rechtssysteme auf untergesetzlicher Ebene und ein Ausbau der Kooperation bei der Durchsetzung. Die Untersuchung kommt zu dem Ergebnis, dass hinsichtlich der Profilbildung Sozialer Netzwerke ein gemeinsames Vorgehen von EU und USA auf der Basis eines transatlantischen Standards im beiderseitigen Interesse liegt und realisierbar ist.
Bradford, Nw. U. L. Rev. ff. (). Bennett, in: Agre/Rotenberg, Technology and Privacy, S. ; Bygrave, Data Privacy, S. ; Shaffer, Yale J. Int’l L. ff., (). Greenleaf, in: Brown, Governance, S. f. EC DG JFS, Data Protection USA, S. , ; Bygrave, Data Privacy, S. ; Weitzner, in: Hijmans/ Kranenborg, Data Protection, S. . Miller/Poscher, FAZ . . , S. . Weitzner, in: Hijmans/Kranenborg, Data Protection, S. ; Bennett, in: Agre/Rotenberg, Technology and Privacy, S. ; Greenleaf, in: Brown, Governance, S. ; Schwartz, Harv. L. Rev. , f. (); Bygrave, Data Privacy, S. . White House, Consumer Data Privacy (), S. ; Hirsch, Ohio St. L.J. , (); Schulz/Held, Regulierte Selbstregulierung, S. .
II. Methodik der Untersuchung
7
II. Methodik der Untersuchung Die Ausarbeitung eines gemeinsamen Standards erfolgt sinnvollerweise auf der Grundlage eines Rechtsvergleichs.⁴³ Das in den beteiligten Rechtsordnungen jeweils Gleiche kann in das gemeinsame Normenwerk übernommen, das national Verschiedene kann durch die Wahl der besseren Variante oder durch die Einführung einer aus der Vergleichung gewonnenen neuen, praktikableren Lösung angeglichen werden.⁴⁴ Selbst wenn das Ergebnis der Rechtsvergleichung sein sollte, dass eine Angleichung undenkbar ist, können die Erkenntnisse, die aus der Beschäftigung mit den Lösungsmodellen anderer Länder zum gleichen oder zumindest vergleichbaren Sachproblem stammen, der Verbesserung eigener Regelungen dienen.⁴⁵ Internationale Soziale Netzwerke eignen sich aufgrund ihrer – bis auf minimale Variationen – international gleichen Ausgestaltung und Funktionalität⁴⁶ besonders gut als Vergleichsobjekt. Das Sachproblem stellt sich in allen Ländern gleich, lediglich die Antworten der Rechtssysteme unterscheiden sich. Damit bietet der Sachverhalt die Möglichkeit, die Lösungsansätze verschiedener Länder in Bezug auf das konkrete Problem der Profilbildung Sozialer Netzwerke miteinander zu vergleichen (sog. Microvergleichung).⁴⁷ Für den Vergleich kann Deutschland als pars pro toto für die EU dienen, da durch die Datenschutzrichtlinie (DSRL)⁴⁸ und die E‐Privacy-Richtlinie (ECRL)⁴⁹ eine grundsätzlich umfassende Harmonisierung des unionalen Datenschutzrechts gegeben ist.⁵⁰ Die EU sieht in Art. 8 EU-Grundrechtecharta (GRCh) ein explizites Grundrecht auf den Schutz personenbezogener Daten vor, das ebenso wie das Grundrecht auf Achtung des Privat- und Familienlebens gem. Art. 7 GRCh aus dem Menschenrecht auf Privat- und Familienleben nach Art. 8 der Europäischen
Örücü, in: Örücü/Nelken, Comparative Law, S. . Zweigert/Kötz, Rechtsvergleichung, S. . Örücü, in: Örücü/Nelken, Comparative Law, S. ; Zweigert/Kötz, Rechtsvergleichung, S. . Facebook, Response to EC , S. . Zweigert/Kötz, Rechtsvergleichung, S. f.; de Cruz, Comparative law, S. f. Richtlinie //EG des Europäischen Parlaments und des Rates vom . Oktober zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – kurz: Datenschutzrichtlinie. Richtlinie //EG des Europäischen Parlaments und des Rates vom . Juli über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) – kurz: E-Commerce Richtlinie oder E‐Privacy-Richtlinie. Eßer/Kramer/v. Lewinski-v. Lewinski, Einl. Rn. . Sofern in Deutschland Abweichungen bestehen, sind diese strenger als die unionsrechtlichen Vorgaben, vgl. Reding, ZD , , .
8
Einleitung
Menschenrechtskonvention (EMRK)⁵¹ abgeleitet wird.⁵² Deutschland bringt dem Persönlichkeitsschutz auch im europäischen Vergleich durch die verfassungsrechtliche Gewährleistung des Allgemeinen Persönlichkeitsrechts und die Anerkennung eines absoluten subjektiven Rechts ein sehr hohes Maß an Anerkennung entgegen.⁵³ Maximale Wirkung entfaltet eine Rechtsvereinheitlichung vorliegend mit den USA, da die in Europa beliebtesten Sozialen Netzwerke aus den Vereinigten Staaten stammen. Sie sind unter den Bedingungen des dortigen Rechts gewachsen und werden nach wie vor durch US-amerikanische Vorgaben geformt, da eine Durchsetzung der Vorgaben der Heimat-Jurisdiktion auf wesentlich weniger Schwierigkeiten stößt als eine Durchsetzung der Standards einer fremden Rechtsordnung. Aufgrund der weltweit einheitlichen Ausgestaltung US-amerikanischer Sozialer Netzwerke hat eine transatlantische Einigung mit den USA globale Auswirkungen und würde so zu einem umfassenden Standard führen.
III. Stand von Forschung und Rechtsprechung Die Profilbildung mittels Analyse von Kundendatenbanken sowie das Online Behavioral Advertisement (OBA) sind hinsichtlich der persönlichkeitsrechtlichen Problematik ausführlich beleuchtet worden,⁵⁴ ohne damit allerdings die Besonderheiten der Profilbildung durch Soziale Netzwerke abzudecken, die auf ihren Charakteristika der Konvergenz, Ubiquität und Web 2.0 gründen. Datenerhebungsund Nutzungspraktiken Sozialer Netzwerke waren bereits mehrfach Gegenstand aufsichtsbehördlicher Maßnahmen sowie von Gerichtsverfahren in Deutschland und Europa.⁵⁵ Mit der Profilbildung durch Soziale Netzwerke haben sich aber weder Behörden noch Gerichte eingehend befasst.
Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom . November – kurz: Europäische Menschenrechtskonvention. Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. f. v. Hinden, Persönlichkeitsrechtsverletzungen im Internet, S. f.; Schiedermair, in: Dörr/ Weaver, Right to Privacy, S. , ; Schwartmann, RDV , , . Z. B. Art. WP, Advice paper profiling; Bauer/Greve/Hopf, Online Targeting; Buxel, Customer Profiling; Fröhle, Web Advertising; Hildebrandt et al., Profiling; Himmels, Behavioural Targeting; Hladjk, Online-Profiling; Jandt,Vertrauen; Merati-Kashani, Datenschutz; Sachs, Marketing; Schaar, Datenschutz; Roßnagel-Scholz, Hdb. Datenschutzrecht, . Rn. ; Schuler-Harms, in: Sokol, Living by numbers; Schwenke, Individualisierung. HmbBfDI, Prüfbericht Facebook Cookies; IDPC, Facebook Audit; IDPC, Facebook Re-Audit; ULD, Reichweitenanalyse; ULD, Verantwortlichkeit Fanpages; LG Berlin CR , – Freundefinder; KG ZD , – Freundefinder; VG Schleswig ZD , – Klarnamenpflicht; OVG
III. Stand von Forschung und Rechtsprechung
9
Zum Persönlichkeitsschutz in Sozialen Netzwerken finden sich wissenschaftliche Arbeiten jüngeren Datums,⁵⁶ von denen sich aber nur Achtruth ⁵⁷ aus deutscher und Roosendaal ⁵⁸ aus unionsrechtlicher Sicht mit der hinter der Datenerhebung stehenden Profilbildung auseinandersetzen. Roosendaal und Achtruth untersuchen, ob ein hinreichender Schutz der Persönlichkeit durch das geltende Recht besteht und welche weiteren Maßnahmen zur Verbesserung des Schutzes vorgenommen werden können,⁵⁹ ohne allerdings den verfassungsrechtlichen Hintergrund für ihre Erwägungen eingehend heranzuziehen.⁶⁰ Bestehende Schwierigkeiten bei der Rechtsdurchsetzung werden nur gestreift.⁶¹ Ihre Vorschläge zur Verbesserung des Persönlichkeitsschutzes sind als nationale⁶² bzw. EU-weite⁶³ Lösungen ausgestaltet und mit dem Hinweis versehen, dass eine internationale Harmonisierung anzustreben ist.⁶⁴ Genau an diesem Punkt setzt die vorliegende Arbeit an, indem sie die Möglichkeit für transatlantische Standards zum besseren Schutz von Privatheitsinteressen im Hinblick auf die Profilbildung durch Betreiber Sozialer Netzwerke auslotet. Die dafür erforderliche aktuelle und umfassende Auseinandersetzung mit dem US-amerikanischen Recht in Bezug auf die Profilbildung Sozialer Netzwerke fehlt in der deutschen Literatur⁶⁵ und erfolgt durch die vorliegende Untersuchung auf Grundlage der US-amerikanischen Rechtsprechung, Behördenpraxis und Literatur. In den Vereinigten Staaten selbst findet eine Diskussion zum Privatheitsschutz in Sozialen Netzwerken vornehmlich bezogen auf Eingriffe durch
Schleswig ZD , – Klarnamenpflicht; OVG Schleswig ZD , – Fanpages; LG Berlin ZD , – Datenweitergabe Apps/Spiele; LG Frankfurt/M. ZD , – Like Button; LG Düsseldorf, Urt. v. . . – Like Button. Forschepoth, Datenschutz bei Facebook; Verheijden, Rechtsverletzungen; Piltz, Soziale Netzwerke; Achtruth, Social Networks; Roosendaal, Digital Personae; Maisch, Informationelle Selbstbestimmung. Achtruth, Social Networks. Roosendaal, Digital Personae. Achtruth, Social Networks, S. ; Roosendaal, Digital Personae, S. . Die Darstellung von Roosendaal, Digital Personae, S. ff. bzw. ff. erfolgt nicht konkret im Hinblick auf Profilbildung. Achtruth, Social Networks, S. beschränkt sich auf eine Aufzählung möglicherweise betroffener Grundrechtspositionen. Roosendaal, Digital Personae, S. f. Achtruth, Social Networks, S. f. Roosendaal, Digital Personae, S. ff. Achtruth, Social Networks, S. ; Roosendaal, Digital Personae, S. . Neuere rechtsvergleichende Literatur zum Privatheitsschutz in den USA s. z. B. Sachs, Marketing; Purtova, Property Rights; Harper, in: AICGS Policy Report, S. – ; Genz, Datenschutz. Zur behördlichen Aufsicht im Bereich Datenschutz in den USA s. Schmidt-Kessel/Germelmann/ Herden, Regulierung des Datenschutzes, S. ff.
10
Einleitung
Dritte statt.⁶⁶ Auch wenn die Profilbildung und ‐nutzung in den USA aktuell ein wichtiges Thema ist, dem sowohl Forschung⁶⁷ und Politik⁶⁸ sowie die FTC⁶⁹ viel Bedeutung beimessen, thematisieren Literatur,⁷⁰ Rechtsprechung⁷¹ und FTC⁷² im Kontext Sozialer Netzwerke lediglich einzelne Formen der Datenerhebung und ‐nutzung durch Betreiber. So zahlreich wie die Forderungen nach internationaler Zusammenarbeit bei persönlichkeitsrechtlichen Fragestellungen diesseits und jenseits des Atlantiks auch sind,⁷³ so wenige wissenschaftliche Ausarbeitungen zu branchenweiten Lösungsmöglichkeiten finden sich bislang.⁷⁴ Diese Lücke möchte die vorliegende Arbeit konzentriert auf die Profilbildung internationaler Sozialer Netzwerke schließen und zwar basierend auf der Forschung zu international erprobten Selbstregulierungsmechanismen.⁷⁵
Z. B. Sanchez Abril, Nw. J. Tech. & Intell. Prop. ff. (); Grimmelmann, Iowa L. Rev. ff. (). Z. B. Schwartz, Vand. L. Rev. ff. (); Belgum, Rich. J.L. & Tech. ff., (); Cohen, Stan. L. Rev. ff. (); Solove, Stan. L. Rev. ff. (); Solove, Cal. L. Rev. ff. (); Lin, Berkeley Tech. L.J. ff. (); Karas, Am. U. L. Rev. (); Rubinstein/Lee/Schwartz, U. Chi. L. Rev. ff. (). th Congress () (Kerry/McCain Bill); Building Effective Strategies To Promote Responsibility Accountability Choice Transparency Innovation Consumer Expectations and Safeguards Act, H.R. , th Congress (); Consumer Privacy Protection Act of , H.R. , th Congress () (Stearns Bill); White House, Consumer Data Privacy (); Administration Discussion Draft: Consumer Privacy Bill of Rights Act of . FTC, Profiling . Z. B. Steindel, Mich. Telecomm. Tech. L. Rev. , (); Groom, Berkeley Tech. L.J. , (). Z. B. In re Facebook Privacy Litigation, F. Supp. d (D. N.D.Cal. ); Cohen v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ); Fraley v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ); Campbell v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ); In Re Facebook Internet Tracking Litigation, F. Supp. d (Judicial Panel on Multidistrict Litigation ). Z. B. FTC, D&O Facebook; FTC, D&O MySpace. EC, Gesamtkonzept, S. ff.; BT-Drs. / (Internetenquete), S. ; White House, Consumer Data Privacy (); DOC IPTF, Dynamic Framework, S. ; FTC, Consumer Privacy , S. ; Brill, in: Hijmans/Kranenborg, Data Protection, S. . Hirsch, Ohio St. L.J. ff. (); Bennett, in: Agre/Rotenberg, Technology and Privacy, S. ff. Die Int. DSK hat deshalb einen runden Tisch aus Vertretern US-amerikanischer und europäischer Experten auf dem Gebiet des Privatheitsschutzes einberufen, um Rahmenvorgaben für die Herstellung von Interoperabilität in der Praxis zu erarbeiten, s. MIT/IViR, Release: Transatlantic Privacy. Schulz/Held, Regulierte Selbstregulierung; Groh, Ban Spam; Rubinstein, ISJLP ff. (); ders., Berkeley Tech. L.J. , (); White House, Consumer Data Privacy (),
IV. Gang der Darstellung
11
IV. Gang der Darstellung Die Arbeit gliedert sich ein drei Teile: Im ersten Teil werden die Grundlagen für die nachfolgende rechtliche Untersuchung erarbeitet, indem zunächst die wesentlichen Begriffe und der Sachverhalt am Beispiel von Facebook erläutert werden, soweit dies zum Verständnis der Profilbildung bei Sozialen Netzwerken erforderlich ist. Ziel der sich anschließenden Interessenanalyse ist es zu zeigen, welche Bedeutung und Auswirkungen die Profilbildung für die Beteiligten und die Gesellschaft hat bzw. haben kann. Damit wird die tatsächliche Problemstellung der Profilbildung unabhängig von Systembegriffen der verschiedenen Rechtsordnungen als Ausgangspunkt für den Rechtsvergleich formuliert.⁷⁶ Der zweite Teil der Arbeit besteht aus den beiden Länderberichten, die der Darstellung der geltenden Rechtslage mit dem Ziel dienen, bestehende Defizite im Hinblick auf die Profilbildung Sozialer Netzwerke auszumachen. Die Berichte beginnen jeweils mit kurzen Einführungen in den Privatheitsschutz der Länder. Es schließt sich die Darstellung der verfassungsrechtlichen Vorgaben, der Regelungen des einfachen Rechts sowie der Selbstregulierung an. Den Abschluss des jeweiligen Berichts bildet der abgeleitete Gestaltungsbedarf. Der Länderbericht der USA wird durch die Darstellung des aktuellen Gesetzesentwurfs der ObamaRegierung zum Verbraucherdatenschutz ergänzt. Als Antwort auf den gefundenen Gestaltungsbedarf werden im dritten und letzten Teil der Untersuchung Lösungsvorschläge erarbeitet. Ausgehend von der These, dass der Privatheitsschutz durch eine transatlantische Kooperation verbessert werden kann, werden das aktuelle Bedürfnis nach einer transatlantischen Lösung sowie ihre Vor- und Nachteile gegenüber nationalen Alleingängen ebenso dargestellt wie die formellen und materiell-rechtlichen Möglichkeiten dazu. Während sich die materiell-rechtliche Lösung aus dem Vergleich der Länderberichte ergibt, gehen die Lösungsansätze zu transatlantischen Regulierungsmechanismen und ihrer Durchsetzung darüber hinaus und beziehen z.T. Lösungsmodelle anderer Länder mit ein. Zum Abschluss erfolgt eine Auseinandersetzung mit möglichen Kritikpunkten an den vorgeschlagenen Lösungen. Die Untersuchung ist beschränkt auf die Profilbildung und ‐nutzung durch Betreiber Sozialer Netzwerke. Nicht erfasst sind demnach sonstige Formen der Profilerstellung im Internet durch die Betreiber anderer Webseiten bzw. Dienste
S. ; Baldwin/Cave/Lodge, Understanding Regulation, S. ff.; Hirsch, Mich. St. L. Rev. , ff. (); Koukiadis, Internet Normativity; Voskamp, Transnationaler Datenschutz. Zweigert/Kötz, Rechtsvergleichung, S. .
12
Einleitung
oder Sachverhalte, bei denen Dritte ein Profil aus frei im Internet zugänglichen Daten zusammentragen und veröffentlichen. Ebenfalls nicht behandelt werden Einzelprobleme im Zusammenhang mit der Datenerhebung, die zwar große mediale Aufmerksamkeit erfahren haben, aber für die Profilbildung unerheblich sind. Beispiele sind die „Freundefinder“-Funktion, bei der ein Nutzer sein E-Mail-Adressbuch dem Betreiber des Sozialen Netzwerks zugänglich macht, die biometrische Gesichtserkennung oder das Tagging, also das namentliche Markieren auf Fotografien. Schließlich ist auch die sonstige kommerzielle Verwertung der MitgliederDaten, die nicht auf der Profilbildung basiert, nicht Gegenstand dieser Arbeit. Unbesprochen bleiben deshalb zum Beispiel der Dienst „Sponsored Stories“, bei dem mit dem Profilbild des Nutzers gegenüber seinem Freundeskreis ein Produkt beworben wird, oder der fehlgeschlagene Versuch, über „Beacon“ die Produktkäufe der Nutzer automatisch in den Newsfeed einfließen zu lassen.
Teil 1: Einführung Ziel der Einführung ist es, ein gemeinsames Verständnis für die grundlegenden Begrifflichkeiten, den zugrundeliegenden Sachverhalt sowie die involvierten Interessen zu schaffen. Die tatsächlichen Gegebenheiten müssen klar benannt und hinreichend berücksichtigt werden, wenn rechtliche Lösungen in der Praxis umsetzbar sein sollen.
Kapitel 1 Grundlagen Um die persönlichkeitsrechtlichen Implikationen der Profilbildung durch die Betreiber Sozialer Netzwerke beurteilen zu können, werden zunächst Definitionen der Begriffe „Soziales Netzwerk“ und „Profil“ bzw. „Profilbildung“ hergeleitet, um darauf aufbauend am Beispiel des Sozialen Netzwerks Facebook einen Überblick über die Bandbreite der erhobenen Daten zu geben sowie grundlegende Techniken und Erkenntnismöglichkeiten der Datenanalyse zum Zweck der Gewinnung von Profilen und ihre kommerzielle Nutzung zu beleuchten.
A. Soziale Netzwerke Was Soziale Netzwerke im Internet sind, ist nicht legaldefiniert. Im allgemeinen Sprachgebrauch und in der wissenschaftlichen Literatur besteht nicht nur hinsichtlich der Terminologie, sondern auch im Hinblick auf die dahinterstehenden Sachverhalte Uneinigkeit. So wird u. a. synonym von Sozialen Netzwerken (social networks),¹ Sozialen Netzwerkseiten (social network sites oder social networking sites),² Sozialen Netzwerkplattformen,³ Sozialen Netzwerkdiensten (social network(ing) services)⁴ oder auch von Social Communities, Virtual Communities und Digital Communities ⁵ gesprochen. Zur inhaltlichen Umgrenzung wird meist deiktisch auf Facebook und Xing als „klassische“ Beispiele verwiesen,⁶ andere sehen jede Form von Kommunikationsund Interaktionsplattform als erfasst an, wie auch Dienste zum Austausch von Fotografien und Videos wie YouTube oder MyVideo sowie Social Bookmarking-Systeme wie Delicious oder Mister Wong und Open-Source-Projekte wie Wikipedia.⁷ Nachdem es also an einem einheitlichen Verständnis für die umfassten Sachverhalte fehlt, wird im Folgenden eine inhaltliche Bestimmung erarbeitet.
Für viele: Spiecker, K&R , ; Schuler-Harms, in: Eifert/Hoffman-Riem, Innovation, S. . Boyd/Ellison, JCMC (). Schmidt, Das neue Netz, S. . Art. WP, WP , S. ; Richter/Koch, in: Bichler et al., Wirtschaftsinformatik, S. . U. a. Karyda/Kokolis setzen diese Begriffe mit social networks gleich, s. Karyda/Kokolakis, in: Acquisti et al., Digital Privacy, S. , . Zur Definition des meist als Oberbegriff verstandenen Wortpaares Social Community s. ULD/TU Dresden, Verkettung digitaler Identitäten, S. . Für viele: Schuler-Harms, in: Eifert/Hoffman-Riem, Innovation, S. . Karyda/Kokolakis, in: Acquisti et al., Digital Privacy, S. , f.; Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit, S. f.
16
Kapitel 1 Grundlagen
I. Was ist ein soziales Netzwerk? Als Erste⁸ verwenden das Begriffspaar Soziales Netzwerk Sozialanthropologen, etwa Barnes (1952) in seiner Studie über eine norwegische Gemeinde zur Beschreibung des sozialen Umfelds in Abgrenzung zum territorialen und ökonomischen System der Gemeindestruktur,⁹ Bott (1957) zur Schilderung des typischen Beziehungsgefüges eines Londoner Arbeiterbezirks¹⁰ und Mitchell (1969) zur Beschreibung loser Selbstorganisationen von Zuwanderern in kolonialen Industriestädten.¹¹ Ursprünglich stammt das Begriffspaar somit aus der Ethnologie und bedeutet zunächst einmal, dass Menschen untereinander sozial verbunden sind.¹² In Deutschland wird das Begriffspaar von Pappi¹³ 1987 aufgegriffen und u. a. zur Analyse von Willensbildungsprozessen in der Kommunalpolitik genutzt.¹⁴ Heute wird in der Soziologie und den Kommunikationswissenschaften mit dem Begriffspaar soziales Netzwerk ein Modell beschrieben, das soziale Interaktionen jeder Form abbildet und dazu dient,Verbindungen zwischen Individuen, Gruppen, Organisationen oder Gesellschaften zu untersuchen. Unter Netzwerk wird dabei ein System verstanden, das über Mechanismen zu seiner Organisation verfügt und dessen zugrundeliegende Struktur sich mathematisch als Graph¹⁵ darstellen lässt. Ein Graph besteht aus einer endlichen Menge Knoten, die durch Linien (Kanten) miteinander verbunden sind.¹⁶ Ausgehend vom lateinischen socius (gemeinsam, verbunden oder verbündet bzw. Gefährte oder Verbündeter)¹⁷ ergibt sich, dass bei dem Modell des sozialen Netzwerks die Knoten des Netzwerks für Personen oder Gruppen und die Linien für die Beziehungen zwischen ihnen stehen. Bezogen auf den Einzelnen spiegelt also sein soziales Netzwerk die Ge So Bullinger/Nowak, Soziale Netzwerkarbeit, S. ; Keupp, in: Keupp/Röhrle, Soziale Netzwerke, S. ; Reinhold et al., Soziologie-Lexikon, S. ; Scott/Gordon, Sociology, network analysis. Barnes, Class and Committees in a Norwegian Island Parish, in: Human Relations , S. – neu abgedruckt in: Leinhardt, Social networks. A developing Paradigm, NY , S. – nach Bullinger/Nowak, Soziale Netzwerkarbeit, S. f. Bott, Family and Social Network, S. ff. Mitchell, in: Mitchell, Social Networks, S. . Bullinger/Nowak, Soziale Netzwerkarbeit, S. , ; Keupp, in: Keupp/Röhrle, Soziale Netzwerke, S. f., f. Pappi, Methoden der Netzwerkanalyse – Techniken der empirischen Sozialforschung. Bullinger/Nowak, Soziale Netzwerkarbeit, S. . Das Wort Graph bezeichnet ein „anschauliches mathematisches Modell zur Beschreibung von Objekten, die untereinander in gewisser Beziehung stehen.“, s. Duden, Informatik, Graph. Fuchs-Heinritz et al., Lexikon zur Soziologie, S. ; Reinhold et al., Soziologie-Lexikon, S. ; Scott/Gordon, Sociology, network analysis. Duden, Fremdwörterbuch, sozial.
A. Soziale Netzwerke
17
samtheit seiner sozialen Kontakte und Interaktionen wider. Basierend auf der mathematischen Graphentheorie können anhand des Modells soziale Strukturen, die durch Interaktion bestimmt sind, analysiert werden.¹⁸
II. Was ist ein soziales Netzwerk im Internet? Legt man das Begriffsverständnis der Soziologie zugrunde, ist ein Soziales Netzwerk im Internet die Abbildung webbasierter Interaktionen einer Person mit der Gesamtheit seiner sozialen Kontakte auf der Plattform des Diensteanbieters. Dieses erste Verständnis lässt sich durch einen Abriss über die Entwicklung der Dienste ergänzen, die anerkanntermaßen als Soziale Netzwerke-Dienste bezeichnet werden. Diesem Vorgehen liegt die induktive Methode zugrunde, nach der aus dem Vergleich einer Vielzahl anerkannter Anwendungsfälle auf die notwendigen Eigenschaften des untersuchten Ausdrucks geschlossen werden kann.¹⁹ Frühe Formen sozialer Interaktion im World Wide Web begannen in den 1990ern mit Online Communities wie GeoCities (1994), theglobe.com und tripod.com (beide 1995), die ihren Nutzern die Kommunikation in virtuellen Räumen (Chatrooms) und die Erstellung einer persönlichen Webseite ermöglichten. Bei anderen Netzgemeinschaften wie classmates.com konnten sich die Nutzer mit anderen Mitgliedern verbinden, welche dieselbe Highschool besuchten.²⁰ 1997 führte die Social Community SixDegrees.com als erste Freundeslisten, also Listen von Personen, mit denen der Nutzer im Netzwerk verbunden ist, und vordefinierte Nutzerprofile ein und begründete damit eine neue Generation sozialer Netzgemeinschaften. SixDegrees.com wird deshalb von vielen als das erste „wahre“ Soziale Netzwerk angesehen.²¹ Es folgten u. a.²² Makeoutclub (2000), Friendster (2002), MySpace (2003) und Facebook (2004), das seit 2009 das größte Soziale Netzwerk der Welt ist, und Twitter (2006).²³ In Deutschland wurde 2005 das Studentennetzwerk studiVZ gegründet und 2007 durch schülerVZ²⁴ und meinVZ ergänzt. 2010 wurde Diaspora veröffentlicht, das als dezentrales Soziales
Fuchs-Heinritz et al., Lexikon zur Soziologie, S. ; Keupp, in: Keupp/Röhrle, Soziale Netzwerke, S. ; Reinhold et al., Soziologie-Lexikon, S. ; Scott/Gordon, Sociology, S. . Duden, Fremdwörterbuch, Induktion: „Wissenschaftliche Methode, vom besonderen Einzelfall auf das Allgemeine, Gesetzmäßige zu schließen.“ Boyd/Ellison, JCMC , (). Boyd/Ellison, JCMC , (); Kirkpatrick, Der Facebook-Effekt, S. . Die Aufzählung ist stark selektiv und beschränkt sich auf die bekanntesten Vertreter. Boyd/Ellison, JCMC , (). Am . . wurde der Betrieb eingestellt, http://www.schuelervz.net/.
18
Kapitel 1 Grundlagen
Netzwerk seinen Mitgliedern die Möglichkeit gibt, ihre Daten auf eigenen Servern zu speichern. 2011 kam Google+ hinzu. Übereinstimmend mit dem branchenspezifischen Sprachgebrauch ordnet die wissenschaftliche Literatur Netzgemeinschaften neuer Generation als Soziale Netzwerke im Internet ein.²⁵ Allen anerkannten Sozialen Netzwerken im Internet sind folgende Merkmale gemein:²⁶ 1. Über den Word Wide Web-Dienst abrufbar (webbasiert) 2. Nutzerprofile der Mitglieder 3. Verbindungs- und Interaktionsmöglichkeiten der Mitglieder untereinander 4. „Freundeslisten“²⁷ und deren grundsätzliche Sichtbarkeit für Mitglieder²⁸ Der letzte Punkt, also die grundsätzliche Sichtbarkeit der Freundeslisten zumindest für die Mitglieder, wird in vielen Definitionen der Literatur nicht aufgeführt.²⁹ Will sich ein internetbasierter Dienst jedoch nicht auf die Abbildung realweltlicher Kontakte beschränken, sondern die Bildung individueller Netzwerke und die Entstehung von Netzwerkeffekten auch unabhängig von der Offline-Welt ermöglichen, so ist die Sichtbarkeit der Freundesliste auch für andere Mitglieder zumindest im sozialen Kontext ein essentieller Bestandteil. Studien belegen, dass 55 Prozent der Nutzer Sozialer Netzwerke sich dort auch mit anderen Mitgliedern verbinden, die sie noch nie persönlich getroffen haben.³⁰ Für 86 Prozent der Mitglieder ist ein Motiv für die Nutzung, wieder mit Bekannten in Kontakt zu kommen, die sie aus den Augen verloren haben.³¹ Zu Fremden, die über keinerlei Kontakte zu Bekannten verfügen, wird im sozialen Kontext auch in der Online-Welt kaum Kontakt aufgenommen.³² Damit also der Zweck, sich untereinander zu
BITKOM, Soziale Netzwerke , S. f.; Boyd/Ellison, JCMC , f. (), Grimmelmann, Iowa L. Rev , (). Art. WP, WP , S. ; ENISA, Behavioural tracking, S. ; Boyd/Ellison, JCMC , ff. (); fsm, Kodex Report, S. ; Häusler, Soziale Netzwerke, S. ; Richter/Koch, in: Bichler et al., Wirtschaftsinformatik, S. ; Mörl/Groß, Soziale Netzwerke, S. ; EC/Social Networking Task Force, SSN Principles, S. . Die genaue Bezeichnung variiert von Dienst zu Dienst, je nachdem, wie die Nutzer bezeichnet werden (Freunde, Follower, Kontakte etc.). Boyd/Ellison, JCMC , (); Scaife, Social Media, S. . Richter/Koch, in: Bichler et al., Wirtschaftsinformatik, S. ; Acquisti/Gross, Danezis/Golle, PET, S. . Lares Institute, Social Media, S. . Bei Minderjährigen liegt der Anteil bei Prozent, s. PewInternet, Teens, S. . PewInternet, Americans & Social Media, S. . PewInternet, Teens, S. f.
A. Soziale Netzwerke
19
vernetzen und Kontakte unabhängig von der Offline-Welt zu schließen,³³ bei Sozialen Netzwerken im Internet erfüllt werden kann, ist die interne Sichtbarkeit der Freundesliste erforderlich. Der wesentliche Mehrwert dieser Dienste für die Nutzer ergibt sich gerade aus einer sonst nicht in dieser Form bestehenden Vernetzungsmöglichkeit.³⁴ Folgende Definition lässt sich somit ableiten: Ein Soziales Netzwerk im Internet ist ein webbasierter Service,³⁵ der die Erstellung eines eigenen Nutzerprofils vorsieht, den Nutzern eine Verbindung untereinander ermöglicht und diese Verbindungen grundsätzlich für andere Mitglieder sichtbar abbildet. Andere, als Social Software bezeichnete Dienste, deren wesentliche Funktion nicht die Vernetzung ist, wie Foren, Chat-Programme, Online-Computerspiele oder Wikis³⁶ sind demzufolge keine Sozialen Netzwerke im Sinne dieser Definition. Das Ergebnis stimmt auch mit dem soziologischen Verständnis von sozialen Netzwerken als Modell zur Abbildung sämtlicher sozialer Verbindungen eines Menschen überein. Aus dieser inhaltlichen Bestimmung ergibt sich, dass von den oben dargestellten, in der Literatur verwendeten Begrifflichkeiten nur die Folgenden als korrekte Bezeichnungen angesehen werden können: Soziale Netzwerkseiten (Social Network Sites oder Social Networking Sites),³⁷ Soziale Netzwerkplattformen³⁸, Social-Networking-Dienste (Social Network/ing Platform/Service)³⁹ oder kurz Soziale Netzwerke (Social Network).⁴⁰ Da es sich bei einem Sozialen Netzwerk im Internet nicht um eine einzelne Webseite, sondern um ein Gesamtangebot von Webseiten und -anwendungen handelt, sind die Begriffspaare Sozialer Netzwerkdienst oder Soziale Netzwerkplattform treffender als das ansonsten griffige Soziale Netzwerkseite. Sie sind aber kaum gebräuchlich, weshalb für diese Arbeit auf den prägnanten allgemeinen
Viele Soziale Netzwerke im Internet werben damit, dass „alte Bekannte“ wiedergefunden werden und damit in der realen Welt nicht mehr bestehende Verbindungen im Sozialen Netzwerk wieder aufgebaut werden können. Beispielhaft: www.wer-kennt-wen.de oder www.stayfriends.de. Fraunhofer Institut, Privatsphärenschutz, S. ; Häusler, Soziale Netzwerke, S. ; Lee, Facebook Nation, S. . Zu verstehen als Gesamtheit aus technischer und organisatorischer Infrastruktur mit Soft- und Hardware, s. DSK, Orientierungshilfe „Soziale Netzwerke“, S. . Fraunhofer Institut, Privatsphärenschutz, S. . Boyd/Ellison, JCMC , (). Schmidt, Das neue Netz, S. . Richter/Koch, in: Bichler et al., Wirtschaftsinformatik, S. . Für viele: Spiecker, in: Leible/Kutschke: Schutz der Persönlichkeit, S. f.; Spiecker, K&R , ; Schuler-Harms, in: Eifert/Hoffman-Riem, Innovation, S. .
20
Kapitel 1 Grundlagen
Sprachgebrauch Soziales Netzwerk zurückgegriffen wird, wobei die Großschreibung zur Abgrenzung vom soziologischen Gedankenmodell dient.
B. Persönlichkeitsprofil Auch wenn die Begriffe Profil⁴¹ oder Persönlichkeitsprofil⁴² zunehmend im legislativen Bereich in der Diskussion stehen, fehlt es im geltenden Recht sowohl Deutschlands als auch der USA bislang an einer Legaldefinition. Im allgemeinen Sprachgebrauch wird unter einem Profil in Bezug auf Menschen die schematische Repräsentation von Charaktereigenschaften einer Person verstanden.⁴³ Im deutschen Recht wurde der Begriff des Persönlichkeitsprofils mit dem Volkszählungsurteil des BVerfG⁴⁴ etabliert, um die mit der Profilbildung verbundenen Risiken für die Persönlichkeit des Einzelnen auf Tatbestandsebene zu fassen und besondere Rechtsfolgen daran anknüpfen zu können.⁴⁵ In Abgrenzung zu reinen Datenansammlungen sieht das BVerfG das besondere Risiko der Profilbildung in der teilweisen oder weitgehend vollständigen datenmäßigen Abbildung der Persönlichkeit des Betroffenen.⁴⁶ Diese Vorstellung spiegelt sich auch in Art. 3d des schweizerischen BDSG, der den Begriff des Persönlichkeitsprofils als „eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt“ legaldefiniert. Zu klären ist, anhand welcher Kriterien eine Abgrenzung zwischen einer reinen Datensammlung und einem Persönlichkeitsprofil vorgenommen werden kann. Vergleicht man die Persönlichkeit mit einem Puzzle, so stellt nicht das einzelne Puzzleteil an sich das Risiko für die Persönlichkeit dar und auch nicht alle Puzzleteile zusammen in ungeordneter Form, sondern erst die sinnvolle Verknüpfung der Teile miteinander, wodurch sich ein Gesamt- oder zumindest Teilabbild der Persönlichkeit ergibt.⁴⁷ Damit ist ein Kriterium des Profilbegriffs bzw. der Profilbildung das zielgerichtete Verknüpfen, d. h. das logische zueinander in Beziehungsetzen der auf eine
Eine tabellarische Übersicht über die unterschiedlichen, aber oft synonym verwendeten Profil(ing)-Begriffe s. Buxel, Customer Profiling, S. . BMI, Rote Linie-GesetzE, S. . Duden, Rechtschreibung, Profil; Buxel, Customer Profiling, S. . BVerfGE , , – Volkszählungsurteil. Jandt, Vertrauen, S. . BVerfGE , , – Volkszählungsurteil. Roßnagel/Pfitzmann/Garstka, Modernisierung, S. .
C. Profilerstellung und -nutzung am Beispiel von Facebook
21
Person bezogenen Daten.⁴⁸ Um durch die Verknüpfung ein Bild bzw. Teilabbild des Einzelnen entstehen zu lassen,⁴⁹ ist eine rein quantitative Komponente ungeeignet.⁵⁰ Der Umfang eines Datensatzes vermag zwar die Intensität der Persönlichkeitsbeeinträchtigung zu steigern, sie kann sie allerdings nicht begründen, da auch eine Million Daten zu ein- und derselben Sache nicht zu einem Teilabbild der Persönlichkeit führen, sondern eben nur zu einer immerwährenden Bestätigung einer einzigen Tatsache über den Betroffenen. Entscheidend ist vielmehr eine zielgerichtete Auswahl und Kombination in qualitativer Hinsicht, wodurch sich eine erweiterte Perspektive eröffnet, etwa durch die Kombination von Daten aus verschiedenen Lebensbereichen oder Nutzungsvorgängen.⁵¹ Dadurch realisiert sich das besondere Charakteristikum der Profilbildung, dass über die Summe der einzelnen Daten hinausgehend neue Informationen über den Einzelnen gewonnen werden.⁵² Daraus ergibt sich folgende Definition: Ein Persönlichkeitsprofil ist ein Datensatz über eine Person, der durch die zielgerichtete Verknüpfung inhaltlich unterschiedlicher personenbezogener Daten entsteht und der über die Summe der einzelnen Daten hinaus die Persönlichkeit teilweise oder weitgehend vollständig abbildet.⁵³ Art und Umfang der Daten, denkbare Verwendungen und Missbrauchsmöglichkeiten erhöhen das Gefahrenpotential für die Persönlichkeit, sind aber keine Kriterien für das Vorliegen eines Profils.⁵⁴
C. Profilerstellung und ‐nutzung in Sozialen Netzwerken am Beispiel von Facebook Bei Sozialen Netzwerken werden mehrere Konstellationen vom Begriff des Profils erfasst. Zum einen stellt der Nutzer ihn charakterisierende Informationen auf seiner Netzwerkseite zusammen und macht sie einem von ihm festgelegten Per-
Jandt, Vertrauen, S. . Jandt, Vertrauen, S. . Jandt, Vertrauen, S. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . Jandt, Vertrauen, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Hladjk, Online-Profiling, S. . Für die USA s. FTC, Profiling , S. . Rammos, K&R , , ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Schaar, DuD , ; Schuler-Harms, in: Sokol, Living by numbers, S. ; Schwenke, Individualisierung, S. ; Wittig, RDV , . BVerfGE , , – Volkszählungsurteil; Schuler-Harms, in: Sokol, Living by numbers, S. .
22
Kapitel 1 Grundlagen
sonenkreis zugänglich.⁵⁵ Dies ist die sog. Profilseite, beim Betreiber Facebook Facebook-Profil genannt. Zum anderen erstellt der Betreiber Profile über Nutzer, die nicht veröffentlicht werden. Sie umfassen neben den Daten der Profilseite nutzergenerierte Inhalte und Daten über die Nutzung von Diensten sowie das Surfverhalten auf mit Facebook verbundenen Webseiten Dritter.⁵⁶ Letztere sind Gegenstand dieser Arbeit und werden im folgenden Teil beschrieben. Zur Systematisierung der rechtlichen Implikationen von Profilen für die Persönlichkeit können drei Parameter unterschieden werden: Erstens, welche Daten für die Profilbildung zur Verfügung stehen, zweitens, wie die Profile geformt und drittens, wozu sie verwendet werden.⁵⁷ Punkt 1 und 2 beziehen sich auf den Vorgang der Profilerstellung, also das gesamte Verfahren der Informationsgewinnung und -verknüpfung, angefangen bei der Datensammlung über ihre Zusammenführung bis hin zur Auswertung. Punkt 1 und 2 haben damit Auswirkungen auf die Quantität, Qualität⁵⁸ und Sensitivität der Daten, die Rückschlüsse auf die Persönlichkeit der Betroffenen zulassen. Punkt 3 erfasst die Auswirkungen der Profilnutzung auf die Persönlichkeit des Betroffenen.
I. Datensammlung Am Beispiel von Facebook wird nachfolgend überblicksweise gezeigt, welche Daten Betreiber Sozialer Netzwerke sammeln.⁵⁹ Einen ersten Einblick bietet dazu die Übersicht der Daten, die ein Mitglied auf Grundlage einer Auskunftsnachfrage nach Art. 12 DSRL erhält.⁶⁰
Boyd/Ellison, JCMC , (). Facebook, Wie werden Interessen für die Zielgruppenauswahl ermittelt?: https://de-de.face book.com/help/www/. Roosendaal, Digital Personae, S. . Die Datenqualität wird bestimmt über die Erheblichkeit, sachliche Richtigkeit und eine zeitliche Beschränkung der Aufbewahrung bis zur Zweckerreichung, s. FRA/EGMR/Europarat, Datenschutzrecht, S. ff. Mit der Darstellung des Sachverhalts über die zusammenkommenden Daten ist keine rechtliche Wertung dahingehend verbunden, dass es sich um eine Datenerhebung im Sinne deutscher Datenschutzgesetze handelt, weshalb auf den nicht in den Gesetzen verwendeten Begriff der Datensammlung zurückgegriffen wird. Für ein reales Beispiel eines solchen Datensatzes s. „Facebooks Datenbestand“ des Aktionsbündnisses Europe v. facebook, abrufbar unter: http://www.europe-v-facebook.org/DE/Daten bestand/datenbestand.html. Auf der Grundlage des Auskunftsrechts verlangten der Initiator Max Schrems und Weitere Einsicht in die von Facebook über sie gespeicherten Daten und stellten das
C. Profilerstellung und -nutzung am Beispiel von Facebook
23
Diese Auskünfte entsprechen allerdings nicht annähernd dem Facebook tatsächlich zur Verfügung stehenden Datensatz über eine Person, da beispielsweise Daten, die das Soziale Netzwerk von Dritten über den Nutzer erhält oder die durch eine Datenanalyse gewonnen werden, nicht aufgeführt sind. Neben den von Facebook selbst angebotenen Anwendungen finden sich solche von Drittanbietern sowie Facebook-Anwendungen auf Webseiten Dritter, die das Nutzungserlebnis und die Attraktivität des Sozialen Netzwerks steigern⁶¹ und gleichzeitig den Datenfluss zum Sozialen Netzwerk erweitern.
1. Registrierung Zur Registrierung bei Facebook müssen Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum und ein Passwort eingegeben werden (Registrierungsdaten).⁶² Nach den Nutzungsbedingungen darf kein Pseudonym oder Nickname, sondern nur der Klarname verwendet werden. Dem Nutzer wird untersagt, falsche persönliche Informationen bereitzustellen.⁶³ Der Nutzer muss mindestens das 13. Lebensjahr vollendet haben.⁶⁴ Eine Verifizierung der eingegebenen Daten erfolgt nicht systematisch.⁶⁵ Es werden jedoch Nutzerprofile gelöscht, die offensichtlich pseudonym genutzt wurden.⁶⁶
2. Facebook-Website Um die Gesamtheit des Webangebots Sozialer Netzwerke zu umschreiben, wird vielfach der Begriff der Plattform verwendet.⁶⁷ In der IT bezeichnet der Begriff „Plattform“ die technische Basis von Anwendungsprogrammierschnittstellen (APIs) und Diensten, über die auch Dritte wie beispielsweise App-Entwickler
Ergebnis der personenbezogen gespeicherten Daten in knapp Kategorien der Öffentlichkeit zur Verfügung. Prozent der Mitglieder nehmen an Gewinnspielen teil und Prozent nutzen Social Games, s. BITKOM, Soziale Netzwerke , S. f. Eine Übersicht über die bei anderen US-amerikanischen und europäischen Sozialen Netzwerken zur Registrierung erforderlich Daten bietet ENISA, Behavioural tracking, S. ff. Facebook, Nutzungsbedingungen, . Nr. . Facebook, Nutzungsbedingungen, . Nr. . Laut einer Studie machen rund Prozent der befragten Jugendlichen falsche Angaben in Bezug auf ihr Alter, um Dienste im Internet nutzen zu können, s. PewInternet, Teens, S. , f. OVG Schleswig ZD , , – Klarnamenpflicht. Bspw. LG Berlin CR , – Freundefinder; Bauer, MMR , ; Jandt/Roßnagel, MMR , ; Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. .
24
Kapitel 1 Grundlagen
Daten abrufen oder bereitstellen können.⁶⁸ Im Rundfunkstaatsvertrag (RStV) wird unter einer Plattform gem. § 2 II Nr. 13 dagegen ein Angebot verstanden, das auf digitalen Übertragungskapazitäten oder digitalen Datenströmen Rundfunk und vergleichbare Telemedien zusammenfasst mit dem Ziel, diese Angebote als Gesamtangebot zugänglich zu machen. Um insoweit Missverständnisse aufgrund der unterschiedlichen Definitionen des Plattformbegriffs auszuschließen, wird im Rahmen dieser Arbeit der Begriff der Website verwendet, um die zu einem Internetauftritt zusammengefassten Webseiten und ‐anwendungen zu beschreiben.⁶⁹ Zusammen mit Facebook-Anwendungen auf Drittseiten bilden sie das Webangebot des Sozialen Netzwerks ab, das in seiner Gesamtheit vom Betreiber als Facebook-Dienste bezeichnet wird.⁷⁰ Jede Handlung, die auf der Facebook-Website vom Nutzer selbst oder in Bezug auf ihn vorgenommen wird, speichert Facebook, also zum Beispiel nach welchen Personen der Nutzer gesucht hat, welche Freundschaftsanfragen oder Veranstaltungseinladungen er geschickt, angenommen oder abgelehnt hat oder auch Zahlungsinformationen über Transaktionen auf Facebook.⁷¹
a) Facebook-Anwendungen auf der Facebook-Website Zur Darstellung der über die Website erhobenen Daten und ihrer Bedeutung für die Profilbildung dienen beispielhaft die Profilseite und Kommunikationsanwendungen, in deren Rahmen Nutzer selbst Inhalte generieren. Um Facebooks Potential aufzuzeigen, auch auf Daten aus der Offline-Welt zuzugreifen,⁷² werden die Funktionen „Orte“ und „Angebote“ vorgestellt. Die Anwendungen „Fotos“ und „Taggen“ demonstrieren, dass Datenauswertungen nicht auf textliche Inhalte beschränkt sind.
aa) Profilseite Eine Profilseite ist die Nutzerseite eines Mitglieds, die individuelle Angaben des Nutzers enthält. Welche Daten auf der Profilseite eingegeben werden können bzw. müssen, ist durch den Betreiber des Sozialen Netzwerks festgelegt und variiert in
Facebook, Nutzungsbedingungen, . Nr. . Prevezanos, Computer Lexikon , Website. Facebook, Nutzungsbedingungen, . Nr. . Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?. Ein Bewegungsprofil des Nutzers kann beim Betreiber eines Sozialen Netzwerks entstehen, wenn das Mitglied den Dienst über sein mobiles Endgerät nutzt und dauerhaft eingeloggt ist.
C. Profilerstellung und -nutzung am Beispiel von Facebook
25
geringem Maß je nach Netzwerktyp bzw. -zweck. Nach der Verknüpfung mit einem „Freund“ wird zudem automatisch eine Freundesliste generiert. Zur Verfeinerung des Profils hat der Nutzer bei Facebook die Möglichkeit anzugeben, welche Schule und Hochschule er besucht hat und bei welchem Arbeitgeber er derzeit angestellt ist. Außerdem kann er ein Profilbild hochladen. Weitere mögliche Informationen umfassen zum Beispiel Kontaktinformationen, Biografie, Interessen, religiöse und politische Einstellungen, Aktivitäten, Favoriten, Familienmitglieder, Beziehungsstatus und -interessen, Statusmeldungen (zeichenmäßig begrenzter Eintrag auf der Pinnwand), Notizen (Weblog), Orte, an denen sich der Nutzer befindet, Links, Fotografien und Videos.
bb) Kommunikationsanwendungen Die Facebook-Website bietet die Möglichkeit der öffentlichen Interaktion u. a. über Pinnwandeinträge („Chronik“ bzw. „Timeline“ genannt), Notizen und die Kommunikation in offenen Gruppen ebenso wie die Möglichkeit der Individualinteraktion mittels Chat, Nachrichten, E-Mail, Messenger, Internettelefonie mit Bild und in geschlossenen Gruppen. Dem Inhalt der Kommunikation sind grundsätzlich keine Grenzen gesetzt, Facebook behält sich jedoch vor, rechtswidrige Inhalte und solche, die gegen die Nutzungsbedingungen verstoßen, zu löschen.⁷³ Entsprechend breitgefächert sind die so entstehenden Informationen über den Nutzer. Erklärtes Ziel der „Timeline“ ist es, die Lebensgeschichte eines Nutzers zu erzählen.⁷⁴ Bei der Nutzung von Kommunikationsdiensten erhält der Betreiber zudem zwangsläufig Daten darüber, welcher Nutzer mit wem wie oft in Kontakt tritt. Die auf diese Weise ausgetauschten Inhalte werden gespeichert und für kommerzielle Zwecke analysiert.⁷⁵
cc) Orte und Angebote Über die Facebook „Orte“-Funktion kann sich der Nutzer nach Angabe seines Standorts anzeigen lassen, welche Facebook-Mitglieder sich an demselben Ort aufhalten, sofern diese auch ihren Aufenthaltsort angegeben haben. Außerdem
Facebook, Nutzungsbedingungen, . Nr. . Marc Zuckerberg wird zitiert mit den Worten „No activity is too big or too small to share. […] We think it’s an important next step to help you tell the story of your life.“, s. Lee, Facebook Nation, S. f. Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?.
26
Kapitel 1 Grundlagen
kann ein Nutzer seine Freunde als am gleichen Ort befindlich markieren oder angeben, an welchem Ort diese sich befinden.⁷⁶ Durch die „Angebote“-Anwendung wird der Dienst ergänzt, indem dem Nutzer Geschäft, Restaurants u. ä. angezeigt werden, die sich in seiner Umgebung befinden und in denen er als Facebook „Orte“-Nutzer Rabatte bekommen kann.⁷⁷ Löst der Nutzer in einem der teilnehmenden Geschäfte einen Facebook-Gutschein ein, erhält Facebook darüber eine Meldung. Übernahmen von Unternehmen wie dem Fitness-Tracker Moves 2014⁷⁸ oder TheFind.com 2015⁷⁹ verdeutlichen, dass Facebook seine Datensammlung im Offline-Bereich ausdehnt und seinen Datensatz mit Informationen über Aktivitäten außerhalb des Internets ergänzt.
dd) Fotografien und Taggen Der Nutzer kann neben seinem eigenen Profilbild weitere Fotografien und Videos hochladen und in Alben ordnen (Facebook-Anwendung „Fotos“). Facebook speichert Videos und Fotografien samt Metadaten ebenso wie Informationen darüber, wem sie zugänglich gemacht wurden.⁸⁰ Mit der Funktion „Taggen“ können Nutzer andere Facebook-Mitglieder auf Fotografien oder Videos mit Namen und direktem Link zu ihrem Facebook-Profil verknüpfen, sog. markieren oder taggen, mit der Folge, dass Facebook dem Nutzer auch seine biometrischen Daten zuordnen kann. Um diese biometrischen Daten zu erhalten, ordnet Facebook die Markierungen dem Konto des markierten Nutzers zu, vergleicht die Gemeinsamkeiten auf den markierten Fotografien und speichert eine Zusammenfassung des Vergleichs.⁸¹ Von Juni 2011 bis Ende 2012 war zudem die sog. automatische Gesichtserkennung auch in Deutschland aktiviert, die auf der Auswertung biometrischer Daten von Gesichtern basiert.⁸² Nach einem Verwaltungsverfahren gegen Facebook wurde die automatische Gesichtserkennung Ende 2012 europaweit abgeschaltet und bisher gespeicherte biometrische Daten gelöscht.⁸³
Facebook, Orte. Facebook, Facebook-Angebote. Moves, Presseerklärung vom . . : http://www.moves-app.com/press. TheFind, Erklärung vom . . : http://www.thefind.com/. Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?. Facebook, Fotos markieren, Markierungsvorschläge: https://www.facebook.com/help/ . HmbBfDI, Gesichtserkennung; Facebook, Easier Tagging. HmbBfDI, Gesichtserkennung.
C. Profilerstellung und -nutzung am Beispiel von Facebook
27
b) Anwendungen Dritter auf der Facebook-Website Bei jeder Interaktion mit Webseiten erhält der Betreiber u. a. Datum, Uhrzeit und Dauer der Benutzung; den Referrer – also die URL⁸⁴ der zuvor besuchten Seiten – die IP-Adresse, technische Daten über Standort und Art des benutzten Browsers sowie das Betriebssystem und die Sprache ebenso wie Informationen zu CookieEinstellungen. Diese Daten werden in Logfiles gespeichert.⁸⁵ Facebook erhält diese Daten nicht nur von der Facebook-Seite, sondern auch bzgl. der Dienste Dritter, die sich auf der Facebook-Website befinden. Beispiele für Anwendungen Dritter auf der Facebook-Website sind Fanseiten und Third-Party-Applications: Fanseiten sind Seiten von juristischen oder prominenten natürlichen Personen, die von ihnen selbst bzw. durch sie autorisierte Personen verwaltet werden.⁸⁶ Facebook-Mitglieder können sich mit einer Fanseite verbinden und verleihen dadurch ihren Vorlieben und Interessen Ausdruck. Das englische Wort Application (kurz: App) wird im Deutschen mit dem Wort Anwendung übersetzt. Darunter versteht man Programme zur Erledigung bestimmter Aufgaben.⁸⁷ Die Funktionen von Anwendungen auf der Facebook-Website reichen von Microsoft „Docs“ über „Marketplace“, einem Kleinanzeigenmarkt, bis hin zu Spielen.⁸⁸ So kann der Nutzer zahlreichen Aufgaben des täglichen Lebens ebenso wie Hobbies und Interessen auf der Facebook-Website nachgehen.
3. Webseiten Dritter Über Instrumente zur Verfolgung des Nutzerverhaltens im Internet, sog. Webtracking-Technologien,⁸⁹ sammeln Betreiber Sozialer Netzwerke auch Daten außerhalb der eigenen Website. 2012 haben bereits knapp 25 Prozent der laut dem Webanalyse-Unternehmen Alexa beliebtesten 10.000 Webseiten der Welt eine bewusst hergestellte Verbindung zur technischen Facebook-Plattform,⁹⁰ etwa über
Uniform Resource Locator (englisch für einheitlicher Ressourcenanzeiger) steht für einen Webseitenlink. Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?; Schaar, DuD , , ; Maisch, ITRB , , . Facebook, Seiten, Was ist eine Facebook-Seite?: http://www.facebook.com/help/?faq= #Was-ist-eine-Facebook-Seite?; WD BT, Fanpages, S. Fn. . Bartel, Facebook, S. . Bartel, Facebook, S. ff. Zur Verbreitung s. BITKOM, Soziale Netzwerke , S. f. Genereller Überblick zu Web-Tracking-Verfahren s. TUM, Digitale Profilbildung, S. ff. Für einen Überblick zu Tracking-Technologien, die insbesondere von Sozialen Netzwerken eingesetzt werden s. Chaabane/Kaafar/Borelli, WOSN’, S. . Pblog, Facebook integration. Zum informationstechnologischen Verständnisses des PlattformBegriffs siehe oben: Teil , Kap. , C., I., .
28
Kapitel 1 Grundlagen
sog. Third-Party-Cookies,⁹¹ das Einbinden von Pixel-Tags oder Social Plugins oder das Open Graph-System. Sie ermöglichen dadurch Facebook die Verfolgung des Nutzerverhaltens auf ihren Seiten.
a) Cookies Besucht ein Internetnutzer Facebook.com oder eine Seite, die Facebook-Open Graph nutzt, wird auf dem Endgerät des Nutzers für die Dauer von zwei Jahren ohne Befragen des Nutzers ein datr-Cookie hinterlegt,⁹² also eine Protokolldatei mit einer eindeutigen Kennnummer (Cookie-ID), die den Nutzer individualisiert.⁹³ Registriert sich der Internetnutzer für das Soziale Netzwerk, wird ihm zudem eine eindeutige Anmeldekennnummer zugewiesen. Diese Facebook-ID wird auch im datr-Cookie gespeichert.⁹⁴ Daneben können auch Administratoren von Drittseiten für die Besucher ihrer Webseite Cookies von Facebook setzen lassen (Third-PartyCookies).⁹⁵ Der Browser schickt diese Cookies bei jeder Verbindung mit einem FacebookServer mit – also bei jedem Aufruf der Facebook-Website oder von Seiten, die mit Facebook verbunden sind – so dass der Nutzer wiedererkannt wird. In Cookies können neben den Logfiles weitere Informationen über die Seitennutzung durch den Besucher gespeichert werden.⁹⁶ In Verbindung mit der Kennung kann so ein Nutzungsprofil angelegt werden und zwar unabhängig von einer Registrierung bei Facebook.⁹⁷ Wenn ein Nichtmitglied einen Facebook-Account anlegt, kann die durch das Cookie gespeicherte Browser-Historie mit dem neuen Facebook-Konto verbunden werden.⁹⁸ Nach eigenen Angaben von Facebook und dem Auditreport des irischen
Als Third-Party-Cookie werden Cookies bezeichnet, die von einem vom Webseitenbetreiber verschiedenen Dritten stammen. IDPC, Facebook Audit, S. ; Roosendaal, in: Guthwirth et al., Good Health, S. ; Chaabane/ Kaafar/Borelli, WOSN’, S. ; Maisch, ITRB , , . Prevezanos, Computer Lexikon , Cookie; Grimm, DuD , , ; Ott, K&R , , ; Koch, Internet-Recht, S. . Roosendaal, in: Guthwirth et al., Good Health, S. . Roosendaal, in: Guthwirth et al., Good Health, S. . Prevezanos, Computer Lexikon , Cookie; Grimm, DuD , , ; Ott, K&R , , . Roosendaal, in: Guthwirth et al., Good Health, S. f.; ULD, Reichweitenanalyse, S. ; Chaabane/Kaafar/Borelli, WOSN’, S. . Roosendaal, in: Gutwirth et al., European Data Protection, S. .
C. Profilerstellung und -nutzung am Beispiel von Facebook
29
Datenschutzbeauftragten von 2011 findet eine solche Verknüpfung jedoch nicht statt.⁹⁹ In gleicher Weise wird bei Mitgliedern, die sich von ihrem Facebook-Account abgemeldet (ausgeloggt) haben, weiterhin die Webhistorie über das datr-Cookie nachvollzogen. Bleibt der Nutzer eingeloggt handelt es sich um ein persistentes Cookie,¹⁰⁰ das zusammen mit einem weiteren Cookie (c_user) eine eindeutige Identifizierung des Mitglieds beim Besuch von verbundenen Drittseiten ermöglicht.¹⁰¹
b) Pixel-Tags Da die Sensibilität der Nutzer in Bezug auf Cookies und die Bekanntheit verschiedener Möglichkeiten, diese zu löschen oder zu blockieren, gestiegen sind und sie Online-Angebote zudem von diversen Geräten aus nutzen, suchen Betreiber Sozialer Netzwerke nach neuen Wegen, um das Nutzungsverhalten auch ohne Cookies zu verfolgen.¹⁰² Facebook bietet mit der sog. Optimized Critical Path Method (OCPM) eine geräteübergreifende Tracking-Methode an.¹⁰³ Sie funktioniert mit Hilfe von Pixel-Tags, auch Web-Bugs genannt. Es handelt sich dabei um ein Bild in der Größe eines Pixels in der Hintergrundfarbe der Webseite, so dass der Tag für den Seitenbesucher nicht erkennbar ist. Diese Pixel-Tags werden von einem Webseitenbetreiber auf seiner Homepage eingebunden. In dem Bild befindet sich ein Link zum Server des Dritten, in diesem Fall Facebook, so dass beim Aufruf der Seite auch die Server des Dritten aufgerufen werden.¹⁰⁴ Bei jedem Seitenaufruf eines eingeloggten Nutzers erhält dadurch auch Facebook die oben beschriebenen Logfile-Daten sowie die eindeutige FacebookID.¹⁰⁵ Diese eindeutige Identifizierung bedeutet einen wesentlichen Unterschied zu anderen Webtracking-Diensten, da Mitglieder standardmäßig beim Sozialen Netzwerk eingeloggt bleiben und so die eindeutige Identifizierung ermöglichen.¹⁰⁶ Für Werbekunden ist dies attraktiv, da sie auf diese Weise von Facebook eine Rückmeldung bekommen, ob ihre Anzeigenkampagne auf Facebook erfolgreich war, also ob die Nutzer, welche die Anzeige gesehen haben, auch die Webseite des Werbekunden besucht haben. Gleichermaßen erhält Facebook eine Rückkopp-
SH LT, Umdruck /, S. ; IDPC, Facebook Audit, S. . IDPC, Facebook Audit, S. . IDPC, Technical Analysis, S. ; Chaabane/Kaafar/Borelli, WOSN’, S. . LfD BW, . TB, S. . Facebook, OCMP: https://developers.facebook.com/docs/marketing-api/optimizedcpm/v.. Grimm, DuD , , ; Roosendaal, Digital Personae, S. . Facebook, Cookies-Richtlinie; LfD BW, . TB, S. . Rodgers, adexchanger . . .
30
Kapitel 1 Grundlagen
lung, ob die bisherige Nutzeranalyse treffend war sowie weitere Informationen über das geräteübergreifende Surfverhalten des Einzelnen.¹⁰⁷
c) Social Plugins Ein Plugin (vom englischen to plug in – „anschließen“, deutsch etwa „Erweiterungsmodul“) ist ein Computerprogramm, das in ein anderes Softwareprodukt eingefügt wird, um dessen Funktionalität zu erweitern.¹⁰⁸ Facebooks bekanntestes Plugin ist der Like Button („Gefällt mir“-Schaltfläche): Gemäß einer Studie aus dem Jahre 2012 enthalten 22 Prozent der laut dem Webanalyse-Unternehmen Alexa 10.000 weltweit beliebtesten Webseiten den Like Button.¹⁰⁹ 2013 wurden weltweit täglich durchschnittlich 4,5 Milliarden Inhalte „geliked“.¹¹⁰ Um den Like Button in ihre Webseite einzubinden, integrieren die Betreiber das iFrame-Skript (Kurzform von Inline-Frame) von Facebook, also eine kleine Seite innerhalb der Seite, deren Quelltext von Facebook stammt. Technisch gesehen stellt nicht der externe Webseitenbetreiber das Bild des Like Buttons zur Verfügung; dieses wird vielmehr vom Facebook-Server übermittelt, während die Webseite hochlädt.¹¹¹ Beim Aufruf der externen Webseite wird also gleichzeitig der Facebook-Server kontaktiert und überprüft, ob in dem auf dem Endgerät des Nutzers hinterlegten datr-Cookie die Anmeldekennnummer eines Facebook-Mitglieds ausgelesen werden kann, um zu bestimmen, ob der Webseiten-Besucher Facebook-Mitglied ist oder nicht.¹¹² Ist das Mitglied eingeloggt, wird es so identifiziert. Damit ein Inhalt „geliked“ werden kann, ist der vorherige Login bei Facebook und damit die eindeutige Identifizierung des Nutzers erforderlich. Unabhängig davon, ob ein Plugin angeklickt wird, werden die Logfile- und CookieDaten an Facebook übermittelt. Dies gilt für Facebook-Mitglieder ebenso wie für Nicht-Mitglieder.¹¹³
Facebook, Datenrichtlinie, Welche Informationen sammeln wir?; Rodgers, adexchanger . . ; DATATILSYNET, SNS, S. . Facebook, Social Plugins: http://developers.facebook.com/docs/plugins/; DATATILSYNET, SNS, S. . ENISA, Behavioural tracking, S. ; Chaabane/Kaafar/Borelli, WOSN’, S. . Internet.org, Efficiency, S. . Facebook, Wie funktionieren soziale Plugins?: http://www.facebook.com/help/?faq= ; Roosendaal, in: Guthwirth et al., Good Health, S. . IDPC, Facebook Audit, S. . Eine tabellarische Übersicht, in welchen Konstellationen welche Daten durch den Like Button übertragen werden s. Innenministerkonferenz, Soziale Netzwerke, S. f.
C. Profilerstellung und -nutzung am Beispiel von Facebook
31
d) Open Graph Zur Übertragung der Logfile-Daten sowie der Nutzer-ID an Facebook führt auch die Funktion Open Graph (früher „Connect“). Sie bietet u. a. die Möglichkeit der Einmalanmeldung (Single-Sign-on),¹¹⁴ wodurch die Anmeldung bei Facebook ausreicht, um alle an das System angeschlossenen Portale und Dienste ohne erneute manuelle Eingabe der Anmeldungsdaten nutzen zu können.¹¹⁵ Dadurch werden zudem die Daten, die bei der Nutzung der Webseite anfallen, also welche Aktionen der Nutzer auf der Webseite durchführt, an Facebook übermittelt.¹¹⁶ Facebook-Mitglieder nutzen die Funktion, um auf diese Weise ihre Aktivitäten außerhalb von Facebook auf der „Timeline“ zu veröffentlichen und so mit ihren Freunden zu teilen. Dadurch werden die Informationen darüber, welche Seiten der Nutzer außerhalb von Facebook besucht, weiter ergänzt. Über „Open-ID“, besteht auch eine Verbindung zwischen Facebook und den Freemail-Providern GMX und Web.de, wodurch das Soziale Netzwerk erfährt, wie viele E-Mails das Facebook-Mitglied über seinen Freemail-Account erhält.¹¹⁷
4. Von Dritten bereitgestellte Daten Neben den Daten, die der Nutzer selbst durch die Nutzung der Facebook-Funktionen erzeugt, sammelt Facebook auch Daten über den Nutzer, die durch ein anderes Mitglied zur Verfügung gestellt werden.¹¹⁸ Dies gilt auch für Daten von Nicht-Mitgliedern zum Beispiel über den „Freundefinder“, bei dem Kontaktdaten vom E-Mail-Account, Smartphone oder von Instant-Messenger-Diensten des Nutzers importiert werden.¹¹⁹
Facebook, Open Graph. Technisch läuft dies so ab, dass die externe Webseite die verschlüsselte E-Mail-Adresse des Seitenbesuchers an Facebook Inc. versendet, um einen Abgleich mit deren Datenbank vornehmen zu lassen. Wird eine Übereinstimmung gefunden, wird dem externen Webseitenbetreiber die Nutzerkennnummer des Facebook-Mitglieds übermittelt.Wenn der Nutzer bereits ein Konto bei der externen Webseite hat, können die beiden Konten mittels eines „E-Mail-Hash“-Verfahrens verbunden werden. Das Hash-Verfahren ist ein Speicherungs- und Suchverfahren, bei dem die Adressen von Datensätzen aus den zugehörigen Schlüsseln errechnet werden, s. Duden, Informatik A-Z, Hash-Verfahren; Facebook, Datenrichtlinie, Deine Daten auf anderen Webseiten und in Anwendungen. Facebook, Open Graph; Raice, WSJ . . . Marvan, ZDnet . . . Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?. Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?; HmbBfDI, FriendFinding; LG Berlin CR , – Freundefinder; KG ZD , – Freundefinder.
32
Kapitel 1 Grundlagen
Auch von Werbekunden erhält das Soziale Netzwerk Daten über seine Mitglieder. Um Werbung für benutzerdefinierte Zielgruppen schalten zu lassen, können Facebooks Werbekunden ihre Kundenkontakte hochladen.¹²⁰ Diese können auch aus der Offline-Welt stammen, wenn etwa die Werbepartner Facebook darüber informieren, wer ihr Geschäft besucht hat.¹²¹ Bislang bietet Facebook diese Möglichkeit nur in den USA.
5. Zusammenfassung Einen Überblick über die gesammelten Daten von Facebook-Nutzern bietet Tab. 1 auf der folgenden Seite.
II. Analyse der gesammelten Daten zu Profilbildungszwecken Sog. explizite/reaktive Profile basieren ausschließlich auf eigenen Angaben der Nutzer¹²² und bilden die Grundlage der Profile Sozialer Netzwerke. Hinzu kommen die über Analyseverfahren gewonnenen Erkenntnisse, die sich bei Sozialen Netzwerken im Wesentlichen auf drei Felder beziehen: Inhalt, Netzwerkstruktur und Nutzung.¹²³
1. Analysefelder Das Content Mining (deutsch: Inhalteauswertung) bezieht sich auf Daten, die unmittelbar inhaltliche Informationen über den Nutzer transportieren. Davon umfasst sind: Texte des Nutzers oder andere Multimedia-Inhalte, Foto-, Ton- und Video-Files ebenso wie Metadaten.¹²⁴ Die Aussagekraft solcher Daten bei Sozialen Netzwerken ist besonders hoch, da die selbst gemachten Profilangaben als Ausdruck der eigenen Persönlichkeit einen hohen Wahrheitsgehalt aufweisen.¹²⁵ Zudem werden Daten aus der unmittelbaren Interaktion mit Freunden gewonnen, wodurch ein hoher Grad an Vertraulichkeit und Sensibilität besteht. Bei
Facebook, Custom Audiences. Facebook, Werbeanzeigen erstellen; Facebook, Custom Audiences. Art. WP, WP , S. ; Buxel, Customer Profiling, S. ff.; Custers, in: Custers et al., Discrimination, S. ; TUM, Digitale Profilbildung, S. . Vgl. Lappas, in: Ting/Hong/Wang, Mining, S. ; Xu/Zhang/Li, Web Mining, S. ff.; acatech, Internet Privacy , S. . Xu/Zhang/Li, Web Mining, S. f. Stopfer et al., DuD , , .
C. Profilerstellung und -nutzung am Beispiel von Facebook
33
Tab. 1: Überblick über die gesammelten Daten von Facebook-Nutzern: Informationsquelle/ -kategorie
Beschreibung
Inhalt
Registrierungsdaten
Obligatorische Angaben, Vorname, Nachname, E-Mail-Adresse, um Mitglied zu werden Geschlecht, Geburtsdatum, Passwort
Profilseite
Optionale Angaben in vorgegebenen Kategorien
Schule, Hochschule, Arbeitgeber (Netzwerk) Profilbild, Kontaktinformationen, Biografie, Interessen, Aktivitäten, Favoriten, Familienmitglieder, Beziehungsstatus und -interessen (nutzergenerierter Inhalt)
Inhaltliche Interaktion mit anderen Nutzern und Anwendungen a) Öffentliche aa) Selbst erstellte Inhalte bb) Durch Dritte erstellte Inhalte b) Individualkommunikation (Durch Dritte und selbst erstellte Inhalte)
Hochgeladene oder veröffentlichte Angaben in a) Pinnwandeinträgen, Notizen, offenen Gruppen mittels aa) Text, Links, Fotografien und Videos, Statusmeldungen, Like-Meldungen etc. bb) zusätzlich Markierungen, Orte, Freundefinder b) Chat, Nachrichten, E-Mails, Internettelefonie mit Bildübertragung, geschlossene Gruppen
Beliebige nutzergenerierte Inhalte Biometrische Daten Netzwerkinformationen (Freundeslisten, Familie, Partnerschaft, Fanseiten, Gruppenzugehörigkeit)
Nutzungsdaten
Technische Daten der Nutzung
IP-Adresse, Session-ID, Standort und Art des Browsers, Referrer, Benutzername und Passwort, Cookie-Daten, Datum, Uhrzeit, Dauer der Nutzung, Absender und Empfänger von Kommunikation; Verhaltensinformationen (welche Spiele gespielt werden, welche Anwendungen genutzt werden, welche Seiten außerhalb von Facebook besucht werden)
Metadaten
Daten über Daten
Z. B. Informationen darüber, wann und wo ein hochgeladenes Foto mit welcher Kamera aufgenommen wurde
Von Dritten bereitgestellte Daten
Inhaltliche Informationen über den Nutzer durch andere Nutzer oder Werbetreibende
Z. B. Informationen über das Bestehen eines Kontakts und die Art des Kontakts
34
Kapitel 1 Grundlagen
der Netzwerkanalyse werden soziale Beziehungen und Interaktionen in einem Netzwerk anhand der aus der Soziologie stammenden Netzwerktheorie analysiert. Hierbei können u. a. Aussagen über die Größe, Dichte und Verbundenheit sowie die Nähe von Beziehungen getroffen werden, was wiederum Rückschlüsse über den Nutzer zulässt.¹²⁶ Über Freundschaftsbeziehungen und Gruppenmitgliedschaften können Informationen mit hoher Aussagekraft und Verlässlichkeit abgeleitet werden, weil die in Interaktion mit anderen Nutzern entstehenden Daten weniger manipulationsanfällig sind als zum Beispiel selbst gemachte Angaben über die eigenen Interessen.¹²⁷ Verhaltensbezogene Profilbildung – definiert als das Herausfiltern von Mustern und die dementsprechende Gruppierung von Nutzern anhand ihres gezeigten Verhaltens¹²⁸ – speist sich überwiegend aus Logfiles,¹²⁹ Clickstream- und CookieDaten sowie dem Browserverlauf ¹³⁰ und hat ebenso wie die Netzwerkanalyse den Vorteil, dass tatsächliches Verhalten eine höhere Aussagekraft und Glaubwürdigkeit hat als selbst angegebene Daten. Je länger der Zeitraum der Datensammlung¹³¹ und je größer der Datenpool ist, auf den zugegriffen werden kann, desto deutlicher zeigen sich Verhaltensmuster und bestätigen damit ihre Richtigkeit und Konsistenz.¹³² Der Einsatz von großen Datenmengen gemessen in der Größenordnung von Zetta- oder Yottabytes (volume) aus vielfältigen Quellen (variety) mit einer hohen Verarbeitungsgeschwindigkeit (velocity) durch fortgeschrittene Datenverarbeitungstechnologie wird mit dem Schlagwort Big Data bezeichnet.¹³³ Die Analyse soll möglichst zuverlässig (veracity) etwa die Erstellung von Prognosen und das Erkennen von größeren Zusammenhängen ermöglichen.¹³⁴ Die Registrierung, Zusammenführung und Analyse des individuellen und kollektiven Nutzerverhaltens bei Sozialen Netz-
Xu/Zhang/Li, Web Mining, S. f.; MacCarthy, ISJLP , f. (). Preibusch, in: Neumann-Braun/Autenrieth, Social Web, S. . Canhoto/Backhouse, in: Hildebrandt/Gutwirth, Profiling, S. . Xu/Zhang/Li, Web Mining, S. , ff. Acatech, Internet Privacy , S. . Facebook, Datenschutzrichtlinie, Wie kann ich die Informationen über mich verwalten oder löschen?. Surma, in: Ting/Hong/Wang, Social Network Mining, S. . Gartner, Gartner Says Solving ‘Big Data’ Challenge Involves More Than Just Managing Volumes of Data, abrufbar unter: http://www.gartner.com/newsroom/id/; BITKOM, Big Data, S. ; Hoeren/Sieber/Holznagel-Hackenberg, . Rn. ff. Hoeren/Sieber/Holznagel-Hackenberg, . Rn. . Zu den Anwendungsgebieten und Erkenntnismöglichkeiten von Big Data s. überblickmäßig Weichert, ZD , , ; Tene/Polonetsky, Nw. J. Tech. & Intell. Prop. , ff. () und beispielorientiert Brill, Big Data, S. .
C. Profilerstellung und -nutzung am Beispiel von Facebook
35
werken¹³⁵ ermöglicht aufbauend auf Big Data die Bildung sog. vorhersagender (prädiktiver), nicht-reaktiver oder auch impliziter Profile. Diese können mit den expliziten Profilen zu einem Gesamtprofil kombiniert werden.¹³⁶
2. Analysemethode: Knowledge Discovery in Databases Neben der Herausforderung, insbesondere textliche Daten sowie Audio- und Videodateien linguistisch und semantisch zu analysieren,¹³⁷ spielt im Rahmen Sozialer Netzwerke insbesondere der Prozess der (semi‐)automatischen Extraktion von Wissen aus Datenbanken, genannt Knowledge Discovery in Databases (KDD),¹³⁸ eine große Rolle. Dabei werden eine Vielzahl statistischer Modelle, selbst lernende Systeme, Data Mining und Spieltheorien verwendet, um Daten zu analysieren und um daraus auf bislang unbekannte Eigenschaften zu schließen¹³⁹ oder die Wahrscheinlichkeit zukünftiger Entwicklungen zu berechnen.¹⁴⁰ Der Kern dieser Analysemethode ist das sog. Data Mining, also die Datenanalyse mittels Algorithmen.¹⁴¹ Diese finden in einer Datenbank enthaltene allgemeingültige Muster¹⁴² und Korrelationen¹⁴³ und kreieren dadurch eine neue Form von induktivem Wissen,¹⁴⁴ auf dessen Grundlage statistisch zukünftiges Verhalten voraus-
Facebook löscht die Nutzungsprofile angemeldeter Mitglieder nach bzw. Tagen, s. IDPC, Facebook Re-Audit, Annex , S. . Dies ist aber letztlich unerheblich, wenn die Nutzungsprofile zuvor analysiert wurden und das Ergebnis in ein Langzeitprofil eingeflossen ist. Art. WP, WP , S. ; Buxel, Customer Profiling, S. ff.; Custers, in: Custers et al., Discrimination, S. ; TUM, Digitale Profilbildung, S. . BITKOM, Big-Data-Technologien, S. , . Ester/Sander, Knowledge Discovery, S. f.; Custers, in: Custers et al., Discrimination, S. ff. Für ein praktisches Beispiel, welche Rückschlüsse aus der Angabe über Musikvorlieben geschlossen werden können, s. Chaabane/Acs/Kaafar, NDSS . Hildebrandt, DuD , ; Klausnitzer, Das Ende des Zufalls, S. ff. Für die Analyse umfassender Datensätze haben sich die Programmiermodelle MapReduce und seine open source Implementierung Hadoop als De-facto-Standard entwickelt, s. MayerSchönberger/Cukier, Big Data, S. . Mit dem Begriff Muster wird beim Data Mining eine Aussage bezeichnet, die Beziehungen in einem Datensatz derart beschreibt, dass die Aussage einfacher ist als die Aufzählung aller Fakten im Datensatz, s. Custers, in: Custers et al., Discrimination, S. . Ester/Sander, Knowledge Discovery, S. ; Xu/Zhang/Li, Web Mining, S. . Bei der induktiven Logik wird nach Mustern gesucht, um beobachtetes Verhalten zu erklären. Im Gegensatz dazu geht es bei der deduktiven Logik darum, eine Hypothese zu überprüfen, es soll also die Richtigkeit der Annahme eines Musters bewiesen oder widerlegt werden. Die beiden Methoden hängen eng zusammen und werden in der Praxis oft zur gegenseitigen Verfeinerung verwendet, s. Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit, S. .
36
Kapitel 1 Grundlagen
gesagt werden kann (Predictive Analytics).¹⁴⁵ Zu beachten ist, dass der Begriff „Wissen“ in diesem Zusammenhang nicht mit absoluter Wahrheit gleichgesetzt werden kann, da angefangen bei Auswahl der Daten auf jeder Stufe des Data Mining menschliches Ermessen und Einschätzen eine erhebliche Rolle spielen und auch Algorithmen auf menschlichen Entscheidungen basieren, so dass die Ergebnisse keineswegs unfehlbar sind.¹⁴⁶ Von Facebook ist bekannt, dass es einen OCPM-Algorithmus verwendet, um festzustellen, welche Nutzer eine bestimmte Handlung wahrscheinlich durchführen werden, wie etwa das Registrieren für eine bestimmte Seite oder den Kauf einer bestimmten Ware.¹⁴⁷ Den Analysealgorithmus selbst sieht Facebook, wie andere Unternehmen auch, als Betriebs- bzw. Geschäftsgeheimnis mit der Folge, dass eine unabhängige Überprüfung der Analyseverfahren und damit auch der Analyseergebnisse unmöglich ist.¹⁴⁸ Deshalb können hier nur die wichtigsten Prinzipien des KDD kurz dargestellt werden: Clustering, Klassifikation, Assoziationsregeln, Generalisierung und Evaluation.¹⁴⁹
a) Clustering Ziel des Clustering ist es, Kategorien von Gruppen (Clustern) in einer Datenbank zu finden mit der Vorgabe, dass Objekte eines Clusters einander möglichst ähnlich, Objekte verschiedener Cluster einander möglichst unähnlich sind.¹⁵⁰ Im Fall des Clustering etwa bei verhaltensbezogener Profilbildung werden die Web-Sessions aggregiert und nach ihren Ähnlichkeiten gruppiert. Das sich so ergebende Muster repräsentiert schematisiert das Surfverhalten des Nutzers.¹⁵¹ Im Fall des OCMP-Algorithmus werden nach Angaben von Facebook aggregierte und anonymisierte Cluster von Nutzern gebildet. In die Cluster fließen alle Daten über Aktionen, die ein Facebook-Mitglied auf der Facebook-Seite selbst oder
Hildebrandt, DuD , ; Scheja, Weltweite Kundendatenbank, S. ; Klausnitzer, Das Ende des Zufalls, S. ff. Mulligan, Stan. L. Rev. Online (); Zarsky, in: Custers, Discrimination, S. ; Roosendaal, Digital Personae, S. ; Cohen, Harv. L. Rev. , (); Bosco et al., in: Gutwirth/Leenes/Hert, Reforming DPL, S. . Facebook, OCMP: https://developers.facebook.com/docs/marketing-api/optimizedcpm/v. ; Facebook Studio, Conversion Measurement. Weichert, ZD , , . Ester/Sander, Knowledge Discovery, S. ff. Breinlinger, RDV , , ; Ester/Sander, Knowledge Discovery, S. . Xu/Zhang/Li, Web Mining, S. .
C. Profilerstellung und -nutzung am Beispiel von Facebook
37
außerhalb bei kooperierenden Webseiten vornimmt.¹⁵² Auf der Basis des Clustering können Nachfrager-Segmente gebildet werden, die eine zielgruppenspezifische Nutzeransprache ermöglichen.¹⁵³
b) Klassifikation Bei der Klassifikation werden Objekte aufgrund ihrer Attributwerte vorgegebenen Gruppen zugeordnet.¹⁵⁴ Auf diese Weise können Nutzer mit ähnlichen Verhaltensweisen oder Vorlieben einem bestimmten Gruppenprofil zugeordnet werden. Gruppenprofile repräsentieren eine Gruppe, denen bestimmte Eigenschaften zugeschrieben werden.¹⁵⁵
c) Assoziationsregeln Assoziationsregeln beschreiben häufig auftretende und starke Zusammenhänge innerhalb von Datenbanken. Ihr Ziel ist es, ko-existierende Verbindungen von Datensätzen aufzufinden. Auf diese Weise werden anhand von Wahrscheinlichkeiten Informationen generiert. So kann zum Beispiel festgestellt werden, welche weiteren Vorlieben ein Nutzer wahrscheinlich hat. Wenn beispielsweise einem Nutzer Produkte A und B gefallen, dann gefällt ihm möglicherweise auch Produkt C, wenn dies bei Nutzern, die ähnliche Verhaltensmuster aufweisen, so war.¹⁵⁶ Auch Facebook verfährt nach dieser Methode. Um festzustellen, ob ein Nutzer eine gewünschte Handlung wahrscheinlich vornehmen wird – etwa den Kauf einer Ware aufgrund einer entsprechenden Werbeanzeige – vergleicht es das Verhalten von Nutzern, die auf eben diese Werbeanzeige reagiert haben. Finden sich Übereinstimmungen, so wird die Werbeanzeige allen weiteren Nutzern gezeigt, die auch die gefundenen Eigenschaften aufweisen.¹⁵⁷
Rodgers, adexchanger . . : „We create aggregated and anonymized clusters of users. Any time a user takes any kind of action on Facebook or on an advertiser’s website where the pixel is installed, that action feeds back into these aggregated clusters. We create those aggregated clusters based on all the signals we get over time based on connections and actions on Facebook and off Facebook.“ LT BW Drs. /, S. ; Buxel, Customer Profiling, S. . Ester/Sander, Knowledge Discovery, S. , . Custers, in: Custers et al., Discrimination, S. ; Hildebrandt, DuD , , ; Roosendaal, Digital Personae, S. . Art. WP, WP , S. ; Buxel, Customer Profiling, S. ff.; Ester/Sander, Knowledge Discovery, S. ; Hladjk, Online-Profiling, S. . Für eine Beschreibung der hierbei verwendeten Algorithmen s. Xu/Zhang/Li, Web Mining, S. ff. Rodgers, adexchanger . . .
38
Kapitel 1 Grundlagen
d) Generalisierung Bei der Generalisierung geht es um die Zusammenfassung der Erkenntnisse zu abstrakten Aussagen über die aggregierten Daten, indem eine Menge von Daten möglichst kompakt beschrieben und die Zahl der Datensätze reduziert wird.¹⁵⁸
e) Evaluation Am Ende eines KDD-Prozesses stehen Muster und Korrelationen in Form von statistischen Daten. Im letzten Schritt werden die gefundenen Muster von einem Experten der Anwendung in Bezug auf die definierten Ziele evaluiert.¹⁵⁹ Zentrale Aufgabe ist die Einschätzung der Vorhersagekraft, d. h. wie gut sich die gefundenen Muster verallgemeinern lassen.¹⁶⁰ Unter Wissen im Sinne des KDD-Prozesses wird dann ein Muster verstanden, das vom Auswerter als relevant und ausreichend sicher eingestuft wird.¹⁶¹ Das gefundene Wissen wird dokumentiert und in das bestehende System integriert, um zur weiteren Wissensfindung beizutragen.¹⁶² Bei der Profilbildung werden die gewonnenen Erkenntnisse den Betroffenen zugeordnet, die dadurch wiederum in bestimmten Gruppen klassifiziert werden können.¹⁶³ Basiert die Einordnung zu einer Gruppe auf Annahmen, ohne dass eine Verifizierung für jeden Betroffenen erfolgt, spricht man von nicht-distributiven Profilen, da hier die Zuordnung nicht für jedes Mitglied der Gruppe zutreffend sein muss.¹⁶⁴ Die von Facebook veröffentlichten Ergebnisse bzgl. des OCMP zeigen,¹⁶⁵ dass im Vergleich zu herkömmlicher personalisierte Werbung mit der Kombination aus dem OCPM-Algorithmus und dem Conversion Tracking über Pixel-Tags die Werbeergebnisse signifikant verbessert werden können.¹⁶⁶ Als weiteres Beispiel für die Vorhersagekraft des KDD kann die Aussage des Hunch-Gründers Dixon dienen: „Wir brauchen von jedem Menschen nur zwanzig Datenpunkte, dann können wir mit weit über 90 Prozent vorhersagen, welchen
Ester/Sander, Knowledge Discovery, S. , . Ester/Sander, Knowledge Discovery, S. . Ester/Sander, Knowledge Discovery, S. . Custers, in: Custers et al., Discrimination, S. . Ester/Sander, Knowledge Discovery, S. . TUM, Digitale Profilbildung, S. . Hildebrandt, DuD , , f.; Roosendaal, Digital Personae, S. . Facebook Studio, Conversion Measurement. Facebook spricht von einer Kostenersparnis von Pozent, s. Facebook Studio, Conversion Measurement; Rodgers, adexchanger . . .
C. Profilerstellung und -nutzung am Beispiel von Facebook
39
Geschmack er hat und welche Dinge er mögen wird.“ Folgende Fragen stellt Hunch: „Können Sie selbst ein Dolby-Surround-System anschließen? Ist es falsch Delfine in Shows auftreten zu lassen? Sind Sie eine Mac-Person oder ein PC-Typ? Cola oder Pepsi? Sind Sie in der Schule viel gehänselt worden? Zwanzig Fragen sind es – und die Ergebnisse dann atemberaubend zielgenau: bis hin zu einzelnen Büchern, Schuhmodellen und politischen Einstellungen.“¹⁶⁷ Das Unternehmen Psyware aus Aachen analysiert mit dem Programm „Precire“ Sprachaufzeichnungen von wenigen Minuten Dauer und erstellt damit Persönlichkeitsprofile, die zu 90 Prozent an das herankommen, was nach derzeitigem Stand der Forschung mehrtägige psychologische Testverfahren herausfinden.¹⁶⁸
3. Konsequenzen Aus der dargestellten Art der Datenerfassung und ihrer Analyse ergeben sich zwei wichtige Konsequenzen: Zum einen ist die Qualität des Datensatzes Sozialer Netzwerke in der Regel hoch, so dass die Analyse ein weitreichendes und intimes bzw. sensibles Wissen über den Einzelnen enthüllen kann.¹⁶⁹ Zum anderen basieren die Informationen auch auf Wahrscheinlichkeiten, die nicht zwangsläufig zutreffen müssen, da die Verlässlichkeit der abgeleiteten Informationen nicht nur von der Richtigkeit des Ausgangsdatensatzes abhängt, sondern auch von der Qualität der Analysealgorithmen. Die Validität der Analysealgorithmen ist jedoch nicht bekannt.
III. Kommerzielle Profilnutzung Die Kategorisierung von Nutzern erleichtert automatische Entscheidungen. Je nachdem, welcher Kategorie ein Nutzer zugeordnet ist, erhält er bestimmte Angebote oder Werbeanzeigen oder nicht.¹⁷⁰
Fischermann/Hamann, Zeitbombe Internet, S. f. Hummel, FAS . . , S. . Hildebrandt, DuD , , . Roosendaal, Digital Personae, S. .
40
Kapitel 1 Grundlagen
1. Werbung Von Sozialen Netzwerken werden Profilinformationen ihrer Mitglieder derzeit dafür genutzt, Werbekunden automatisiert maßgeschneiderte Werbung zu ermöglichen und den Erfolg von Werbeaktionen zu überprüfen.¹⁷¹ Bei Facebook können die Werbetreibenden für zielgruppenorientierte Anzeigen auf Facebook-eigenen Seiten und Apps sowie auf Drittseiten aus folgenden Gruppen wählen: Wohnort, Geschlecht, Alter, Vorlieben und Interessen, Beziehungsstatus, Arbeitsplatz und Ausbildung sowie Mitglieder, mit denen der Werbetreibende zum Beispiel über seine Seite in Verbindung steht.¹⁷² Zusätzlich zu den großen Gruppen kann der Werbetreibende „präzise Interessen“ seiner Zielgruppe auswählen, wie etwa „kochen“.¹⁷³ Facebook kann zudem für seine Werbekunden die passende Zielgruppe finden.¹⁷⁴ Interessen und Vorlieben potentieller Kunden werden durch die Feststellung der häufigsten Schlagwörter, die Interessenten verwenden, ermittelt.¹⁷⁵ Außerdem können nach den oben beschriebenen Assoziationsregeln auch Mitglieder erreicht werden, die ein bestimmtes Interesse zwar nicht explizit erwähnen, jedoch andere Inhalte, die für die gewünschte Kategorie relevant sind.¹⁷⁶ In den USA ist durch die Zusammenarbeit mit Marktforschungsinstituten eine noch stärkere Personalisierung möglich als in Europa (s. Abb. 1). Die Institute stellen Facebook Daten über das Konsumverhalten von Tausenden US-Haushalten zur Verfügung, wodurch ein Abgleich zwischen gezeigten Werbeanzeigen und gekauften Produkten individuell möglich wird.¹⁷⁷
Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?. Facebook, Werbeanzeigen erstellen; Facebook, Zielgruppen. Facebook, Werbeanzeigen erstellen; Facebook, Zielgruppen. Facebook, Finde Personen, die deinen Kunden ähneln, s. https://www.facebook.com/busi ness/learn/facebook-ads-lookalike-audiences/; Mörl/Groß, Soziale Netzwerke, S. ; Kirkpatrick, Der Facebook-Effekt, S. . Facebook, Finde Personen, die deinen Kunden ähneln, s. https://www.facebook.com/busi ness/learn/facebook-ads-lookalike-audiences/; Facebook, Facebook-Werbeanzeigen, Zielgruppen, s. https://de-de.facebook.com/help/www/. Facebook, Facebook-Werbeanzeigen, Zielgruppen, s. https://de-de.facebook.com/help/ www/. Facebook, Partner Categories; Turow, The Daily You, S. f.; Kirkpatrick, Der FacebookEffekt, S. .
C. Profilerstellung und -nutzung am Beispiel von Facebook
41
Abb. 1 Quelle: Facebook, Partner Categories.
2. Weitergabe statistischer Daten zur Reichweitenanalyse Die Datenweitergabe an Werbekunden erfolgt im Wesentlichen¹⁷⁸ über den Dienst „Insights“, mit dem Facebook den Administratoren umfassende Statistiken zur Nutzung ihrer Seite zu Verfügung stellt.¹⁷⁹ Abgebildet werden Informationen zu Reichweite, Nutzerzuwachs und -verhalten sowie Demographie und Geographie.¹⁸⁰ Die Reichweitenanalyse wird anhand von Klicks und Impressionen, also der Häufigkeit des Seitenaufrufs, gemessen.¹⁸¹
3. Künftige kommerzielle Nutzungsmöglichkeiten Wie Mayer-Schönberger treffend bemerkt, steht Facebook zu einem großen Teil nicht für das in der Kritik, was das Unternehmen bislang mit den Daten getan hat,
Zusätzlich werden Nutzerkennnummern an mit Facebook verbundene Betreiber weitergegeben, wenn ein Mitglied das Angebot des Dritten nutzt. Dadurch erhalten sie Name, Nutzernummer, Nutzername, Profilbild, Geschlecht, Alter, Standort und Netzwerk, Altersgruppe, Sprache, Land und die Freundesliste sowie Zugriff auf alle als öffentlich eingestellten Informationen, s. Facebook, Datenrichtlinie, Wie werden diese Informationen geteilt?; ULD, Reichweitenanalyse, S. . Da sich diese Form der Datenweitergabe auf Teilangaben der von den Nutzern selbst erstellten Facebook-Profile beschränkt und nicht auf den vom Sozialen Netzwerk aggregierten Profilen basiert, ist sie nicht Gegenstand dieser Untersuchung. Zur rechtlichen Bewertung, s. LG Berlin ZD , – . ULD, Reichweitenanalyse, S. ; Facebook, Platform Insights, s. https://developers.facebook. com/docs/platforminsights. ULD, Reichweitenanalyse, S. ; Facebook, Metriken für Seitenbeiträge, s. https://www.face book.com/help/. ULD, Reichweitenanalyse, S. .
42
Kapitel 1 Grundlagen
sondern vielmehr dafür, was es damit machen kann.¹⁸² Facebook hat 2015 rund 1,44 Milliarden aktive Nutzer,¹⁸³ die über 1000 Billionen Freundschaften miteinander verbunden sind. Der sich daraus ergebende soziale Graph stellt mehr als 10 Prozent der gesamten Weltbevölkerung dar, der datenmäßig festgehalten einem einzigen Unternehmen zur Verfügung steht. Daraus ergeben sich bisher ungekannte Nutzungsmöglichkeiten.¹⁸⁴ Laut Berichten aus der Führungsebene des Unternehmens plant Facebook zu einem Informationsspeicher zu werden, vergleichbar mit einer Vermittlungsstelle oder einem Identitätsregister.¹⁸⁵Aufgrund des großen Datenbestands bietet sich das Geschäftsmodell einer Auskunftei für Soziale Netzwerke in der Tat besonders an. Einige Beispiele sollen die Reichweite der sowohl von Privaten als auch vom Staat nachgefragten Informationen¹⁸⁶ beleuchten und damit ein Schlaglicht auf das Potential des Geschäftsmodells und die Interessen an der Profilnutzung werfen. Für seine Mitglieder bietet Facebook bereits die Möglichkeit, nach anderen Nutzern oder nach bestimmten Themen in den öffentlichen Beiträgen aller Nutzer zu suchen.¹⁸⁷ Gut vorstellbar ist, dass diese Funktion weiter ausgebaut wird und sich in eine Vermittlung von Kontakten aller Art entwickelt, sei es eine Partnervermittlung oder eine Art Jobbörse. Schon heute suchen sowohl Arbeitgeber als auch Arbeitnehmer nach Informationen über ihren potentiellen Vertragspartner in Sozialen Netzwerken. Nach einer Umfrage durchsuchten 2010 75 Prozent der befragten US-Unternehmen das Internet nach Informationen über den Bewerber und 70 Prozent haben sich aufgrund dieser Informationen bereits gegen Bewerber entschieden.¹⁸⁸ Anfang 2014 hat Facebook zudem den Dienst „NewsWire“ ins Leben gerufen, der von Facebook-Nutzern geteilte Inhalte sammelt und Journalisten als Informationsquelle zur Verfügung stellt.¹⁸⁹ Auch im Bereich der Kreditwürdigkeit seiner Nutzer können Soziale Netzwerke aufschlussreiche Informationen liefern. Allein die Freundesliste lässt auf die Solvenz der Betroffenen signifikante Rückschlüsse zu.¹⁹⁰ Ähnlich wie beim Werbesystem könnten Verkäufer oder Dienstleister bei Facebook erfragen, in welche Einkommenskategorie Nutzer einzuordnen sind, und die angebotenen
Mayer-Schönberger/Cukier, Big Data, S. . Facebook, Q I Earnings, S. . Mayer-Schönberger/Cukier, Big Data, S. . Kirkpatrick, Der Facebook-Effekt, S. . BT-Drs. /, S. . Facebook, Search; LfD BW, . TB, S. . Rosen, N. Y. Times . . . Facebook, Newswire. MacCarthy, ISJLP , f. ().
C. Profilerstellung und -nutzung am Beispiel von Facebook
43
Preise entsprechend anpassen (Preisdiskriminierung).¹⁹¹ Die SCHUFA wollte aus Nutzerdaten von Sozialen Netzwerken Erkenntnisse über die Kreditwürdigkeit Einzelner gewinnen, nahm davon aber nach Protesten Abstand.¹⁹² Einblick in das Profil der Nutzer Sozialer Netzwerke ist auch für die Versicherungswirtschaft von großem Interesse.¹⁹³ Laut Medienberichten versuchen zum Beispiel Lebensversicherer, die Lebenserwartung ihrer Kunden über Profile Sozialer Netzwerke abzuschätzen.¹⁹⁴ Andere wiederum wollen den Versicherungstarif an das in Profilen sichtbare Verhalten ihrer Kunden anpassen.¹⁹⁵ Auch Pharmakonzerne durchsuchen Soziale Netzwerke nach Patienteninformationen, um Erkrankte oder für bestimmte Krankheiten Anfällige als potentielle Kunden ansprechen zu können.¹⁹⁶ Wie nachgefragt Persönlichkeitsprofile sind, zeigt beispielsweise auch der breitgefächerte Kundenkreis des auf Sprachanalyse spezialisierten Unternehmens Psyware, das seine Dienstleistung u. a. für Banken, Versicherungen, Krankenkassen, Hotelgruppen, Online-Partnerbörsen, Personaldienstleister und die Polizei anbietet.¹⁹⁷ Verlässt man den Fokus auf das Individualprofil, zeigt sich, dass im Grunde die großen Datenmengen Sozialer Netzwerke für jede Branche von Interesse sind, die zukünftige Entwicklungen und Risiken abschätzen muss, wie zum Beispiel die Börse.¹⁹⁸ Die sächsische Landesregierung wollte Soziale Netzwerke dazu nutzen, um die politische Stimmung einzufangen, entschied sich aber aufgrund massiven Widerstands der Bevölkerung dagegen.¹⁹⁹ Ebenso kann Facebook Unternehmen bei der Marktforschung unterstützen und ihnen die Möglichkeit geben, Geschäftsideen vor ihrer Umsetzung mittels Data Mining-Verfahren²⁰⁰ zu testen. Denkbar ist auch, dass Facebook Teile seiner umfassenden Datenbank der Wissenschaft gegen Entgelt zur Verfügung stellt, um die positiven Effekte des Big DataPhänomens²⁰¹ in verschiedenen Disziplinen zu ermöglichen.²⁰²
Acatech, Internet Privacy , S. . LfD BW, . TB, S. MacCarthy, ISJLP , (). Scism/Maremont, Wall St. J. . . . Bsp. des Internetproviders Vodafone, der die Kundendaten für verhaltensbasierte Versicherungen verwenden möchte, s. http://www.youtube.com/watch?v=dbUxzYc. Unwatched.org, Tracking. Hummel, FAS . . , S. . Mayer-Schönberger/Cukier, Big Data, S. ff. LfD BW, . TB, S. Acatech, Internet Privacy , S. . Zum Begriff siehe oben: Teil , Kap. , C., II., . Trottier, Social Media, S. f.; acatech, Internet Privacy , S. .
Kapitel 2 Interessenanalyse Die Darstellung der Interessen in Bezug auf Profile Sozialer Netzwerke dient als Grundlage für die Bewertung, ob die gesetzlich getroffenen Regelungen zur Erfassung der Bedrohungen durch Soziale Netzwerke interessengerecht sind.
A. Betreiber- und Drittinteressen an der Profilbildung und -nutzung Wie die obige Darstellung der Profilnutzung zeigt, liegt das Potential zur Erschließung neuer Geschäftsfelder in einer gelungenen Personalisierung. Privatpersonen, die beispielsweise auf Partnersuche sind, Werbekunden, Arbeitgeber, Versicherungen oder Journalisten müssen sich darauf verlassen können, dass die Informationen, die sie bei Sozialen Netzwerken nachfragen, akkurat, umfassend und zuverlässig sind. Eine akkurate Personalisierung wird deshalb zukünftig das Hauptanliegen der Betreiber Sozialer Netzwerke sein. Bereits derzeit beweist die profilbasierte Personalisierung ihren Wert für Soziale Netzwerke in der Werbung: Werbeeffizienz bemisst sich über die Relation zwischen Mitteleinsatz und Zielsetzung, die aus psychologischer Werbewirkung und Werbeerfolg bestehen kann.¹ Durch individualisierte Werbung steigt die Wahrscheinlichkeit, dass der Inhalt vom Empfänger als relevant eingestuft wird, was die erzielbaren Gewinne je angezeigter Werbung erhöht.² Personalisierte Werbung bringt weniger Streuverluste mit sich als ungezielte und ist dadurch effizienter.³ Eine Studie fand 2010 heraus, dass OBA zweimal so effektiv ist, ihre Betrachter zum Kauf des beworbenen Produkts zu bewegen.⁴ Facebook machte im ersten Quartal 2015 einen Umsatz von USD 3,543 Mrd., davon USD 3,317 Mrd. mit Werbeeinnahmen.⁵ Bei Facebook tragen Werbeanzeigen damit zu knapp 94 Prozent zur Finanzierung bei.⁶ Aufgrund seines umfangreichen Datenpools⁷ stellt Facebook seinen Werbekunden weit spezifischere Optionen zur
Ottensmann, Werbewirkung, S. . BT-Drs. / (Internetenquete), S. . FTC, Profiling , S. . NAI, Value, S. ; MacCarthy, ISJLP , (). Facebook, Q I Results. Für andere Soziale Netzwerke, s. Ottensmann, Werbewirkung, S. ; fsm, Verhaltenskodex, X. . Abs. . Zwischen und konnte Facebook , Trillionen Daten kommerziell verwertbarer Inhalte wie „Likes“ und Posts nutzen, s. Mayer-Schönberger/Cukier, Big Data, S. .
A. Betreiber- und Drittinteressen an der Profilbildung und -nutzung
45
Bestimmung ihrer Zielgruppe zur Verfügung als andere Webseiten,⁸ wie zum Beispiel Anzeigen, die sich generell an 24jährige Single-Frauen aus Berlin richten oder ausschließlich an Angestellte der Firma X in Stadt Y.⁹ Ein genaues Targeting erfordert einen breit gefächerten, ständig aktualisierten Datensatz. Es liegt deshalb im Interesse der Betreiber Sozialer Netzwerke, möglichst umfassend über ihre Nutzer informiert zu sein. Einschränkungen des Umfangs oder des Inhalts von Profilen bedeuten eine Verschlechterung der Zielgenauigkeit und damit eine Verringerung der Gewinnerzielungsmöglichkeiten. Die Datenpreisgabe soll deshalb für den Nutzer Teil seines natürlichen Online-Verhaltens sein, das möglichst wenig in sein Bewusstseinsfeld gerät. Dies zeigt sich deutlich am Design der Diensteangebote Sozialer Netzwerke, welche die Kommunikation der Nutzer untereinander in den Vordergrund stellen und die Datensammlung durch den Betreiber möglichst in den Hintergrund treten lassen wollen.¹⁰ Gleiches gilt für Tracking-Tools, die für den Nutzer nicht erkennbar Nutzungsdaten sammeln. Der Hinweis auf Datensammlung und ‐nutzung und die Abfrage von diesbezüglichen Entscheidungen könnte die Bedienungsfreundlichkeit und die Schnelligkeit der Internetnutzung deutlich stören und verlangsamen.¹¹ Um ein möglichst authentisches Profil erstellen zu können, ist es zudem notwendig, auf möglichst viele Quellen zuzugreifen und im besten Fall ein ständiger Begleiter der Nutzer zu sein. Im Hinblick auf dieses Ziel gehen die Interessen der Betreiber Sozialer Netzwerke mit denen ihrer Kunden Hand in Hand. Durch die Einbindung von Social Plugins wie Like Buttons in ihrer Internetpräsenz können Unternehmen und Private die Zugriffsrate um bis 200 Prozent und die Verweildauer um bis zu 80 Prozent steigern.¹² Die Erstellung von Fanpages ermöglicht es ihnen, auf einem neuen Weg mit ihren (potentiellen) Kunden in Kontakt zu kommen. Gleichzeitig bedeutet jeder Like Button und jede Fanpage die Eröffnung eines neuen Datenzustroms für Facebook, so dass der Betreiber des Sozialen Netzwerks auch außerhalb der eigenen Seite über die Aktivitäten seiner Nutzer informiert wird, während die Unternehmen ihre Bekanntheit steigern können. Somit besteht ein wechselseitiges Interesse an einer möglichst weiten Verbreitung der Facebook-Tools und ihrer unkomplizierten Nutzung.
Kirkpatrick, Der Facebook-Effekt, S. . Kirkpatrick, Der Facebook-Effekt, S. . Debatin et al., JCMC , (). European Social Networks, Response to EC , S. . Roosendaal, Digital Personae, S. .
46
Kapitel 2 Interessenanalyse
Zu dem Interesse der Betreiber an einer einfachen und umfassenden Datensammlung tritt der Wunsch, Daten möglichst nicht löschen zu müssen.¹³ Zum einen verbessert sich durch die dauerhafte Speicherung die Aussagekraft der Daten. Zum anderen sind auch ältere Daten für künftige Nutzungsmöglichkeiten verwertbar. Die Betreiber haben dementsprechend auch ein Interesse, den Datensatz für möglichst vielfältige Zwecke nutzen zu können und sich zukünftige Nutzungsoptionen offen zu halten. Darüber hinaus haben Soziale Netzwerke ein wirtschaftliches Interesse daran, dass Mitglieder nur ein Netzwerk nutzen und ein Datentransfer ausgeschlossen ist.¹⁴ Zusammenfassend sind Betreiber und ihre Werbekunden bestrebt, den derzeitigen Status Quo zu erhalten, der es ihnen ermöglicht, umfangreiche Daten zu erheben und zu nutzen, ohne dass die Betroffenen notwendigerweise davon Kenntnis erlangen.
B. Privatheitsinteressen der Nutzer Der Facebook-Gründer Marc Zuckerberg¹⁵ und Vertreter der sog. Post-Privacy-Bewegung diagnostizieren eine veränderte Einstellung zur Privatheit: das Teilen von Informationen entspreche einer neuen sozialen Norm.¹⁶ Wie an dem offenherzigen Kommunikationsverhalten von Nutzern Sozialer Netzwerke abzulesen sei, habe sich in der Gesellschaft ein Wertewandel vollzogen. Insbesondere bei sog. Digital Natives bestehe ein Interesse an Privatheit nicht mehr in dem Maß wie bei Menschen, die ohne das Internet aufgewachsen sind.¹⁷ Auch wissenschaftliche Studien zeigten, dass Menschen auch für kleinste Vorteile bereit seien, ihre Daten preiszugeben.¹⁸
Facebook, Response to EC , S. . European Social Networks, Response to EC , S. . Marc Zuckerberg im Interview mit Michael Arrington am . . , abrufbar unter: http:// www.spiegel.de/netzwelt/web/mark-zuckerberg-facebook-boss-nennt-weniger-datenschutz-zeit gemaess-a-.html: „Die Leute finden es angenehm, nicht nur Informationen und andere Dinge zu teilen, sondern dies auch stärker öffentlich und mit einer größeren Anzahl von Menschen zu tun. Diese soziale Norm hat sich einfach über die Jahre verändert.“ Übersetzung von JFF, Persönliche Informationen?, S. . Kirkpatrick, Der Facebook-Effekt, S. , ; Zschunke, stern . . . Microsoft, Bewusstseinswandel, S. ; IWGDPT, Rom Memorandum, S. ; Parr, mashable . . ; Kirkpatrick, Der Facebook-Effekt, S. ; Schertz/Höch, Privat war gestern, S. . Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , . Vor die Wahl zwischen zwei Online-Geschäften gestellt, die sich darin unterscheiden, dass das eine mehr Daten von seinen Nutzern verlangt und die Produkte dafür um € günstiger anbietet, entscheiden sich von
B. Privatheitsinteressen der Nutzer
47
Im folgenden Abschnitt soll deshalb untersucht werden, ob und wie intensiv Nutzer im Rahmen der kommerziellen Sammlung und Verwertung ihrer Daten noch Interesse an Privatheit haben und wie sie sich konkret zur Profilbildung und ‐nutzung positionieren. Dazu werden das Nutzerverhalten und die Einstellungen der Nutzer anhand entsprechender Studien analysiert.
I. Besteht ein Interesse an Privatheit noch? Nach einer repräsentativen deutschen Studie aus 2014 halten 91 Prozent aller befragten Internetnutzer den Schutz persönlicher Daten in Sozialen Netzwerken für „wichtig“ – davon 74 Prozent sogar für „sehr wichtig“.¹⁹ Für 69 Prozent ist mangelnder Datenschutz das Hauptmotiv, einem Sozialen Netzwerk nicht beizutreten.²⁰ Bei Sozialen Netzwerken haben altersunabhängig rund 60 Prozent der Nutzer restriktivere Privatsphäreeinstellungen gewählt, als sie vom Betreiber vorgegeben sind²¹ und bei der Einführung des Dienstes „Beacon“, der automatisch den Kontakten mitteilte, welche Einkäufe der Nutzer im Internet getätigt hat, war der öffentliche Aufschrei so groß,²² dass Facebook den Dienst wieder zurückziehen musste.²³ Auch für Kinder und Jugendliche ist es nach aktuellen Studien wichtig, selbst entscheiden zu können, wer Zugang zu welchen Daten hat.²⁴ Zahlreiche Untersuchungen zeigen, wie Jugendliche im Internet ihre Privatheit zu schützen versuchen.²⁵ Zwischen Erwachsenen und Jugendlichen bestehen hinsichtlich ihrer Sorge um ihre Privatsphäre keine signifikanten Unterschiede.²⁶ Auch Nutzer Sozialer Netzwerke haben demnach ein Interesse am Schutz ihrer Privatheit. Fraglich ist jedoch, inwieweit dies auch in Bezug auf die Datenver-
Personen für das preisgünstigere Geschäft, s. Beresford/Kübler/Preibusch, Economics Letters , , (). Für die Studie von TNS Emnid wurden Anfang insgesamt deutsche Internetnutzer im Alter ab Jahren befragt, s. http://www.heise.de/newsticker/meldung/Deutsche-bemaen geln-Datenschutz-in-sozialen-Netzwerken-.html. Ottensmann, Werbewirkung, S. . EC, Eurobarometer , S. ; PewInternet, Privacy Management, S. ff.; PewInternet, Teens, S. , . In Deutschland sind es mit Prozent sogar etwas mehr, s. BITKOM, Nutzung, S. . Lane v. Facebook, Inc., F.d (th Cir. ). Über . von den bestehenden Millionen Facebook-Nutzern wandten sich in einer Petition gegen die Einführung des Dienstes, s. Story/Stone, N. Y. Times . . . FTC, Consumer Privacy , S. . JFF, Persönliche Informationen, S. ; BITKOM, Jugendliche. Boyd, Taken Out of Context, S. ; PewInternet, Teens, S. , f. Hoofnagle et al., Young Adults, S. f.
48
Kapitel 2 Interessenanalyse
wertung durch den Betreiber zutrifft. Zwar ist auf der einen Seite belegt, dass die Mitglieder Sozialer Netzwerke verstärkt darauf achten, dass möglichst wenige Informationen für die Öffentlichkeit sichtbar sind. Auf der anderen Seite teilen sie mit dem begrenzten Zuhörerkreis aber mehr Informationen als zuvor.²⁷ Außerdem haben die Daten, die Betreibern Sozialer Netzwerke zur Verfügung stehen durch die Erweiterung des Diensteangebots über die Jahre deutlich zugenommen.²⁸ Möglicherweise haben die Nutzer weniger Bedenken, gegenüber den Betreibern Sozialer Netzwerke Informationen über sich offenzulegen, oder sie begrüßen die Vorteile, die eine Profilerstellung durch den Betreiber mit sich bringt. Durch Personalisierung ist die Wahrscheinlichkeit höher, dass dem Nutzer Werbung gezeigt wird, die ihn tatsächlich interessiert.²⁹ Personalisierte Dienste ermöglichen ein besonderes Nutzungserlebnis.³⁰ Nicht zuletzt trägt profilbasierte Werbung zur Finanzierung kostenloser Dienste bei.³¹ Die Frage, ob sie das umfangreiche Sammeln und Auswerten von Daten durch Unternehmen „in Ordnung finden“, beantworten 2013 71 Prozent der befragten Deutschen ablehnend. Bei den Mitgliedern Sozialer Netzwerke sind es dagegen nur 53 Prozent (s. Abb. 2 auf der nächsten Seite).³² Fraglich ist, ob daraus geschlossen werden kann, dass Nutzer Sozialer Netzwerke der Profilbildung gerade durch Soziale Netzwerke aufgeschlossener oder zumindest weniger ablehnend gegenüberstehen. Dem widersprechen Studien aus 2013: Danach gefragt, ob der Datenschutz in Sozialen Netzwerken verbessert werden muss, stimmten die Mitglieder Sozialer Netzwerke fast im gleichen Maß wie Nicht-Mitglieder zu und zwar mit 74 zu 78 Prozent (s. Abb. 3 auf der nächsten Seite).³³ Insbesondere gegenüber dem OBA, d. h. gegenüber Werbung, die auf dem Surfverhalten von Internetnutzern basiert, besteht sowohl in den USA also auch in Deutschland eine große Ablehnung.³⁴
EC JRC, Pan-European Survey, S. ; Debatin et al., JCMC , (); PewInternet, Teens, S. , . Stutzmann/Gross/Acquisiti, JPC f., f. (). FTC, Profiling , S. f.; Sovern, Wash. L. Rev. , (). FTC, Profiling , S. . FTC, Profiling , S. f.; White House, Big Data, S. . Deutsche Telekom, Sicherheitsreport , S. . Deutsche Telekom, Sicherheitsreport , S. . Studien zeigen, dass keine signifikanten Unterschiede zwischen verschiedenen Altersgruppen bestehen: Hoofnagle et al., Young Adults, S. f.; BITKOM, Nutzung, S. . Turow et al., Tailored Advertising, S. f.; Baig, USA Today . . ; PreferenceCentral, Online Advertising, S. ; EC, Eurobarometer Germany, S. .
B. Privatheitsinteressen der Nutzer
49
Abb. 2 Quelle: Deutsche Telekom, Sicherheitsreport 2013, S. 13.
Abb. 3 Quelle: Deutsche Telekom, Sicherheitsreport 2013, S. 18.
Eine Studie von 2013 belegt, dass 2/3 der US-Amerikaner ein Verbot von OBA befürworten und im Internet surfen wollen, ohne dass ihr Verhalten verfolgt und kommerziell ausgewertet wird.³⁵ In einer weiteren Studie konnte gezeigt werden, dass die Ablehnung der Befragten gegenüber OBA auf 84 Prozent anstieg, wenn die Befragten darüber aufgeklärt wurden, dass „Targeted Ads“ mit Hilfe von Cookies, Datenanalyse und Profilbildung erstellt werden.³⁶ In der EU lehnten 2011 laut einer groß angelegten Eurobarometer-Umfrage im Durchschnitt 54 Prozent der Befragten personalisierte Werbung ab, während die Deutschen mit knapp
Adobe, Click Here (), S. . Dieser Wert ist seit konstant geblieben: Baig, USA Today . . ; MacCarthy, ISJLP , Fn. (). Turow et al., Tailored Advertising, S. f.; MacCarthy, ISJLP , ().
50
Kapitel 2 Interessenanalyse
70 Prozent deutlich darüber liegen (s. Abb. 4).³⁷ Die in 2015 erneut durchgeführte Befragung zeigt, dass diese Werte konstant sind.³⁸
Abb. 4 Quelle: EC, Eurobarometer Germany, S. 1.
Laut einer Umfrage in den USA aus dem Jahr 2000 wollen 89 Prozent nicht, dass ihr Surfverhalten in einem Profil zusammengeführt wird. Die Ablehnung erhöht sich auf 95 Prozent, wenn das Profil Kreditkartendaten oder den medizinischen Status beinhaltet.³⁹ Auch das anonyme Tracken und das Erstellen eines anonymen Profils werden von über 60 Prozent der befragten Internetnutzer abgelehnt.⁴⁰ Auch Nutzer Sozialer Netzwerke stehen Profilbildung grundsätzlich kritisch gegenüber.⁴¹ Besonders wichtig ist es allen Internetnutzern, selbst kontrollieren zu können, wer welche Informationen erhält: 2/3 sind dafür, dass in jedem Fall vor der Erhebung persönlicher Daten nach ihrer Zustimmung gefragt werden muss.⁴²
EC, Eurobarometer Germany, S. . EC, Eurobarometer , S. . Business Week/Harris Poll, A growing Threat; FTC, Online Profiling, S. . Business Week/Harris Poll, A growing Threat; FTC, Online Profiling, S. ;Turow et al., Tailored Advertising, S. . EC JRC, Pan-European Survey, S. . EC, Eurobarometer , S. .
B. Privatheitsinteressen der Nutzer
51
Zusammenfassend lässt sich festhalten, dass nach den Nutzerbefragungen auch im Kontext der kommerziellen Datenverwertung nach wie vor ein hohes Interesse am Privatheitsschutz besteht und von einem diesbezüglichen Wertewandel nicht gesprochen werden kann. Geklärt werden muss jedoch, ob anderen Erwägungen – insbesondere den Vorzügen Sozialer Netzwerke, wie etwa der Möglichkeit der Selbstdarstellung und der Kommunikation mit einem großen Netzwerk sowie der kostenfreien Dienstenutzung – ein höherer Stellenwert beigemessen wird, d. h. ob der Wunsch nach einem Schutz der Privatheit zwar abstrakt besteht, aber in der Praxis ökonomischen und anderen Interessen bewusst untergeordnet wird. Dies würde die Bedeutung der Privatheit für den Einzelnen und damit seine Schutzinteressen relativieren.
II. Ist die (kostenfreie) Nutzung wichtiger als der Schutz der eigenen Daten? Es wurden verschiedene Studien zur Klärung der Frage durchgeführt, ob Nutzer von kostenfreien Internetdiensten bereit sind, Beiträge zu zahlen, damit im Gegenzug ihre Daten nicht kommerziell verwendet werden. Ein eindeutiges Ergebnis lässt sich den Umfragen nicht entnehmen.⁴³ Es finden sich Studien, die eine Nutzerpräferenz von 55 Prozent für eine Finanzierung über personalisierte Werbung ergeben,⁴⁴ ebenso wie Studien, wonach die Mehrheit der Nutzer (61 Prozent) glaubt, dass die damit verbundenen Eingriffe in die Privatheit nicht durch einen kostenfreien Zugang zum Dienst aufgewogen werden können.⁴⁵ Die durchgeführten Umfragen weisen nicht nur uneinheitliche Ergebnisse, sondern auch systematische Mängel auf, da sie weitere Möglichkeiten der Finanzierung Sozialer Netzwerke unberücksichtigt lassen, wie etwa nicht profilbasierte Werbung.⁴⁶ Klärung für die Bestimmung der tatsächlichen Nutzerpräferenz könnte das tatsächliche Nutzerverhalten bringen, das zeigt, wie Internetnutzer die Abwägungsentscheidung in der Praxis fällen. Im Folgenden wird daher das Nutzerverhalten dargestellt und auf seine Aussagekraft hin untersucht.
Bsp. verschiedener Studien bei ENISA, Monetising Privacy, S. f.; DIVSI, Studie Daten, S. . PreferenceCentral, Online Advertising, S. ; McDonald/Cranor, Beliefs and Behaviors, S. . Morales, Gallup . . . Yakowitz Bambauer, Notre Dame L. Rev. , Fn. ().
52
Kapitel 2 Interessenanalyse
1. Tatsächliche Nutzung Obwohl die große Mehrheit der Internetnutzer OBA ablehnt, gaben nur 15 Prozent der Teilnehmer einer Studie von 2010 an, dass sie eine Seite nicht mehr nutzen würden, falls sie verhaltensbezogene Werbung zeigt.⁴⁷ In den USA und Deutschland werden neue Anwendungen und Dienste des Web 2.0 ausgiebig genutzt.⁴⁸ Größter Beliebtheit erfreuen sich US-amerikanische Soziale Netzwerke, datenschutzfreundlichere deutsche Alternativen verlieren dagegen zunehmend Mitglieder.⁴⁹ SchülerVZ wurde 2013 abgeschaltet,⁵⁰ ebenso Werkenntwen 2014.⁵¹ Auch wenn 62 Prozent der Nutzer Facebook, 64 Prozent Google+ und 70 Prozent Twitter im Hinblick auf den Datenschutz misstrauen,⁵² waren 2014 28 Millionen Deutsche Mitglied bei Facebook⁵³ und 936 Millionen Menschen weltweit nutzten das Netzwerk täglich.⁵⁴ Bei Google+ wird die Mitgliederzahl auf 15 Millionen und bei Twitter auf etwa 3 Millionen geschätzt.⁵⁵ Studien belegen, dass auch diejenigen, die nach eigenen Angaben besorgt um ihre Privatheit sind, Sozialen Netzwerken beitreten.⁵⁶ Zudem geben Mitglieder trotz ihrer in Studien geäußerten Bedenken bezüglich des Privatheitsschutzes mehrheitlich identifizierende und zum Teil auch sensible Daten über sich preis.Wie Abb. 5 (auf der nächsten Seite) zeigt, geben 84 Prozent der Nutzer ihren Namen an, mehr als die Hälfte stellen Fotografien von sich ein (57 Prozent) ebenso wie ihre Nationalität (51 Prozent).⁵⁷ Die von den Beteiligten geäußerten Privatheitsbedenken haben Studien zufolge keine oder kaum Auswirkungen auf das Nutzungsverhalten der Teilnehmer und die Entscheidung, welche Daten sie in Anbetracht bekannter Risiken veröffentlichen.⁵⁸
McDonald/Cranor, Beliefs and Behaviors, S. . BT-Drs. / (Internetenquete), S. . BITKOM, Nutzung, S. f. LfD BW, . TB BW /, S. f. http://www.werkenntwen.de/. BITKOM, Soziale Netzwerke (), S. . Zum Misstrauen gegenüber Internet-Firmen wie Sozialen Netzwerken und Suchmaschinen allgemein s. auch EC, Eurobarometer Germany, S. . Statista, Anzahl der aktiven Nutzer. Facebook, Q I Earnings, S. . In Deutschland waren es Millionen, s. LfD BW, . TB BW /, S. f. Buggisch, Nutzerzahlen Deutschland. Acquisti/Gross, in: Danezis/Golle, PET, S. . EC JRC, Pan-European Survey, S. . Acquisti/Gross, in: Danezis/Golle, PET, S. ; acatech, Internet Privacy , S. ; EC JRC, Pan-European Survey, S. .
B. Privatheitsinteressen der Nutzer
53
Abb. 5 Quelle: EC JRC, Pan-European Survey, „Personal information disclosed on SNS“, S. 60.
Die Tendenz zur Datenpreisgabe ist dabei sowohl bei Jugendlichen⁵⁹ auch als bei Erwachsenen⁶⁰ steigend, wobei Jugendliche insgesamt mehr Daten in Sozialen Netzwerken bekannt geben. Haben 2006 noch 79 Prozent der Jugendlichen ein Bild von sich eingestellt, waren es 2012 91 Prozent. Die Veröffentlichung der EMail-Adresse stieg sogar von 29 auf 53 Prozent im gleichen Zeitraum (s. Abb. 6 auf der nächsten Seite).⁶¹
2. Aussagekraft des Nutzungsverhaltens Das Verhalten der Nutzer scheint auf den ersten Blick eine eindeutige Sprache zu sprechen: Soziale Netzwerke werden trotz der kommerziellen Datenauswertung genutzt und persönliche Daten mit steigender Tendenz freiwillig zur Verfügung gestellt. Danach scheint aus Sicht der Mitglieder bei einer Nutzen-Risiko-Abwägung der Nutzen zu überwiegen⁶² und es ihnen wichtiger zu sein, Soziale Netzwerke uneingeschränkt zu nutzen, als ihre Privatheit vor Profilbildung zu schützen.⁶³
PewInternet, Teens, S. f. EC, Eurobarometer , S ; EC JRC, Pan-European Survey, S. . PewInternet, Teens, S. f. BT-Drs. / (Internetenquete), S. . Untersuchungen kommen zu dem Schluss, dass Facebook-Nutzer um ihrer Beliebtheit willen viele Informationen über sich preisgeben, auch wenn ihnen Risiken des Missbrauchs bewusst sind und sie ein Interesse an Privatsphäre haben: Christofides/Muise/Desmarais, Privacy and Disclosure, S. ; Tufekci, BSTS – ().
54
Kapitel 2 Interessenanalyse
Abb. 6 Quelle: PewInternet, Teens, S. 4.
Dieser Interpretation des Nutzerverhaltens liegt die These vom homo oeconomicus zugrunde, der in sich konsistente, rationale Entscheidungen trifft. Ergebnisse aus der empirischen Forschung der Verhaltensökonomik (behavioural economics) ziehen die Tragfähigkeit dieses Verständnisses jedoch in Zweifel, da gezeigt werden konnte, dass grundlegende und systematische Abweichungen vom rational-geprägten Erwartungsnutzenmodell die Regel und nicht die Ausnahme sind.⁶⁴ Danach bestehen gerade bei der Entscheidungsfindung im Hinblick auf die Privatheit in der Natur des Menschen liegende Mängel, die zu Widersprüchen zwischen Wunsch und tatsächlichem Verhalten führen.⁶⁵ Die wesentlichen
Entsprechende Studien fehlen jedoch für die Frage, ob die Nutzer auch bereit sind, die Risiken der Profilbildung für die Nutzung Sozialer Netzwerke hinzunehmen. Determann, Stan. Tech. L. Rev. , f. (); Heller, Post-Privacy, S. ; Strandburg, U. Chi. Legal F. , (); Goldman, FORBES . . . Vzbv, Behavioral Economics, S. ; Thaler/Sunstein, Nudge, S. f. Solove, Harv. L. Rev. , ().
B. Privatheitsinteressen der Nutzer
55
Gründe dafür sind zum einen die Uninformiertheit der Nutzer und zum anderen die begrenzte Rationalität des Menschen (bounded rationality).⁶⁶
a) Uninformiertheit Eine Mehrheit der Mitglieder gab 2009 an, mit Facebooks Datenschutzbestimmungen vertraut zu sein.⁶⁷ Dies ist ein relativ hoher Anteil, vergleicht man ihn mit anderen Studien, die belegen, dass Datenschutzbestimmungen im Internet mehrheitlich nicht gelesen werden.⁶⁸ 38 Prozent der Mitglieder Sozialer Netzwerke sollen Datenschutzerklärungen gar nicht lesen und 24 Prozent derjenigen, die angeben, die Privacy Policies anzusehen, erklärten, sie nicht vollständig zu verstehen.⁶⁹ Konkret danach gefragt, ob sie ausreichend über die Bedingungen der Datensammlung und deren Konsequenzen durch das Soziale Netzwerk informiert wurden, ergibt sich ein sehr gemischtes Bild: 19 Prozent der in einer Studie Befragten gaben an, überhaupt nicht darüber informiert worden zu sein; 40 Prozent meinten hingegen, Informationen darüber erhalten zu haben. 29 Prozent fühlten sich über die Datensammlung ausreichend informiert, aber nicht über die Konsequenzen und 11 Prozent empfanden es umgekehrt.⁷⁰ Dabei geben nach einer Studie aus dem Jahr 2012 46 Prozent der untersuchten Sozialen Netzwerke in ihren Datenschutzerklärungen an, Profile für kommerzielle Zwecke zu erstellen.⁷¹ Weitere Studien belegen, dass nicht nur subjektiv ein Gefühl des fehlenden Verständnisses von Datenschutzbestimmungen besteht, sondern Privacy Policies auch objektiv nicht zu einer Aufklärung der Nutzer über Datenverarbeitungsvorgänge führen.⁷² Knapp 50 Prozent aller Befragten wissen nicht, ob das Nutzungsverhalten analysiert werden darf, wenn eine Datenschutzerklärung be-
Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , ; Acquisti/Grossklags, in: Acquisti et al., Digital Privacy, S. , . Debatin et al., JCMC , (). EC, Eurobarometer , S. ; Lares Institute, Social Media, S. . Danach geben nur Prozent der Befragten an, Datenschutzbestimmungen von Social Media Diensten in der Regel zu lesen. Prozent gaben an, dies bei ausgewählten Diensteangeboten zu tun. Zwischen Erwachsenen und Jugendlichen bestehen insofern keine signifikanten Unterschiede, s. Hoofnagle et al., Young Adults, S. . EC, Eurobarometer , S. ; Schulz, DuD , , . Zum mangelnden Verständnis auch Acquisti/Gross, in: Danezis/Golle, PET, S. , f., ; Grimmelmann, Iowa L. Rev., (); Deutsche Telekom, Sicherheitsreport , S. . EC JRC, Pan-European Survey, S. f., . Rogosch/Hohl, Data Protection, S. . Grimmelmann, Iowa L. Rev. , f. (); acatech, Internet Privacy , S. ; Turow, Online Privacy, S. .
56
Kapitel 2 Interessenanalyse
steht.⁷³ Dass der Betreiber die im „privaten Kreis“ geteilten Informationen auswerten kann, ist Nutzern nicht bewusst.⁷⁴ In den USA geht eine Mehrheit der Befragten davon aus, dass allein das Vorhandensein einer Privacy Policy bedeutet, dass die Webseite Daten nur in begrenztem Umfang sammelt und nutzt.⁷⁵ Auch in der EU gehen über 40 Prozent derjenigen, die angeben, keine Datenschutzerklärungen zu lesen, davon aus, das eine Datenschutzerklärung in jedem Fall auch einen ausreichenden Datenschutz bedeutet.⁷⁶ Dies ist auch einer der Gründe, warum Internetnutzer darauf verzichten, Datenschutzbestimmungen überhaupt zu lesen: sie halten sich bereits durch das Bestehen einer Privacy Policy für hinreichend geschützt. Zum anderen eröffnen die Datenschutzbestimmungen dem Einzelnen keine ausreichenden Wahlmöglichkeiten. Dadurch erscheint vielen Betroffenen das mühsame⁷⁷ und zeitaufwendige⁷⁸ Lesen der Datenschutzbestimmungen als überflüssig, da sie ohnehin zustimmen müssen, wenn sie den Dienst in Anspruch nehmen möchten.⁷⁹ Man spricht bzgl. der Nichterfüllung von Informationslasten von rationaler Ignoranz (rational ignorance). Danach ist es rational, sich nicht umfassend zu informieren, wenn der Aufwand dafür größer ist als der empfundene mögliche Nutzen.⁸⁰ Zusammenfassend lässt sich somit aus dem Verhalten der Nutzer Sozialer Netzwerke nicht die Aussage ablesen, dass sie den Nutzen des Dienstes über den Wert der Privatheit stellen, da sie über die Profilbildung und ‐nutzung nicht informiert sind.⁸¹
Turow et al., ISJLP , (). Stutzmann/Gross/Acquisiti, JPC , (). Turow et al., ISJLP , (); Hoofnagle/Urban, Wake Forest L. Rev. , (). EC, Eurobarometer , S. . Deutsche Telekom, Sicherheitsreport , S. . Eine Studie fand heraus, dass es etwa Stunden im Jahr in Anspruch nähme, wollte ein Internetnutzer die Datenschutzbestimmungen jeder Webseite lesen, s. McDonald/Cranor, ISJLP , (). Acatech, Internet Privacy , S. ; Edwards, in: Brown, Governance, S. . Acquisti/Grossklags, in: Acquisti et al., Digital Privacy, S. , . Acatech, Internet Privacy , S. . Die Unwissenheit über Profilbildung wird von den europäischen Datenschutzbehörden auch als Hauptgrund für die geringe Anzahl von Beschwerden gegen Profiling angesehen, s. Bosco et al., in: Gutwirth/Leenes/Hert, Reforming DPL, S. .
B. Privatheitsinteressen der Nutzer
57
b) Begrenzte Rationalität Verhaltensforscher gehen des Weiteren davon aus, dass auch bei einer hinreichenden Aufklärung die Nutzer dennoch Schwierigkeiten hätten, die Entscheidung zu treffen, die ihren Privatheitsvorstellungen entspricht:⁸² Menschen sind nur bedingt in der Lage, alle für eine Entscheidung relevanten Informationen zu überblicken und zu gewichten (information overload).⁸³ Insbesondere bei komplexen Entscheidungen – wie dem Privatheitsschutz im Rahmen der Nutzung Sozialer Netzwerke – verlässt sich der menschliche Verstand deshalb auf vereinfachte Modelle.⁸⁴ Das auch als Privatheitsparadoxon (privacy paradox) bekannte Phänomen konnten Grossklags und Spiekermann anhand eines Experiments veranschaulichen. Sie entwarfen eine Webseite mit einem sog. Sales Bot, also einem Computer-Avatar, der die Teilnehmer auf der Seite zur Unterstützung bei Kaufentscheidungen begleitete. Bevor die Probanden die Homepage besuchten, wurden sie zunächst über ihre Einstellungen zur Privatheit befragt. Das Ergebnis des Experiments war, dass auch die Teilnehmer, die nach eigenen Angaben auf den Schutz ihrer Privatsphäre achteten, gegenüber dem Sales Bot mehr Daten über sich preisgaben als es ihren zuvor angegebenen Präferenzen entsprach.⁸⁵ Bei Sozialen Netzwerken kommt ein Phänomen hinzu, das in der Literatur als „Kontextverlust“ bezeichnet wird.⁸⁶ Die Betreiber erhalten Informationen, die der Nutzer gefühlsmäßig nur mit seinen Freunden teilen möchte, da der tatsächliche Empfängerkreis (Betreiber und Freunde) größer ist, als der vom Nutzer bewusst adressierte (Freunde).⁸⁷ Die Mitteilung verlässt also ihren ursprünglich begrenzten Kontext. Neben kognitiven und strukturellen Schwächen unterliegen Menschen bei Entscheidungen⁸⁸ in Bezug auf ihre Privatheit systematisch weiteren psychologischen Faktoren:⁸⁹ verhaltenswissenschaftliche Studien zeigen, dass Entscheidungen davon
Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , f.; Nehf, Open Book, S. . Scott, S. Cal. L. Rev. (). Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , ; Turow et al., ISJLP , (); Weiß, Social Network Applications, S. . Spiekermann/Grossklags/Berendt, EC’ , . In den USA wurde der Begriff in Bezug auf Internetsachverhalte von Helen Nissenbaum geprägt, Nissenbaum, Privacy in Context, S. ff. Holland, Widener L.J. , (); Dumortier, in: Gutwirth/Poullet/de Hert, Profiled World, S. ff. Generell zum Phänomen der systematischen Irrtümer aus Sicht der Sozialpsychologie, s. Thaler/Sunstein, Nudge, S. ff. Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , f.; Solove, Harv. L. Rev. , ff. ().
58
Kapitel 2 Interessenanalyse
abhängen, in welcher Form Wahlmöglichkeiten präsentiert werden (framing).⁹⁰ So können die Art und Weise, wie über die Profilbildung und ‐nutzung informiert wird, das Design und der Kontext darüber entscheiden, wie sich ein Nutzer dazu positioniert.⁹¹ Auch die Einstellungen der Nutzer zur Privatheit bzw. dazu, was sie geheim halten möchten, entwickeln sich nicht abstrakt, sondern sind von konkreten Umständen abhängig.⁹² Da die Datenpreisgabe in Sozialen Netzwerken freiwillig und oft unbemerkt erfolgt, wird – anders als in Situationen, in denen Daten nachgefragt werden – das Gefühl, die Privatheit sei bedroht, nicht geweckt.⁹³ Es konnte zudem gezeigt werden, dass Menschen, die glauben, die Kontrolle über die Veröffentlichung ihrer Daten zu haben, eher bereit sind, Informationen preiszugeben⁹⁴ und weniger kontrollieren, wer tatsächlich auf die Daten zugreifen kann und zu welchen Zwecken sie verwendet werden (Kontrollillusion).⁹⁵ Dies führt bei Sozialen Netzwerken durch die ausgefeilten Möglichkeiten, den Empfängerkreis selbst zu bestimmen, dazu, dass Bedenken bzgl. der Datennutzung durch den Betreiber in den Hintergrund treten.⁹⁶ Gerade die Bewertung der Risiken der Profilbildung stellt Menschen zudem vor besondere Schwierigkeiten, da hier das im Entscheidungszeitpunkt abstrakte Risiko von in der Zukunft liegenden Persönlichkeitsverletzungen mit den konkreten, unmittelbar eintretenden positiven Folgen der Dienstenutzung⁹⁷ abgewogen werden muss.⁹⁸ Die Entscheidung wird durch zahlreiche psychologische Determinanten beeinflusst: Zeitlich näher liegenden Ereignissen wird in der Regel eine größere Bedeutung beigemessen als weiter in der Zukunft liegenden (hyperbolic discounting).⁹⁹ Nutzer können außerdem regelmäßig nicht einschätzen, welche privatheitsrelevanten
Grundlegend: Kahneman, AER , f. (); vzbv, Behavioral Economics, S. ; Solove, Harv. L. Rev. , (); Thaler/Sunstein, Nudge, S. f.; Acquisti/John/Loewenstein, J. Legal Stud. , (). Ein anschauliches Beispiel dafür, wie die Entscheidung für die Nutzung von Applications auf Facebook durch ein neues Design der Einwilligungsbox beeinflusst werden soll, bietet ein Artikel von Charkam, Techcrunch . . . John/Acquisti/Loewenstein, The Best of Strangers, S. . Brandimarte et al., Misplaced Confidences, S. . BCG, The Value of Our Digital Identity, S. , ; Brandimarte et al., Misplaced Confidences, S. . Brandimarte et al., Misplaced Confidences, S. ; vzbv, Behavioral Economics, S. . Brandimarte et al., Misplaced Confidences, S. . Meshi/Morawetz/Heekeren, Front. Hum. Neurosci. . . . Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , f.; Brandimarte et al., Misplaced Confidences, S. . Acquisti/Grossklags, in: Acquisti et al., Digital Privacy, S. , .
B. Privatheitsinteressen der Nutzer
59
Konsequenzen Profilbildung haben kann.¹⁰⁰ Studien belegen, dass es in Bezug auf die Profilbildung durch Soziale Netzwerke gerade bei Kindern und Jugendlichen an einem Problembewusstsein fehlt.¹⁰¹ Insbesondere der Eintritt von Ereignissen, die sich Menschen nicht gut vorstellen und deshalb schlechter erinnern können, wird als unwahrscheinlicher eingestuft (availability bias).¹⁰² So konnten Acquisti und Grossklags in einer Studie zeigen, dass eine große Mehrheit Privatheitsrisiken im Online-Bereich falsch einschätzt.¹⁰³ Ein Grund dafür ist, dass ihre Konsequenzen in der Regel nicht beim Eingriff selbst spürbar sind, sondern erst bei darauf aufbauenden Eingriffen.¹⁰⁴ Auch ist der einzelne Eingriff jeweils gering und kumulierende Effekte werden nicht erkannt.¹⁰⁵ Im Ergebnis führen also die begrenzte Rationalität und psychologische Determinanten dazu, dass die Entscheidungen in der Praxis nicht mit den generellen Privatheitseinstellungen des Einzelnen übereinstimmen.¹⁰⁶
c) Schlussfolgerungen Wenig diskutiert ist, welche Schlussfolgerungen aus diesen Erkenntnissen zu ziehen sind. Erkennbar ist, dass Privatheit eine Wertschätzung durch die Betroffenen erfährt, offen ist jedoch, welchen Stellenwert sie tatsächlich einnimmt. Um hier eine Annäherung zu finden, müssten die Faktoren, die derzeit das Auseinanderfallen der tatsächlichen und der rationalen Entscheidung begünstigen, so weit als möglich eliminiert werden. Das bedeutet zum einen, eine effektive Aufklärung der Nutzer Sozialer Netzwerke über die Profilbildung sowie deren mögliche Konsequenzen und zum anderen die Anpassung des Designs des Dienstes in der Weise, dass die kognitiven und psychologischen Faktoren der Entscheidungsfindung berücksichtigt werden.¹⁰⁷
Acquisti/Grossklags, in: Acquisti et al., Digital Privacy, S. , . JFF, Persönliche Informationen, S. f.; PewInternet, Teens, S. , f.; Hoofnagle et al., Young Adults, S. . Acquisti/Grossklags, in: Acquisti et al., Digital Privacy, S. , ; Sunstein, U. Chi. L. Rev. , (). Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , f.; vzbv, Behavioral Economics, S. . Acquisti/Grossklags, in: Strandburg/Raicu, Privacy, S. , ; Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit, S. ; Turow et al., ISJLP , (). Froomkin, Stan. L. Rev. , (); Solove, Harv. L. Rev. , (). Acquisti/Grossklags, in: Acquisti et al., Digital Privacy, S. , . Hierzu gibt es bereits mehrere Untersuchungen und Verbesserungsvorschläge. Eine Übersicht dazu sowie einen eigenen Vorschlag bietet Berg/Hof, First Monday .
60
Kapitel 2 Interessenanalyse
Darüber hinaus muss sichergestellt werden, dass unterschiedliche Entscheidungsmöglichkeiten angeboten werden, da nur bei von den Betroffenen als real empfundenen Alternativen auch ein alternatives Verhalten erwartet werden kann. Das bedeutet, dass die Wahl nicht darauf beschränkt werden darf, den Dienst unter den jetzigen Bedingungen zu nutzen oder eben nicht.Vielmehr müssen auch andere realisierbare Lösungen angeboten werden, um die tatsächlichen Präferenzen bestimmen zu können.¹⁰⁸ Die kostenfreie Nutzung im Gegenzug für eine umfangreiche Profilbildung ist das eine Extrem; das andere ein über monetäre Beiträge finanzierter Dienst. Dazwischen liegen jedoch weitere Möglichkeiten, die sowohl den Betreibern die Finanzierung als auch den Nutzern eine kostenfreie Nutzung unter Berücksichtigung ihrer Privatheitswünsche ermöglichen, etwa durch nicht profilbasierte Werbung. Repräsentative Studien, die diesen Kriterien entsprechen, fehlen.
3. Ergebnis Die verhaltensökonomischen Studien belegen, dass Internetnutzer in der Praxis nicht die Entscheidungen treffen, die ihren Privatheitswünschen entsprechen. Aufgrund der mangelnden Informiertheit der Nutzer, negativer Design-Entscheidungen¹⁰⁹ und fehlender realistischer Alternativen, können aus dem Nutzungsverhalten keine validen Rückschlüsse auf konkrete Privatheitspräferenzen hinsichtlich der Profilbildung Sozialer Netzwerke gezogen werden. Dass ein Privatheitsinteresse auch im Kontext der kommerziellen Datenauswertung von Sozialen Netzwerken besteht, ist allerdings hinreichend belegt.
III. Beeinträchtigung von Privatheitsinteressen der Nutzer durch Profilbildung und -nutzung Ziel der Profilbildung Sozialer Netzwerke ist es, ein möglichst genaues Bild des Nutzers hinsichtlich seiner kommerziell verwertbaren Eigenschaften zu erstellen. Die individuellen Eigenschaften werden durch Verallgemeinerung, Kategorisierung und Klassifizierung nivelliert und der Einzelne wird auf Schlagworte reduziert, was zu einem verzerrten Persönlichkeitsbild führt und die Individualität des
Doerfel et al., Informationelle Selbstbestimmung, S. . Bsp. Charkam, Techcrunch . . .
B. Privatheitsinteressen der Nutzer
61
Einzelnen negiert.¹¹⁰ Dadurch besteht die Gefahr, dass der Einzelne im Rahmen der Profilbildung zum reinen Informationsobjekt degradiert wird.¹¹¹ In gleicher Weise ist der Profilbildung immanent, dass durch die Analyse der Datensätze tiefgehende Erkenntnisse über den Einzelnen erlangt werden, die dieser von sich aus nicht preisgeben würde. Solchermaßen kann also gleichzeitig in die Selbstbestimmungsbefugnis des Einzelnen eingegriffen werden wie auch in seine Privat- oder auch Intimsphäre.¹¹² Je größer hierbei die Datenmenge ist und je breitgefächerter die Lebensbereiche sind, aus denen Informationen über den Nutzer zur Verfügung stehen, desto genauer wird das Bild des Einzelnen und die Möglichkeit, weitere Erkenntnisse über ihn zu erlangen. Sozialen Netzwerken wie Facebook steht über jedes Mitglied ein Datensatz zur Verfügung, der im Umfang und Auswertungspotential seinesgleichen sucht.¹¹³ Soziale Netzwerke bieten eine Plattform zum Austausch über alle Themen, die den Nutzer bewegen. Hinzu kommt das breite Diensteangebot.¹¹⁴ Über den sozialen Graphen kann auf Vorlieben eines Nutzers geschlossen werden, die er selbst nicht angegeben hat, während gleichzeitig die Häufigkeit der Interaktion mit Kontakten sehr genau den Beziehungsgrad der Beteiligten widerspiegelt.¹¹⁵ Das „Liken“ von Produkten ist eng verbunden mit der „Konsumkultur“ des Einzelnen. Marken stehen für einen bestimmten Life-Style und sind ein wesentliches Mittel, die eigene Weltanschauung, die kulturelle Identität und die soziale Zugehörigkeit zu bestimmten Gruppen nach außen zu tragen. Sie gelten als Ausdruck der eigenen Persönlichkeit.¹¹⁶ Durch die umfassende Bandbreite und Verbreitung an kooperierenden Homepages¹¹⁷ fließen Daten nicht nur aus selektiven Interessengebieten, sondern aus den verschiedensten Lebensbereichen bei einer Stelle zusammen. Hinzu kommen können Bewegungsprofile durch mobile Endgerätenutzung. Nutzern Sozialer Netzwerke ist nicht bekannt,¹¹⁸ in welchem Umfang ihre Daten ausgewertet und zur Profilbildung genutzt werden. Die Heimlichkeit der Profilerstellung führt für den Betroffenen dazu, dass er nicht mehr überblicken
Jandt, Vertrauen, S. . BVerfGE , , – Mikrozensus; BVerfGE , , – Volkszählungsurteil. Baeriswyl, RDV , , ; BT-Drs. / (Internetenquete), S. f.; Art. WP, WP , S. ; Schaar, DuD , , . Kirkpatrick, Der Facebook-Effekt, S. . Siehe oben: Teil , Kap. , C., I., . Turow, The Daily You, S. . Karas, Am. U. L. Rev. , f. (). Siehe oben: Teil , Kap. , C., I., . Siehe oben: Teil , Kap. , B., II., ., a).
62
Kapitel 2 Interessenanalyse
kann, wer wann was über ihn weiß.¹¹⁹ Diese durch die Analysemöglichkeiten verstärkte Informationsasymmetrie birgt die Gefahr der unerkannten Einflussnahme bis hin zur Manipulation des Betroffenen.¹²⁰ Sozialen Netzwerken wie Facebook steht 2015 ein Datensatz über 1,44 Milliarden Mitglieder zur Verfügung.¹²¹ Durch Berechnungen, Vergleiche und statistische Korrelation kann auf nicht offengelegte Eigenschaften, Gewohnheiten und Neigungen eines Nutzers geschlossen werden.¹²² Durch das Big Data-Phänomen¹²³ erhöht sich die Aussagekraft mit jedem hinzukommenden Datum.¹²⁴ Aus umfassenden Datenbeständen, die das Verhalten des Einzelnen über einen Zeitraum von mehreren Monaten oder gar Jahren abbilden, lassen sich Prognosen für zukünftige Entwicklungen im Leben des Betroffenen erstellen (predictive analytics) und somit Voraussagen erlangen, die nicht einmal dem Einzelnen selbst zur Verfügung stehen. Der Einzelne wird so scheinbar berechenbar, sein Verhalten scheinbar vorhersagbar.¹²⁵ Eine darauf aufsetzende gezielte Beeinflussung kann dem Einzelnen die Grundlage für eine selbstbestimmte Entscheidung entziehen und ihn zum Spielball Dritter werden lassen.¹²⁶ Dies gilt insbesondere, wenn die Informationen eines individuellen Profils mit Erkenntnissen der behavioural economics kombiniert werden, um zielgerichtet individuelle Schwächen auszunutzen.¹²⁷ Wird solchermaßen durch die Profilbildung und ‐nutzung die Freiheit des Einzelnen, selbstbestimmt Entscheidungen zu treffen, beeinträchtigt, ist zudem das gesamtgesellschaftliche Interesse an einer freiheitlich-demokratischen Ordnung betroffen, die selbstbestimmte Entscheidungen ihrer Bürger voraussetzt.¹²⁸
BVerfGE , , – Volkszählungsurteil; ENISA, Behavioural tracking, S. . Jandt,Vertrauen, S. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. f. Für die USA s. FTC, Profiling , S. ; Schermer, in: Custers et al., Discrimination, S. ; Richards/King, Stan. L. Rev. Online , (). Siehe oben: Teil , Kap. , C., III., .; Facebook, Q I Earnings, S. . BT-Drs. / (Internetenquete), S. f.; Art. WP, WP , S. ; Schaar, DuD , , . Zum Begriff siehe oben: Teil , Kap. , C., II., . Roßnagel, ZD , . Klausnitzer, Das Ende des Zufalls, S. ; Han, FAZ . . , S. . Hladjk, Online-Profiling, S. ; Jandt,Vertrauen, S. ; Podlech/Pfeifer, RDV , , . Zur Beeinflussung des Einzelnen durch Personalisierung, s. Schwenke, Individualisierung, S. ff. Für die USA s. FTC, Profiling , S. ; Calo, Geo. Wash. L. Rev. , (). Calo, Geo. Wash. L. Rev. , (). BVerfGE , , – Volkszählungsurteil.
B. Privatheitsinteressen der Nutzer
63
Außerdem schränkt die Informationsasymmetrie den Einzelnen in seinen Möglichkeiten der Selbstdarstellung in unterschiedlichen sozialen Kontexten ein, aus sozialpsychologischer Sicht also in seiner alltagsüblichen Rolleninterpretation.¹²⁹ Darüber hinaus kann die Ungewissheit des Einzelnen darüber, ob sein Verhalten gerade zu Zwecken der Profilbildung beobachtet und protokolliert wird, zu einem Gefühl der diffusen Bedrohlichkeit¹³⁰ oder auch des Ausgeliefertseins¹³¹ führen, was eine Verhaltensanpassung und damit eine Einschränkung der Entfaltungsfreiheit bewirken kann.¹³² Eine weitere Konsequenz der Heimlichkeit der Profilbildung ist, dass der Betroffene die Richtigkeit der Daten nicht überprüfen kann. So können bereits falsche, aus dem Kontext gerissene oder mehrdeutige Daten die Grundlage eines Profils sein.¹³³ Hinzu kommt, dass auch bei der Analyse eines korrekten Datensatzes falsche Erkenntnisse über den Betroffenen Bestandteil des Profils werden können – etwa wenn aufgrund des Vorliegens bestimmter Eigenschaften auf andere Eigenschaften geschlossen wird. Derartige Schlussfolgerungen sind selten zwingend, sondern basieren auf mehr oder weniger empirisch basierten Erfahrungswerten.¹³⁴ Da die Profilbildung ohne Einwirkungsmöglichkeiten des Betroffenen abläuft, handelt es sich um einen Prozess, welcher der Kontrolle des Einzelnen entzogen ist, wodurch sich Profile quasi „verselbstständigen“.¹³⁵
Jandt, Vertrauen, S. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . BVerfGE , , – VDS (); EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. – VDS. Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . BVerfGE , , – Volkszählungsurteil. Für die USA s. FTC, Profiling , S. ; Belgum, Rich. J.L. & Tech. Rz. f. (); Schwartz, Vand. L. Rev. , ff. (). Hier spricht man oft von sog. chilling effects. Das Phänomen wird treffend mit Jeremy Benthams Panopticon verglichen – einer Gefängniskonstruktion, bei dem die Zellen derart um einen Wärterturm angeordnet sind, dass die Wärter jederzeit ungesehen Einblick in die Zellen nehmen können, ohne dass die Gefangenen sehen können, ob sie derzeit tatsächlich beobachtet werden oder nicht. Den disziplinierenden Effekt beschreibt Michel Foulcault tiefgehend in seinem Werk „Überwachen und Strafen“, S. . Baeriswyl, RDV , , ; Jandt,Vertrauen, S. ; Podlech/Pfeifer, RDV , , . Für die USA s. Belgum, Rich. J.L. & Tech. Rz. (); Steindel, Mich. Telecomm. Tech. L. Rev. , (). Siehe oben: Teil , Kap. , C., II., .; Breinlinger, RDV , , ; Roßnagel/Pfitzmann/ Garstka, Modernisierung, S. ; Schermer, in: Custers et al., Discrimination, S. . Schaar, Privatsphäre, S. , ff.; Hladjk, Online-Profiling, S. . Für die USA s. FTC, Profiling , S. .
64
Kapitel 2 Interessenanalyse
Aus fehlerhaften Profilen können für den Betroffen unberechtigte Konsequenzen folgen, insbesondere bei einer diskriminierenden Nutzung,¹³⁶ etwa durch Preis- oder Angebotsdiskriminierung.¹³⁷ Aufgrund einer falschen Auskunft der SCHUFA schlug beispielsweise die Finanzierung eines Autokaufs einer Betroffenen mit solider Bonität fehl.¹³⁸ Im Internet werden Nutzer von der Werbeindustrie in „Reputationssilos“ eingeordnet und mit Labeln wie waste oder target versehen. Demensprechend werden Werbung, Preis und Inhalte auf den Webseitenbesucher angepasst.¹³⁹ Auch Diskriminierungen im sozialen Bereich durch Verbreitung von Stereotypen und Stigmatisierung sind denkbar. Ein Vorgehen gegen solche unberechtigten Konsequenzen bleibt dem Betroffenen verwehrt, da ihm nicht bekannt ist, dass er anders behandelt wird als andere, geschweige denn, dass er die Gründe dafür kennt.
Dabei handelt es sich jedoch nicht um eine Problematik des allgemeinen Persönlichkeitsrechts, sondern um einen Verstoß gegen das Gleichheitsgebot und soll deshalb im Rahmen dieser Arbeit nicht weiter verfolgt werden. Dazu ausführlich der Band Custers et al., Discrimination. Baeriswyl, RDV , , ; Buxel, Customer Profiling, S. ff.; ENISA, Behavioural tracking, S. ; Hladjk, Online-Profiling, S. f.; TUM, Digitale Profilbildung, S. ; Merati-Kashani, Datenschutz, S. ff.; Podlech/Pfeifer, RDV , , ; MacCarthy, ISJLP , ff. (); Turow, The Daily You, S. , ff., ; Stresing, Tagesspiegel . . . BGHZ , , = NJW , – Schufa. Turow, The Daily You, S. , ff., .
Teil 2: Länderberichte In Bezug auf den ersten Teil der Arbeitshypothese, wonach weder Deutschland noch die USA einen ausreichenden Schutz vor der Beeinträchtigung von Privatheitsinteressen durch die Profilbildung Sozialer Netzwerke bieten, ist in den Länderberichten zu klären, ob und in welcher Form eine Gewährleistung von Privatheitsinteressen vorgesehen ist, welche rechtlichen Vorgaben für die Profilbildung Sozialer Netzwerke im Hinblick auf Privatheitsinteressen bestehen und warum diese nicht zu einem effektiven Schutz führen. Aufbauend auf den Ergebnissen wird anschließend in Teil 3 der zweite Teil der Arbeitshypothese überprüft, wonach der Privatheitsschutz durch ein transatlantisches Zusammenwirken verbessert werden kann.
Kapitel 3 Deutschland Der deutsche Bericht beginnt nach einer kurzen Einführung in den deutschen Persönlichkeitsschutz (A.) mit der Darstellung der verfassungsrechtlichen Vorgaben (B.). Daran schließt sich eine Erörterung der einfachgesetzlichen Regelungen (C.) sowie der Selbstregulierung (D.) an. Zum Abschluss des deutschen Länderberichts (E.) erläutert die Arbeit den sich ergebenden Gestaltungsbedarf als Quintessenz.
A. Einführung deutscher Persönlichkeitsschutz Der BGH leitete das allgemeine Persönlichkeitsrecht aus Art. 2 I GG, der freien Entfaltung der Persönlichkeit in Verbindung mit Art. 1 I GG,¹ der Unantastbarkeit der Menschenwürde ab, welches in der Folge vom BVerfG² in verschiedenen Ausformungen anerkannt wurde.³ Im Zivilrecht wird es im Rahmen der mittelbaren Drittwirkung⁴ der Grundrechte über den unbestimmten Rechtsterminus „sonstiges Recht“ des § 823 I BGB verankert.⁵ Die Datenschutzgesetze des Bundes und der Länder gehen als spezialgesetzliche Ausprägung des Persönlichkeitsschutzes als leges speciales dem allgemeinen zivilrechtlichen Persönlichkeitsrecht vor.⁶ Für Private besteht die Möglichkeit, den gesetzlich vorgegebenen Rahmen für ihre Branche zu konkretisieren.⁷ Das deutsche Datenschutzrecht ist stark durch unionsrechtliche Vorgaben geprägt: Die Europäische Union erließ 1995 eine Datenschutzrichtlinie, die innerhalb der EU den grenzüberschreitenden Datenaustausch ermöglichen soll und schuf 2009 die Charta der Grundrechte der EU (GRCh), die in Art. 7 und 8 Grundrechte auf Privatheit und Datenschutz gewährleistet. Die Qualifizierung als
BGHZ , , = NJW , , – Schacht-Brief. Vgl. BVerfGE , – Elfes; BVerfGE , – Scheidungsakten; BVerfGE , – Mikrozensus; BVerfGE , – Schweigepflicht; BVerfGE , – Tonband. Gounalakis/Rhode, Persönlichkeitsschutz, S. ff.; Klüber, Persönlichkeitsschutz, S. ; Schwartmann, RDV , , . Grundlegend: BVerfGE , , f. – Lüth. Koch, ITRB , , . Zur Anwendbarkeit des Rechts auf informationelle Selbstbestimmung im Privatrechtsverhältnis s. BVerfGE , , – Offenbarung Entmündigung; BVerfGE , , – Heimlicher Vaterschaftstest. Gounalakis/Rhode, Persönlichkeitsschutz, S. . Taeger/Gabel-Kinast, § a BDSG Rn. ; Talidou, Regulierte Selbstregulierung, S. .
68
Kapitel 3 Deutschland
Grundrecht ist charakteristisch für das unionsrechtliche Verständnis des Privatheitsschutzes.⁸ Mit dem Ziel, das Datenschutzrecht in den Mitgliedsstaaten vollständig zu vereinheitlichen, brachte die frühere EU-Kommissarin Kroes 2012 den Vorschlag einer einheitlichen Datenschutzgrundverordnung (DS-GVO‐E) ein.⁹ Am 12.03. 2014 legte das Europäische Parlament seinen Beschluss zum DS-GVO-E vor¹⁰ und am 15.06. 2015 einigte sich der Justiz- und Innenministerrat der EU auf eine allgemeine Ausrichtung.¹¹ Die Trilogverhandlungen zwischen der Europäischen Kommission als Moderator, dem Rat der Europäischen Union und dem Europäischen Parlament begannen am 24.06. 2015¹² und wurden am 15.12. 2015 abgeschlossen.¹³ Der Rat stimmte der finalen Version¹⁴ am 08.04. 2016 zu,¹⁵ das EU-Parlament nahm sie am 14.04. 2016 an.¹⁶ Die DS-GVO wurde am 04.05. 2016 im EU-Amtsblatt veröffentlicht, trat am 24.05. 2016 in Kraft und wird ab dem 25.05. 2018 unmittelbar gelten.¹⁷
B. Verfassungsrechtliche Vorgaben Mit der Bestimmung des verfassungsrechtlichen Rahmens der Profilbildung durch Betreiber Sozialer Netzwerke wird überprüft, inwieweit sich die in der obigen Analyse aus Kapitel 2 gefundenen Interessen der verschiedenen Beteiligten in den Grundrechten widerspiegeln. Dazu werden im Folgenden die einschlägigen
Schiedermair, in: Dörr/Weaver, Right to Privacy, S. , ; Whitman, Yale L.J. , (). EC, DS-GVO-E. Eine stets aktualisierte Übersicht zur Entwicklungsgeschichte des DS-GVO‐E s. http://eur-lex.europa.eu/procedure/EN/. EP, Entschließung zum DS-GVO-E. JI-Rat, Ausrichtung zum DS-GVO-E. EVP-Fraktion im EP, Data protection reform timetable, . . : http://www.eppgroup.eu/ fr/news/Data-protection-reform-timetable. JI-Rat, Interinstitutional File: / (COD), No. / vom . . . JI-Rat, Interinstitutional File: / (COD), No. / vom . . , abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST___IN IT&from=DE. JI-Rat, Pressemitteilung vom . . , abrufbar unter: http://www.consilium.europa.eu/ de/press/press-releases///-data-protection-reform-first-reading/. EP, Pressemitteilung vom . . , abrufbar unter: http://www.europarl.europa.eu/news/ de/news-room/IPR/Parlament-verabschiedet-EU-Datenschutzreform-%E% %-EU-fit-f%C%BCrs-digitale-Zeitalter. Art. DS-GVO; http://eur-lex.europa.eu/legal-content/DE/NOT/?uri=OJ:JOL___R_ .
B. Verfassungsrechtliche Vorgaben
69
grundrechtlichen Vorgaben nach deutschem und EU-Recht bestimmt (I.). Anschließend folgt – aufgeteilt nach den grundrechtlich geschützten Betreiber- und Drittinteressen (II.) sowie den grundrechtlich geschützten Nutzerinteressen (III.) – die Darstellung der Schutzbereiche und ihrer Einschränkungsmöglichkeiten. Insbesondere das Verständnis und die Bestimmung des grundrechtlichen Schutzumfangs von Persönlichkeitsinteressen entstammen Leitentscheidungen zur staatlichen Datenverarbeitung.¹⁸ Die Übertragbarkeit ihrer Wertungen auf die Profilbildung durch Private wie Betreiber Sozialer Netzwerke wird im Anschluss in Abschnitt IV. untersucht, um daraus den insoweit bestehenden Gestaltungsauftrag des Staates als Rahmen für eine mögliche transatlantische Regulierung abzuleiten.
I. Verhältnis unions- und mitgliedsstaatlicher Grundrechte Bei unionsrechtlich regulierten Sachverhalten wie dem Datenschutzrecht¹⁹ ist das Verhältnis nationalstaatlichen Verfassungsrechts zum Primärrecht der EU zu beachten. Mit dem Vertrag von Lissabon hat die GRCh zum 01.12. 2009 als oberster Wertmaßstab und als höchstrangiger Grundrechtekatalog in der Union formelle Geltung erlangt.²⁰ Sie ist gem. Art. 6 I des Vertrags über die Europäische Union (EUV) rechtlich gleichrangig mit dem EUV selbst sowie mit dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und gehört damit zum unionalen Primärrecht.²¹ Die unionalen Grundrechte gehen, soweit ihr Anwendungsanspruch reicht, den mitgliedsstaatlichen Verfassungsgarantien vor.²² Gem. Art. 51 I GRCh ist der Anwendungsbereich der Grundrechtecharta eröffnet, wenn Organe oder Einrichtungen der EU oder die Mitgliedsstaaten EURecht, also Primär- und Sekundärrecht der EU, durchführen. Im Datenschutzrecht setzen die Mitgliedsstaaten die DSRL um, so dass in ihrem Regelungsbereich die öffentliche Gewalt der Mitgliedsstaaten an die Chartagrundrechte gebunden ist.²³ Da Facebook Ltd. ihren Sitz in Dublin hat,²⁴ unterfällt sie dem Geltungsbereich der DSRL, so dass für deutsche Datenschutzregelungen, die das Soziale Netzwerke
BVerfGE , – Volkszählungsurteil; , – Online-Durchsuchung; , – VDS. Siehe oben: Teil , Kap. , A. Meyer-Borowski, Vor. zu Art. ff. Rn. ; Huber, NJW , . Meyer-Borowski, Vor. zu Art. ff. Rn. ; Huber, NJW , . Cornils, in: Stern/Peifer/Hain, Datenschutz, S. . Streinz/Michl, EuZW , , f. Facebook Ireland Limited, Grand Canal Square, Dublin, Irland.
70
Kapitel 3 Deutschland
betreffen, die GRCh zu beachten ist. Zwischen dem BVerfG und dem EuGH ist die Reichweite des Vorrangs der Unionsgrundrechte umstritten.
1. Standpunkt des BVerfG Das BVerfG hat keinen absoluten Vorrang des Gemeinschaftsrechts anerkannt, jedoch mit dem sog. Solange-Vorbehalt seine Rechtsprechungsgewalt eingeschränkt.²⁵ Solange die EU einen wirksamen Schutz der Grundrechte generell gewährleistet, der dem vom GG als unabdingbar gebotenen Grundrechtsschutz im Wesentlichen gleich zu achten ist,²⁶ misst das BVerfG deutsche Normen, die auf zwingendem Gemeinschaftsrecht basieren, nicht an den Grundrechten des GG.²⁷ Normen des deutschen Rechts, durch die der Gesetzgeber die Vorgaben einer Richtlinie im Rahmen eines Umsetzungsspielraums in eigener Regelungskompetenz konkretisiert oder über solche Vorgaben hinausgeht, überprüft das BVerfG weiterhin am Maßstab des GG.²⁸ Dabei eruiert das BVerfG nach dem Urteil zur Vorratsdatenspeicherung aus 2010 nicht nur wie die Richtlinie umgesetzt wurde, sondern auch, ob eine verfassungskonforme Umsetzung überhaupt möglich ist.²⁹ Die weiteren Fälle, in denen sich das BVerfG eine Prüfungskompetenz vorbehalten hat, namentlich bei Kompetenz-Überschreitungen (Ultra-Vires)³⁰ und zur Wahrung der Verfassungsidentität,³¹ spielen im Rahmen der unionsrechtlichen Regeln im Datenschutzrecht derzeit keine Rolle.
2. Standpunkt des EuGH Nach der Rechtsprechung des EuGH finden Unionsgrundrechte nicht nur dann Anwendung,wenn nationale Gesetze strikt determiniertes Unionsrecht vollziehen, sondern auch bei Umsetzungsspielräumen.³²
BVerfGE , , – Solange II; , , – Maastricht; , , f. – Bananenmarkt; , , ff. – Treibhausgas-Emissionshandel; , , f. – Lissabon; , , f. – Mangold; , , – VDS (). BVerfGE , , – Solange II; , , ff. – Bananenmarkt. BVerfGE , , ff. – Treibhausgas-Emissionshandel; , , – VDS (). BVerfGE , , – VDS (). BVerfGE , , ff. – VDS (); Roßnagel, NJW , , ; Moser-Knierim, Vorratsdatenspeicherung, S. ; Masing, JZ , , . BVerfGE , , f. – Mangold BVerfGE , , f. – Lissabon. EuGH . . , verb. Rs. C-/ und C-/, Slg. I- Tz. = EuZW , , – ASNEF; EuGH . . , Rs. C-/, Slg. unv. = NJW , Tz. – Åkerberg Fransson.
B. Verfassungsrechtliche Vorgaben
71
In der Rechtssache ASNEF,³³ in welcher der EuGH diese Position erstmals deutlich vertrat,³⁴ ging es um eine spanische Regelung, die mit ihren Vorgaben für eine rechtmäßige Datenverarbeitung über die in Art. 7 DSRL genannten Grundsätze hinausging und weitere Bedingungen formulierte. Das Gericht erklärte die Regelung für mit der DSRL unvereinbar und begründet dies damit, dass die Richtlinie das Ziel einer Vollharmonisierung, nicht einer Mindestharmonisierung verfolge.³⁵ Die Vorgaben der Richtlinie zur Rechtmäßigkeit einer Datenverarbeitung seien deshalb abschließend und die Ergänzung weiterer Bedingungen durch mitgliedsstaatliche Gesetzgeber unzulässig.³⁶ Auch bei Abwägungsspielräumen wie sie durch Art. 7 lit. f DSRL eröffnet sind, sei allein die Abwägung der Unionsgrundrechte entscheidend und nicht die Grundrechte der Mitgliedsstaaten.³⁷ Die Rechtmäßigkeit mitgliedsstaatlicher Regelungen im Bereich der DSRL bestimmt sich demnach nach den Unionsgrundrechten. In der Sache Åkerberg Fransson entschied der EuGH 2013, dass es nationalen Behörden und Gerichten freistehe nationale Schutzstandards für die Grundrechte anzuwenden, soweit das Schutzniveau der Charta nicht beeinträchtigt sei.³⁸ Damit besteht insoweit ein konkurrierender Grundrechtsschutz.³⁹ Ungeklärt ist, ob eine Doppelbindung auch an mitgliedsstaatliche Grundrechte im Sinne einer Meistbegünstigung nach Art. 53 GRCh stattfindet.⁴⁰ Bei mehrpoligen Rechtsverhältnissen, bei welchen die Anhebung des Schutzstandards für einen Betroffenen zu einer stärkeren Beschränkung der Grundrechte eines anderen führt, bietet das Meistbegünstigungsprinzip keine Lösung und scheidet insoweit aufgrund der abschließenden unionalen Grundrechtsabwägung aus.⁴¹ In diesen Konstellationen kommt das Prinzip des Vorrangs des Unionsrechts zum Tragen, so dass in-
EuGH . . , verb. Rs. C-/ und C-/, Slg. I- = EuZW , – ASNEF. Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Kühling, EuZW , , . EuGH . . , verb. Rs. C-/ und C-/, Slg. I- Tz. = EuZW , , – ASNEF; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Kühling, EuZW , , . EuGH . . , verb. Rs. C-/ und C-/, Slg. I- Tz. , = EuZW , , – ASNEF; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Kühling, EuZW , , . EuGH . . , verb. Rs. C-/ und C-/, Slg. I- Tz. = EuZW , , – ASNEF; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. . EuGH . . , Rs. C-/, Slg. unv. = NJW , Tz. – Åkerberg Fransson. Masing, JZ , , . So Streinz/Michl, EuZW , , f.; dagegen: Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Kingreen, JZ , , . Kingreen, JZ , , ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Masing, JZ , , .
72
Kapitel 3 Deutschland
soweit mitgliedsstaatliche Regelungen ausschließlich anhand der Unionsgrundrechte zu messen sind.⁴²
3. Auswirkungen der DS-GVO und Schlussfolgerungen Mit der Einführung der DS-GVO besteht im Datenschutzrecht durch die unmittelbare Anwendbarkeit der VO eine strikte Bindung an das Unionsrecht mit der Folge, dass auch nach der Linie des BVerfG der Anwendungsvorrang der GRCh vor dem Grundgesetz besteht.⁴³ Es ist umstritten, ob durch diese fortschreitende Europäisierung des Datenschutzrechts deutsche Grundrechtsstandards gefährdet sind.⁴⁴ Während einerseits die jüngeren Entscheidungen des EuGH u. a. aus dem Bereich des Datenschutzes positive Signale für einen starken grundrechtlichen Schutz setzen,⁴⁵ ist die Gewährleistung effektiven Rechtsschutzes im gerichtlichen Mehrebenensystem problematisch.⁴⁶ Einfache Gerichte dürfen die GRCh anders als die Grundrechte des Grundgesetzes nicht selbst auslegen, sondern müssen Zweifelsfragen dem EuGH vorlegen, wodurch der Verfahrensverlauf unzumutbar in die Länge gezogen werden kann.⁴⁷ Auch bleibt Betroffenen eine Verfassungsbeschwerde beim BVerfG versperrt. Möglich ist allein gem. Art. 34 EMRK die Individualbeschwerde beim Europäischen Gerichtshof für Menschenrechte (EGMR), der die EMRK zum Prüfungsmaßstab hat, welche einen elementaren Mindeststandard gewährleistet.⁴⁸ Vor diesem Hintergrund werden nachfolgend die grundrechtlichen Gewährleistungen der betroffenen Interessen sowohl nach dem Grundgesetz als auch nach der GRCh dargestellt. Soweit die GRCh wie in Art. 7 und 8 GRCh der EMRK nachgebildet ist, wird nach Art. 52 III GRCh die EMRK einschließlich der Recht-
Kingreen, JZ , , ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. . Schwartmann, RDV , , ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Masing, SZ . . . Skeptisch Masing, NJW , , ; Masing, SZ . . ; Cornils, in: Stern/Peifer/ Hain, Datenschutz, S. ff. Wenig Anlass zur Sorge sieht dagegen Kühling, Europäisierung, S. . EuGH . . – C-/, C-/, Slg. unv. = NJW , – VDS; EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain; Kühling, NVwZ , , ; Meyer-Borowski, Vor. zu Art. ff. Rn. ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. . Kühling, Europäisierung, S. ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Kingreen, JZ , , . Masing, SZ . . ; Masing, JZ , , . Masing, SZ . . .
B. Verfassungsrechtliche Vorgaben
73
sprechung des EGMR als Auslegungshilfe für die Grundrechte der Charta herangezogen.⁴⁹
II. Grundrechtlich geschützte Betreiber- und Drittinteressen Wie bei der Interessenanalyse in Kapitel 2 dargestellt, besteht für Soziale Netzwerke ein finanzielles Interesse an der Auswertung und Nutzung von Mitgliederdaten, um Dienste zu personalisieren, profilbasierte Werbung anbieten zu können und u. U. zukünftig in verschiedenen Varianten als Auskunfts- oder Vermittlungsplattform tätig zu werden. Diese Interessen spiegeln sich bei den (potentiellen) Kunden von Facebook. Ein grundrechtlicher Schutz kann sich insoweit aus der Meinungs- und Informationsfreiheit gem. Art. 5 I 1 GG, der Berufsfreiheit gem. Art. 12 I GG, der Eigentumsgarantie gem. Art. 14 I GG sowie aus der wirtschaftlichen Betätigungsfreiheit aus Art. 2 I GG ergeben.
1. Grundrechtsschutz für ausländische Personen Der folgende Abschnitt untersucht, inwieweit der grundrechtliche Schutz auch für juristische und natürliche ausländische Personen gilt.
a) Anwendbarkeit von Grundrechten auf ausländische juristische Personen Art. 19 III GG bestimmt, dass Grundrechte auch für inländische juristische Personen gelten, soweit sie ihrem Wesen nach auf diese anwendbar sind. Ausländische juristische Personen sind demnach vom Schutzbereich der Grundrechte des Grundgesetzes grundsätzlich ausgeschlossen.⁵⁰ Umstritten ist, ob sich eine ausländische juristische Person aus einem EUMitgliedsstaat,⁵¹ wie Facebook Ltd. mit Sitz in Dublin,⁵² auf Art. 19 III GG berufen kann. Das BVerfG hat aus dem Anwendungsvorrang der Grundfreiheiten im Binnenmarkt, Art. 26 II AEUV, und dem allgemeinen Diskriminierungsverbot nach Art. 18 AEUVgefolgert, dass die Grundrechtsberechtigung im Anwendungsbereich
Cornils, in: Stern/Peifer/Hain, Datenschutz, S. f. Sachs-Sachs, Art. Rn. ; Dreier-Dreier, Art. III Rn. . Dreier-Dreier, Art. III Rn. , ; Sachs-Sachs, Art. Rn. ; Jarass/Pieroth-Jarass, Art. Rn. . Facebook Ireland Limited, Grand Canal Square, Dublin, Irland.
74
Kapitel 3 Deutschland
des Unionsrechts auch juristischen Personen aus EU-Mitgliedsstaaten zusteht.⁵³ Sie sind damit inländischen juristischen Personen gleichgestellt.⁵⁴ Die grundsätzliche Anwendbarkeit von Unionsgrundrechten auf juristische Personen folgt aus der Mindestgarantie des Art. 52 III 2 GRCh und ist für das jeweilige Recht von seinem Wesensgehalt abhängig.⁵⁵ Der unionsgrundrechtliche Schutz Drittstaatenangehöriger ergibt sich aus dem jeweiligen Grundrecht.⁵⁶ Ob zudem jedes der einschlägigen Grundrechte seinem Wesen nach auf juristische Personen anwendbar ist, wird im Rahmen der jeweiligen Grundrechtsprüfung dargestellt.
b) Allgemeine Handlungsfreiheit als Auffangtatbestand Die h.L. nimmt an, dass der Schutz der Deutschengrundrechte über Art. 2 I GG als Auffangtatbestand auch für EU-fremde ausländische natürliche Personen gilt.⁵⁷ Nach einer Minderheitsmeinung werde dadurch die vom GG gewollte Differenzierung zwischen Deutschen- und Jedermanngrundrechten unterlaufen.⁵⁸ Diese Ansicht führt jedoch zu Wertungswidersprüchen, wenn sich Ausländer zwar auf die allgemeine Handlungsfreiheit berufen können, nicht jedoch auf bedeutendere Grundrechte.⁵⁹ Für EU-fremde ausländische juristische Personen dient Art. 2 I GG dagegen nicht als Auffanggrundrecht, da sie sich nicht auf Art. 19 III GG berufen können.⁶⁰ In der GRCh besteht mangels Normierung des Schutzes der allgemeinen Handlungsfreiheit eine Schutzlücke für Drittstaatenangehörige dort, wo Unionsgrundrechte nicht auf sie anwendbar sind.⁶¹
2. Meinungs- und Informationsfreiheit Der grundrechtliche Schutz der Meinungs- und Informationsfreiheit ist im Grundgesetz in Art. 5 I 1 GG und in der Grundrechtscharta in Art. 11 GRCh normiert. BVerfGE , , – Anwendungserweiterung; Sachs-Mann, Art. Rn. und Sachs-ders., Art. Rn. . Jarass/Pieroth-Jarass, Art. Rn. . Frenz, Kap. , § Rn. f. Frenz, Kap. , § Rn. . BVerfGE , , – Ausländerausweisung; , , – Heilpraktikergesetz; , , – Schächten; Dreier-ders., Art. I Rn. ; Jarass/Pieroth-Jarass, Art. Rn. . Hailbronner, NJW , , . Dreier-ders., Art. I Rn. . Sachs-Sachs, Art. Rn. , Art. I Rn. ; Dreier-ders., Art. III Rn. . Frenz, Kap. , § Rn. .
B. Verfassungsrechtliche Vorgaben
75
a) Art. 5 I 1 GG Für die Datenerhebung ist die Informationsfreiheit und für die Datenübermittlung das Jedermanngrundrecht⁶² der Meinungsfreiheit gem. Art. 5 I 1 GG zu beachten.⁶³ Sie gelten über Art. 19 III GG auch für juristische Personen und damit für Facebook Ltd. und ihre in der EU ansässigen Kunden.⁶⁴ Eine Datenerhebung kann sich auch ohne die explizite Einwilligung des Betroffenen insoweit auf die Informationsfreiheit nach Art. 5 I 1 Var. 2 GG stützen, als die Daten aus allgemein zugänglichen Quellen wie öffentlichen Profilseiten stammen.⁶⁵ Sofern Facebook als Auskunftei tätig werden sollte, können sich Interessenten jedoch nicht auf die Informationsfreiheit berufen, da es sich bei den von Betreibern Sozialer Netzwerke zusammengestellten Profilen nicht um ausschließlich öffentlich zugängliche Daten handelt. Die durch Art. 5 I 1 Var. 1 GG geschützte Meinungsfreiheit ermöglicht es, Werturteile und nicht bewusst unwahre, meinungsrelevante Tatsachenbehauptungen über andere Personen aufzustellen und zu verbreiten.⁶⁶ Die für die Profile Sozialer Netzwerke relevante Datenübermittlung findet bei Facebook im Rahmen des Dienstes „Insights“ in statistischer Form statt, d. h. nicht in einer Form, die durch die Elemente des Dafürhaltens und Meinens charakterisiert ist oder als Grundlage für eine Meinungsbildung dient. Es handelt sich vielmehr um reine Tatsachenbehauptungen, die nicht vom Anwendungsbereich des Art. 5 I GG erfasst sind.⁶⁷ Betreiber Sozialer Netzwerke können sich demnach hinsichtlich der Profilbildung und ‐nutzung für kommerzielle Zwecke grundsätzlich nicht auf die Meinungsfreiheit aus Art. 5 I 1 GG berufen.⁶⁸ Dies kann aber im Hinblick auf künftige Nutzungsmöglichkeiten anders sein, wenn es zum Beispiel zu einer profilbasierten Weitergabe von Informationen kommt, die nicht auf reinen Tatsachenbehauptungen basieren. So wird vertreten, dass es sich bei der Weitergabe von mittels Analysemethoden erstellten Profilen um Meinungsäußerungen handelt.⁶⁹ Maunz/Dürig-Grabenwarter, Art. Rn. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Hladjk, Online-Profiling, S. ; Schwenke, Individualisierung, S. . Jarass/Pieroth-Jarass, Art. Rn. . BVerfGE , , – Online-Durchsuchung; Dreier-Schulze-Fielitz, Art. Rn. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . Dreier-Schulze-Fielitz, Art. Rn. , ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . Schmidt, Grundrechte, S. Rn. . Vgl. Hladjk, Online-Profiling, S. ; Schwenke, Individualisierung, S. ; Roßnagel/Pfitzmann/ Garstka, Modernisierung, S. f. Schuler-Harms, in: Sokol, Living by numbers, S. .
76
Kapitel 3 Deutschland
Kunden von Facebook kann hinsichtlich ihrer Werbeanzeigen der Schutz aus Art. 5 I 1 GG zukommen, da die Meinungsäußerungsfreiheit auch die rein kommerzielle Wirtschaftswerbung erfasst.⁷⁰ Ihnen liegen jedoch die Profilinformationen nicht vor. Die Meinungsäußerungsfreiheit kann gem. Art. 5 II GG durch allgemeine Gesetze, Gesetze zum Schutz der Jugend oder zum Schutz der persönlichen Ehre eingeschränkt werden. Nach der im Lüth-Urteil⁷¹ entwickelten Wechselwirkungstheorie als besonderer Ausprägung des Verhältnismäßigkeitsgrundsatzes muss das die Kommunikationsfreiheit beschränkende Gesetz seinerseits im Lichte der Bedeutung des Grundrechts interpretiert werden.⁷² Die Bestimmung muss einen legitimen Zweck verfolgen, geeignet und erforderlich zur Zweckerreichung sowie angemessen sein.⁷³
b) Art. 11 GRCh Der unionsgrundrechtliche Schutz der Meinungsäußerungs- und Informationsfreiheit ergibt sich aus Art. 11 GRCh angelehnt an Art. 10 EMRK.⁷⁴ Auf sie kann sich nach h.L. jede in- und ausländische natürliche oder juristische Person berufen.⁷⁵ Nach der Lindqvist-Entscheidung⁷⁶ des EuGH, bei der es um ein schwedisches Strafverfolgungsverfahren wegen der Veröffentlichung von personenbezogenen Daten (Name, Telefonnummer, Arbeitsverhältnis, Freizeitbeschäftigungen) auf einer öffentlich zugänglichen Webseite ging, fällt auch die Verbreitung personenbezogener Daten im Internet in den Schutzbereich des Grundrechts.⁷⁷ Eine Differenzierung nach Tatsachenbehauptungen und Meinungsäußerungen findet auf der Ebene des Schutzbereichs nicht statt.⁷⁸ Folglich genießt die Übermittlung von Statistiken wie bei dem Dienst „Insights“⁷⁹ ebenso wie von durch Analysen gewonnenen Informationen unionsgrundrechtlichen Schutz.
Maunz/Dürig-Grabenwarter, Art. Rn. . BVerfGE , , f. – Lüth. Dreier-Schulze-Fielitz, Art. Rn. ; Maunz/Dürig-Grabenwarter, Art. Rn. . Dreier-Schulze-Fielitz, Art. Rn. ; Maunz/Dürig-Grabenwarter, Art. Rn. . Sachs-Bethge, Art. Rn. g. Ehlers-Pünder, § Rn. . Schutzeinschränkungen gegenüber Ausländern sieht Frenz, Kap. , § Rn. – . EuGH . . – Rs. C-/, Slg. , I- = EuZW , – Lindqvist. EuGH . . – Rs. C-/, Slg. , I- Tz. = EuZW , – Lindqvist; Ehlers-Pünder, § Rn. . Grabenwater-Walter, § Rn. . Siehe oben: Teil , Kap. , III., .
B. Verfassungsrechtliche Vorgaben
77
Mangels ausdrücklich normierter Schranken greift ein qualifizierter Gesetzesvorbehalt nach Art. 52 III GRCh i.V.m. Art. 10 II EMRK ein.⁸⁰ Danach ist eine staatliche Beschränkung der Meinungsfreiheit zulässig, sofern sie vom Gesetz vorgesehen ist, einen gem. Art. 10 II ERMK zulässigen Zweck verfolgt und zu dessen Erreichung in einer demokratischen Gesellschaft unentbehrlich ist (Verhältnismäßigkeit).⁸¹
3. Berufsfreiheit Der grundrechtliche Schutz der Berufsfreiheit ist in Art. 12 I GG und Art. 15 GRCh kodifiziert.
a) Art. 12 I GG Grundrechtsträger sind alle Deutschen im Sinne des Art. 116 GG. Der personale Gehalt der Berufsfreiheit lässt es fraglich erscheinen, ob das Grundrecht über Art. 19 III GG seinem Wesen nach auch auf juristische Personen anwendbar ist.⁸² Da eine juristische aber wie eine natürliche Person eine Erwerbszwecken dienende Tätigkeit ausübt und insbesondere ein Gewerbe betreiben kann, wendet das BVerfG in ständiger Rechtsprechung Art. 12 I GG auch auf inländische bzw. in der EU niedergelassene⁸³ juristische Personen an.⁸⁴ Die Berufsfreiheit garantiert als einheitliches Grundrecht sowohl die Berufswahl- als auch die Berufsausübungsfreiheit.⁸⁵ Letztere schützt die gesamte berufliche Tätigkeit, insbesondere Form, Mittel und Umfang sowie gegenständliche Ausgestaltung der Betätigung.⁸⁶ Auf die Bildung und kommerzielle Nutzung von Profilen durch in der EU niedergelassene Betreiber Sozialer Netzwerke ist die Berufsfreiheit anwendbar, sofern sie zu den Tätigkeiten zählt, die das Berufsbild eines Betreibers Sozialer Netzwerke prägen.⁸⁷
Meyer-Bernsdorff, Art. Rn. ; Ehlers-Pünder, § Rn. ff.; Frenz, Kap. , § Rn. . Dreier-Schulze-Fielitz, Art. Rn. ; Meyer-Bernsdorff, Art. Rn. ; Ehlers-Pünder, § Rn. ff.; Frenz, Kap. , § Rn. . Dreier-Wieland, Art. Rn. ; Sachs-Mann, Art. Rn. . Zur Ausdehnung des Begriffs auf in der EU niedergelassene juristische Personen siehe oben: Teil , Kap. , B., II., . BVerfGE , , – Mitbestimmung; , , – Spielbankengesetz Baden-Württemberg; , , – Glykol. Ebenso: Dreier-Wieland, Art. Rn. ; Sachs-Mann, Art. Rn. ; Maunz/Dürig-Scholz, Art. Rn. . Dreier-Wieland, Art. Rn. ; Sachs-Mann, Art. Rn. . Jarass/Pieroth-Jarass, Art. Rn. . Schuler-Harms, in: Sokol, Living by numbers, S. .
78
Kapitel 3 Deutschland
Nicht erforderlich ist, dass die Datenverarbeitung den Schwerpunkt der beruflichen Tätigkeit bildet. Ausreichend ist vielmehr, dass sie für die Ausübung des Berufs unerlässlich oder auch nur üblich ist.⁸⁸ Da laut einer Studie 46 Prozent Sozialer Netzwerke angeben, sich u. a. über profilbasierte personenbezogene Werbung zu finanzieren,⁸⁹ können sich die Betreiber insoweit auf die Freiheit der Berufsausübung berufen. Gesetzliche Einschränkungen der Datenerhebung, -verarbeitung und kommerziellen Nutzung stellen einen Eingriff in die Berufsausübungsfreiheit dar. Nach der Stufenlehre⁹⁰ des BVerfG kann eine Berufsausübungsbeschränkung durch jede vernünftige Erwägung des Allgemeinwohls legitimiert werden,⁹¹ also auch durch den Persönlichkeitsschutz. Im Rahmen der Verhältnismäßigkeit ist sicherzustellen, dass die Grundrechtsträger nicht übermäßig belastet werden.⁹² Einschränkungen profilbasierter Werbung betreffen nicht den Kern der Berufsausübungsfreiheit Sozialer Netzwerkbetreiber, sie machen das wirtschaftliche Betreiben des Dienstes keineswegs unmöglich. Andere ertragreiche Finanzierungsformen werden bereits jetzt praktiziert, wie die weniger persönlichkeitsrechtlich einschneidenden Möglichkeiten der kontextbezogenen Werbung sowie das Social Shopping,⁹³ also die persönlichen Empfehlungen von eigenen Kontakten, die als die wirksamste Werbebotschaft gelten.⁹⁴ Gerade die Nutzung von Netzwerkeffekten ist lukrativer Teil des Geschäftsmodells Sozialer Netzwerke, da Menschen sich von ihren Freunden auch hinsichtlich ihres Konsumverhaltens beeinflussen lassen.⁹⁵ Diese Form der Werbemaßnahmen setzt Facebook zum Beispiel mit Fan- und verbundenen Seiten⁹⁶ ein, jedoch auch subtiler über den Like Button und den Newsfeed selbst.⁹⁷ Ein Großteil der Informationen, die Nutzer in Sozialen Netzwerken einstellen, ist von Natur aus kommerziell relevant, so dass
Schuler-Harms, in: Sokol, Living by numbers, S. ; Weichert, in: Taeger/Wiebe, Informatik, S. . Rogosch/Hohl, Data Protection, S. . BVerfGE , , ff. – Apotheken-Urteil; , , f. – Mühlengesetz. BVerfGE , , – Ärztliches Werbeverbot; , , – Singularzulassung zum OLG; Maunz/Dürig-Scholz, Art. Rn. ; Dreier-Wieland, Art. Rn. . BVerfGE , , – Ärztliches Werbeverbot; Maunz/Dürig-Scholz, Art. Rn. ; DreierWieland, Art. Rn. . Mörl/Groß, Soziale Netzwerke, S. . Acatech, Internet Privacy , S. ; Ottensmann, Werbewirkung, S. ; Turow, The Daily You, S. f. Birke, Social Networks, S. , , ff. Siehe oben: Teil , Kap. , B., I., ., c). Birke, Social Networks, S. .
B. Verfassungsrechtliche Vorgaben
79
peer to peer-Werbung natürlicher Bestandteil des alltäglichen Nutzerverhaltens ist.⁹⁸ Daneben haben sich die Betreiber Sozialer Netzwerke zahlreiche weitere Einnahmequellen erschlossen, die profilunabhängig zunehmend größere Bedeutung bei der Finanzierung spielen, wie „Micro-Payments“⁹⁹ oder Benutzungsgebühren für Premium-Dienste.¹⁰⁰ Eine Einschränkung profilbasierter Werbung stellt damit nicht per se eine unzumutbare Belastung der Betreiber Sozialer Netzwerke dar. Auch die Verpflichtung zur Offenlegung von Algorithmen zur Datenauswertung stellt in der Regel einen Eingriff in Art. 12 I GG dar, da unter den Schutzbereich der Berufsausübung auch Geschäftsgeheimnisse fallen.¹⁰¹ Der Eingriff ist durch jede vernünftige Erwägung des Allgemeinwohls legitimierbar und darf den Betroffenen nicht unverhältnismäßig belasten.¹⁰²
b) Art. 15 GRCh Die Berufsfreiheit wird unionsgrundrechtlich in Art. 15 GRCh vergleichbar geregelt.¹⁰³ Grundrechtsberechtigt sind natürliche und juristische Personen aus der EU sowie Drittstaatenangehörige, wenn sie sich wirtschaftlich legal in der EU betätigen.¹⁰⁴ Der bezüglich der Profilbildung durch Betreiber Sozialer Netzwerke durch Art. 15 GRCh eröffnete Schutzbereich entspricht dem des Art. 12 I GG, so dass insoweit auf die obigen Ausführungen verwiesen sei. Im Gegensatz zu Art. 12 I GG enthält Art. 15 GRCh keinen ausdrücklichen Gesetzesvorbehalt, so dass die allgemeine Vorschrift des Art. 52 I 1 GRCh greift.¹⁰⁵ Eine Einschränkung ist danach ebenso wie bei Art. 12 I GG durch eine dem Ge-
Dies ist auch erklärtes Ziel von Zuckerberg, s. Kirkpatrick, Der Facebook-Effekt, S. . Es kann ein Facebook-Guthaben („Facebook-Credits“) erworben werden, um damit virtuelle Produkte zu bezahlen. Dabei erhält Facebook Prozent ihres Preises bei der Zahlung, s. Kirkpatrick, Der Facebook-Effekt, S. f.; Turow, The Daily You, S. . Mörl/Groß, Soziale Netzwerke, S. f.; Ottensmann, Werbewirkung, S. . BVerfGE , , – Betriebs- und Geschäftsgeheimnis; BGHZ , , = NJW , , – Schufa; Jarass/Pieroth-Jarass, Art. Rn. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . BVerfGE , , – Ärztliches Werbeverbot; , , – Singularzulassung zum OLG. Zur aktuellen Diskussion um die Offenlegung von Algorithmen von Google und Facebook s. bspw. Albig, Die Zeit . . . Sachs-Mann, Art. Rn. ; Ehlers-Ruffert, § Rn. . Ehlers-Ruffert, § Rn. ff.; Meyer-Bernsdorff, Art. Rn. , Art. Rn. . Frenz, Hdb. Europarecht, S. Rn. ; Ehlers-Ruffert, § Rn. ; Grabenwarter-ders., § Rn. .
80
Kapitel 3 Deutschland
meinwohl dienende gesetzliche Regelung möglich, die den Verhältnismäßigkeitsgrundsatz wahrt.¹⁰⁶ Äußerste Grenze für die Beschränkung des Grundrechts ist sein Wesensgehalt.¹⁰⁷
4. Eigentumsgarantie Art. 14 I GG und Art. 17 GRCh regeln die grundrechtliche Eigentumsgarantie.
a) Art. 14 I GG Art. 14 I 1 GG schützt als Eigentum die rechtliche Zuordnung eines vermögenswerten Gutes an einen Rechtsträger.¹⁰⁸ Grundrechtsträger sind natürliche und über Art. 19 III GG auch juristische inländische bzw. in der EU niedergelassene¹⁰⁹ Personen des Privatrechts.¹¹⁰ Unter die Eigentumsgarantie fallen auch Immaterialgüter wie das Urheberrecht, Art. 14 I 2 GG.¹¹¹ Datenbanken, die eine persönliche geistige Schöpfung darstellen, begründen gem. § 4 Urheberrechtsgesetz (UrhG)¹¹² ein Urheberrecht. Datenbanken, die das Kriterium der persönlichen geistigen Schöpfung nicht erfüllen, genießen durch §§ 87a ff. UrhG einen Leistungsschutz, wenn sie in einer Sammlung von Werken, Daten oder anderen unabhängigen Elementen systematisch oder methodisch angeordnet sind und ihre Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordern.¹¹³ Diese Kriterien erfüllen Datensammlungen Sozialer Netzwerke, die zu Profilbildungszwecken mittels Data Mining-Techniken ausgewertet und zu Profilen zusammengeführt wurden.¹¹⁴ Auch die für Scoring- und andere Profilbildungsverfahren verwendeten Algorithmen können der Eigentumsgarantie unterfallen, soweit sie urheberrechtlichen Schutz genießen, Art. 14 I 2 GG.¹¹⁵ Als Bestandteil eines Computerprogramms sind die konkrete Verknüpfung und Anwendung von Algorithmen im Programm Meyer-Bernsdorff, Art. Rn. ; Ehlers-Ruffert, § Rn. ; Frenz, Hdb. Europarecht, S. Rn. . Ehlers-Ruffert, § Rn. ; Grabenwarter-ders., § Rn. . Sachs-Wendt, Art. Rn. ; Jarass/Pieroth-Jarass, Art. Rn. f. Siehe oben: Teil , Kap. , B., II., . Sachs-Wendt, Art. Rn. ; Dreier-Wieland, Art. Rn. . Dreier-Wieland, Art. Rn. ; Sachs-Wendt, Art. Rn. . Gesetz über Urheberrecht und verwandte Schutzrechte (Urheberrechtsgesetz). Ahlberg/Götting-Ahlberg, § Rn. . Siehe oben: Teil , Kap. , C., II. Schuler-Harms, in: Sokol, Living by numbers, S. .
B. Verfassungsrechtliche Vorgaben
81
nach § 69a UrhG urheberrechtlich schutzfähig, nicht jedoch allgemeine Grundsätze.¹¹⁶ Die urheberrechtlichen Regelungen und mit ihnen die Eigentumsgarantie schützen nicht die Erhebung und Verarbeitung personenbezogener Daten, da Art. 14 I 1 GG nur das Erworbene schützt, nicht jedoch die Tätigkeit des Erwerbens.¹¹⁷ Auch das Interesse von Werbekunden an einer möglichst zielgenauen, auf einer breiten Datenbasis beruhenden Profilbildung ist nicht über Art. 14 I 1 GG geschützt. Werbung auf Profile ausrichten zu können ist eine bloße Chance auf einen verbesserten Absatz und damit nicht von der Eigentumsgarantie erfasst.¹¹⁸ Eine staatliche Verpflichtung zur Offenlegung von urheberrechtlich geschützten Algorithmen stellt einen Eingriff in Art. 14 I 1 GG dar, ebenso wie eine Beschränkung der Auswertungs- und Nutzungsmöglichkeiten von Datenbanken, die urheberrechtlichen Schutz genießen. Die generell abstrakte Festlegung¹¹⁹ von Begrenzungen der Nutzbarkeit ist als Inhalts- und Schrankenbestimmung zu qualifizieren, die an Art. 14 I 2, II GG zu messen ist.¹²⁰ Sie kann durch ein Gesetz vorgenommen werden, das den Grundsätzen der Verhältnismäßigkeit entspricht.¹²¹ Demnach muss die Regelung zur Erreichung ihres Ziels geeignet und erforderlich sein, d. h. es darf kein milderes Mittel bestehen. Zudem müssen die Belastungen des Eigentümers in einem angemessenen Verhältnis zu den mit der Regelung verfolgten Interessen stehen und zumutbar sein.¹²²
b) Art. 17 GRCh Einen vergleichbaren Schutz bietet auf EU-Ebene Art. 17 GRCh, der gem. Art. 17 II GRCh auch geistige Eigentumsrechte umfasst.¹²³ Auf das Eigentumsgrundrecht kann sich nach dem Wortlaut und der Rechtsprechung des EuGH jede natürliche
Ahlberg/Götting-Kaboth, § a Rn. . Weichert, in: Taeger/Wiebe, Informatik, S. ; Schuler-Harms, in: Sokol, Living by numbers, S. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. Fn. . Die Tätigkeit des Erwerbens ist allein durch Art. I GG geschützt, s. z. B. BVerfGE , , – Erdölbevorratung. Schuler-Harms, in: Sokol, Living by numbers, S. ; Jarass/Pieroth-Jarass, Art. Rn. . Dreier-Wieland, Art. Rn. ; Jarass/Pieroth-Jarass, Art. Rn. . Jarass/Pieroth-Jarass, Art. Rn. ; Sachs-Wendt, Art. Rn. . Sachs-Wendt, Art. Rn. ; Jarass/Pieroth-Jarass, Art. Rn. f. Sachs-Wendt, Art. Rn. ; Jarass/Pieroth-Jarass, Art. Rn. a ff. Sachs-Wendt, Art. Rn. a; Ehlers-Calliess, § Rn. ; Frenz, Hdb. Europarecht, S. Rn. .
82
Kapitel 3 Deutschland
und juristische Person des Privatrechts berufen.¹²⁴ Bloße Erwerbs- oder Gewinnaussichten schützt auch Art. 17 GRCh nicht.¹²⁵ Gesetzliche Nutzungsbeschränkungen sind gem. Art. 17 I 2, 3, Art. 52 III 1 GRCh¹²⁶ nach der Rechtsprechung des EuGH rechtmäßig, wenn sie tatsächlich dem Gemeinwohl dienenden Zielen der Gemeinschaft entsprechen und nicht einen im Hinblick auf die verfolgten Ziele unverhältnismäßigen, nicht tragbaren Eingriff darstellen, der die so gewährleisteten Rechte in ihrem Wesensgehalt antastet.¹²⁷
5. Wirtschaftliche Betätigungsfreiheit Ein Schutz der wirtschaftlichen Betätigungsfreiheit ergibt sich aus Art. 2 I GG und Art. 16 GRCh.
a) Art. 2 I GG Jedes nicht vom Schutzbereich eines anderen Freiheitsrechts erfasste menschliche Verhalten schützt Art. 2 I GG, soweit es nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.¹²⁸ Eine nicht spezialgrundrechtlich geschützte Datenverarbeitung kann danach aufgrund der Schranke der verfassungsmäßigen Ordnung durch jede gültige, verhältnismäßige Rechtsnorm eingeschränkt werden.¹²⁹ Auf die allgemeine Handlungsfreiheit in Form der wirtschaftlichen Betätigungsfreiheit¹³⁰ aus Art. 2 I GG können sich über Art. 19 III GG auch juristische Personen des Inlands bzw. des EU-Auslands¹³¹ berufen.¹³² Für ausländische natürliche Personen stellt es ein Auffanggrundrecht dar, das auch den Wesensgehalt
EuGH . . – Rs. C-/ Slg. , Tz. ff.– Hauer; . . , Rs. C-/ , Slg. , Tz. ff. – Schräder; Ehlers-Calliess, § Rn. . Ehlers-Calliess, § Rn. ; Frenz, Hdb. Europarecht, S. Rn. . Meyer-Bernsdorff, Art. Rn. ; Frenz, Hdb. Europarecht, S. Rn. . EuGH . . , Rs. C-/, Slg. , I- Tz. = GRUR Int , , – Metronome Musik; . . , Rs. C-/, Slg. I Tz. – Generics; Ehlers-Calliess, § Rn. ; Grabenwarter-Sonnevend, § Rn. . BVerfGE , , – Elfes; Jarass/Pieroth-Jarass, Art. Rn. . Jarass/Pieroth-Jarass, Art. Rn. , ; Sachs-Murswiek, Art. Rn. . BVerfGE , , – Springer/Wallraff; , , – Rechtschreibreform; , , – Anwaltsdaten. Siehe oben: Teil , Kap. , B., II., . Dreier-ders., Art. I Rn. .
B. Verfassungsrechtliche Vorgaben
83
der Deutschengrundrechte enthält,¹³³ aber gegenüber EU-fremden Ausländern ggf. stärkere Einschränkungen zulässt.¹³⁴
b) Art. 16 GRCh Ein grundrechtlicher Schutz der allgemeinen Handlungsfreiheit besteht auf EUEbene nicht. Art. 6 GRCh schützt lediglich die körperliche Fortbewegungsfreiheit.¹³⁵ Art. 16 GRCh gewährleistet jedoch explizit die unternehmerische Freiheit.¹³⁶ Geschützt wird die Aufnahme, Ausübung und Aufgabe einer auf Erwerb ausgerichteten unternehmerischen Tätigkeit unabhängig von Art und Umfang sowie Rechtsform und Finanzierung des Unternehmens.¹³⁷ Ausprägungen sind die Vertrags- und die Wettbewerbsfreiheit sowie der Schutz des Berufsgeheimnisses.¹³⁸ Die Datenverarbeitung zu kommerziellen Zwecken sowie Algorithmen fallen damit in den Schutzbereich. Auf die Unternehmerfreiheit können sich natürliche und juristische Personen mit Sitz in der EU berufen; Drittstaatenangehörige nur in eingeschränktem Maß.¹³⁹ Dass der Schutz des Art. 16 GRCh unter dem Vorbehalt des Unionsrechts, einzelstaatlicher Rechtsvorschriften und Gepflogenheiten steht, hat in der Praxis keine Auswirkungen, da auch insoweit der allgemeine Gesetzesvorbehalt aus Art. 52 I GRCh zu beachten ist.¹⁴⁰ Es gilt der Schrankenvorbehalt des Art. 52 I 1 GRCh wie bei Art. 15 GRCh beschrieben.¹⁴¹
6. Ergebnis Betreiber Sozialer Netzwerke und ihre Kunden mit Sitz in einem EU-Mitgliedsstaat können sich in dem oben beschriebenen Maß auf die Meinungs- und Berufsfreiheit sowie die Eigentumsgarantie und die wirtschaftliche Betätigungsfreiheit berufen. Diese Freiheiten können ihrerseits durch Regelungen eingeschränkt werden, die vernünftigen Erwägungen des Allgemeinwohls dienen. Dementsprechend können
Siehe oben: Teil , Kap. , B., II., ., b). Dreier-ders., Vor. Rn. . Moser-Knierim, Vorratsdatenspeicherung, S. f.; Grabenwarter-Klement, § Rn. . Grabenwarter-ders., § Rn. . Grabenwarter-ders., § Rn. f.; Meyer-Bernsdorff, Art. Rn. a. Grabenwarter-ders., § Rn. ff.; Meyer-Bernsdorff, Art. Rn. , . Grabenwarter-ders., § Rn. , f.; Meyer-Bernsdorff, Art. Rn. . Meyer-Bernsdorff, Art. Rn. ; Grabenwarter-ders., § Rn. . Grabenwarter-ders., § Rn. ; Meyer-Bernsdorff, Art. Rn. ; siehe oben: Teil , Kap. , B., II., ., b).
84
Kapitel 3 Deutschland
Einschränkungen der Datenverarbeitung zum Schutz des Rechts auf informationelle Selbstbestimmung gerechtfertigt sein.¹⁴²
III. Grundrechtlich geschützte Nutzerinteressen Der Persönlichkeitsschutz wird im deutschen Verfassungsrecht durch mehrere Grundrechte sowie Grundrechtsausprägungen gewährleistet, die in verfassungsgerichtlicher Rechtsfortbildung entstanden sind.¹⁴³ Die Grundlage des verfassungsrechtlichen Persönlichkeitsschutzes bildet die normative Vorstellung vom Menschen als ein autonomes Individuum mit der Fähigkeit zur eigenverantwortlichen Lebensgestaltung.¹⁴⁴ Nach der Vorstellung des Verfassungsgebers gehört es zum Wesen des Menschen, „in Freiheit sich selbst zu bestimmen und sich frei zu entfalten, und dass der Einzelne verlangen kann, in der Gemeinschaft grundsätzlich als gleichberechtigtes Glied mit Eigenwert anerkannt zu werden […].“¹⁴⁵ Die Persönlichkeitsentfaltung wird verstanden als ein kontinuierlich ablaufender Entwicklungsprozess, der bedingt wird durch Interaktionen mit der Umwelt und der Reflexion des Individuums.¹⁴⁶ Dieses Menschenbild des Grundgesetzes hängt auf das Engste mit der Konzeption der Menschenwürde zusammen,¹⁴⁷ die wiederum Grund und Grundlage der Freiheits- und Gleichheitsgrundrechte ist.¹⁴⁸ In Hinblick auf die automatisierte Datenverarbeitung spielt neben dem Recht auf informationelle Selbstbestimmung sowie der Vertraulichkeit und Integrität informationstechnischer Systeme, welche sich als Ausprägungen des Allgemeinen Persönlichkeitsrechts aus Art. 2 I i.V.m. 1 I GG ableiten, das Fernmeldegeheimnis aus Art. 10 I GG eine Rolle.
Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . Schwartmann, RDV , , Fn. . Diesterhöft, Neubeginn, S. ; Dreier-ders., Art. I Rn. f. BVerfGE , , – Luftsicherheitsgesetz; Sandkühler, Menschenwürde, S. f. Diesterhöft, Neubeginn, S. . BVerfGE , , – KPD-Verbot; , , – Lebenslange Freiheitsstrafe; Diesterhöft, Neubeginn, S. Fn. ; Maunz/Dürig-Herdegen, Art. I Rn. . Moser-Knierim, Vorratsdatenspeicherung, S. .
B. Verfassungsrechtliche Vorgaben
85
1. Menschenwürdegarantie Profilbildung ist verfassungswidrig, wenn sie die Menschenwürde verletzt.¹⁴⁹ Eine Verletzung der Menschenwürde hat das BVerfG in diesem Kontext jedoch stets verneint, so dass es in Deutschland an einer höchstrichterlichen Konkretisierung fehlt, wann die Schwelle zu einer nicht mehr zulässigen Profilbildung überschritten ist.¹⁵⁰
a) Art. 1 I GG Nach dem BVerfG schließt es die Verpflichtung zur Achtung und zum Schutz der Menschenwürde generell aus, den Menschen zum bloßen Objekt des Staates zu machen. „Schlechthin verboten ist damit jede Behandlung des Menschen durch die öffentliche Gewalt, die dessen Subjektqualität, seinen Status als Rechtssubjekt, grundsätzlich in Frage stellt […], indem sie die Achtung des Wertes vermissen lässt, der jedem Menschen um seiner selbst willen, kraft seines Personseins, zukommt […].Wann eine solche Behandlung vorliegt, ist im Einzelfall mit Blick auf die spezifische Situation zu konkretisieren […].“¹⁵¹ Somit definiert das BVerfG und mit ihm die herrschende Lehre die Menschenwürde verfassungsrechtlich nicht positiv, sondern vom Eingriff her in der Prüfung des Einzelfalls.¹⁵² Mit der Menschenwürde ist es nach den Ausführungen des BVerfG in seiner Mikrozensus-Entscheidung aus dem Jahr 1970 unvereinbar, „den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung“.¹⁵³ Das Individuum dürfe nicht zu einem „bloßen Informationsobjekt“ werden.¹⁵⁴ In Abgrenzung zum Begriff des Persönlichkeitsprofils,¹⁵⁵ das keine Aussage über seine Verfassungsgemäßheit trifft, wird im Rahmen dieser Arbeit in Anlehnung an den Gebrauch in der Literatur¹⁵⁶ das Begriffspaar „umfassendes Persönlichkeitsprofil“ für ein Profil verwendet, das die Würde des Menschen verletzt.
BVerfGE , , – Mikrozensus; , , – Volkszählungsurteil. BVerfGE , , – Mikrozensus; , , – Volkszählungsurteil; Peifer, JZ , , ; Jandt/Laue, K&R , , ; Jandt, Vertrauen, S. ; Fröhle, Web Advertising, S. . BVerfGE , , – Luftsicherheitsgesetz. BVerfGE , , – Abhörurteil; Sandkühler, Menschenwürde, S. . BVerfGE , , – Mikrozensus. BVerfGE , , – Volkszählungsurteil. Siehe oben: Teil , Kap. , B. Jandt/Laue, K&R , , ; Jandt, Vertrauen, S. ; Fröhle, Web Advertising, S. .
86
Kapitel 3 Deutschland
aa) Vollständige Erfassung der Persönlichkeit Ein Persönlichkeitsprofil verletzt die Würde des Menschen, wenn es die Persönlichkeit in seiner Gänze abbildet.¹⁵⁷ Fraglich ist, wie bestimmt werden kann, wann tatsächlich die ganze Persönlichkeit erfasst wurde. Eine Klärung erscheint schwerlich möglich. So ist fraglich, wie mit wissenschaftlicher Gewissheit festgestellt werden soll, dass alle Facetten der Persönlichkeit erkannt wurden. Außerdem widerspricht die Annahme, die Persönlichkeit könnte in Gänze erfasst werden, der der Verfassung zugrundeliegenden Vorstellung von der Persönlichkeit als ein sich stetig fortentwickelndes Konstrukt des Selbst.¹⁵⁸ Die Natur der sich entfaltenden Persönlichkeit lässt eine vollumfängliche Erfassung höchst unwahrscheinlich erscheinen.
bb) Kernbereich privater Lebensgestaltung Nach dem Volkszählungsurteil des BVerfG kann auch die Erstellung eines Teilabbilds der Persönlichkeit eine Verletzung der Menschenwürde begründen.¹⁵⁹ Wann dies der Fall ist, wurde nicht konkretisiert. Nach der weiteren Rechtsprechung des BVerfG wird durch das Eindringen in den Kernbereich privater Lebensgestaltung die Würde des Menschen verletzt.¹⁶⁰ Daraus kann abgeleitet werden, dass die Erfassung eines Teilabbilds jedenfalls dann einen Verstoß gegen die Menschenwürde darstellt, wenn dadurch in den Kern der privaten Lebensgestaltung eingedrungen wird. Wann dies der Fall ist, kann nicht abstrakt bestimmt werden. Das BVerfG konkretisiert den Kernbereich über eine Abwägung.¹⁶¹ Entscheidend ist danach das Geheimhaltungsinteresse des Betroffenen, ob ein höchstpersönlicher Inhalt erfasst wird und wie intensiv der Sachverhalt die Sphäre anderer oder die Belange der Gemeinschaft berührt.¹⁶²
BVerfGE , , – Mikrozensus. Siehe oben: Teil , Kap. , B., III. BVerfGE , , – Volkszählungsurteil. BVerfGE , , f. – Tagebuch; , , f. – Großer Lauschangriff; , , – Online-Durchsuchung. BVerfGE , , f. – Tagebuch; , , f. – Großer Lauschangriff; , , – Online-Durchsuchung; Moser-Knierim, Vorratsdatenspeicherung, S. ; Hain, Der Staat , , . BVerfGE , , f. – Tagebuch; , , f. – Großer Lauschangriff; , , f. – Online-Durchsuchung; Moser-Knierim, Vorratsdatenspeicherung, S. ; Hain, Der Staat , , .
B. Verfassungsrechtliche Vorgaben
87
Die Bestimmung des Kernbereichs über eine Abwägung bedeutet jedoch keine Abwägung der Menschenwürde selbst, wie es Teile der Literatur vertreten,¹⁶³ sondern die Relativierung einer absoluten Grenze im Einzelfall zur Bestimmung des konkreten Festsetzungsgehalts.¹⁶⁴ Die Erforderlichkeit der Relativierung folgt aus der Ausgestaltung der Menschenwürde als absolutes Rechtsprinzip, das Leitgedanken statuiert, aber in Abgrenzung zur Rechtsregel keine unmittelbare Subsumption mit bestimmten Rechtsfolgen ermöglicht.¹⁶⁵ Zu einer konkreten Festsetzung kommt es erst, wenn der Leitgedanke mit den jeweils maßgeblichen Umständen des Einzelfalls in Beziehung gesetzt und dadurch relativiert wird.¹⁶⁶ So ist es auch möglich, das aktuelle Gesellschaftsbild und die sich wandelnden Vorstellungen über Identität und Individualität zu berücksichtigen.¹⁶⁷ Die systematische Datenerhebung allein berührt den unantastbaren Kernbereich nicht, weil der Nutzer bei der Inanspruchnahme von Telemediendiensten in eine Kommunikationsbeziehung eintritt und den Rückzugsraum privater Lebensgestaltung verlässt.¹⁶⁸ Knüpft die Datenerhebung nur an das Verhalten des Betroffenen in der Außenwelt an, so liegt bei anonymen Erhebungen ein Verstoß gegen die Menschenwürde in aller Regel nicht vor.¹⁶⁹ Werden jedoch Analysemethoden verwendet, die nicht offenbarte Informationen des Kernbereichs offenlegen, ist die Grenze überschritten.
b) Art. 1 GRCh Art. 1 S. 1 GRCh garantiert die Unantastbarkeit der Menschenwürde. Gem. Art. 1 S. 2 GRCh ist sie zu achten und zu schützen. Die Menschenwürde wird absolut geschützt, die Anwendung der allgemeinen Schrankenklausel aus Art. 52 I GRCh scheidet aus.¹⁷⁰
Hufen, JZ , . Zur Diskussion m.w.N. Sandkühler, Menschenwürde, S. ff. Hain, Der Staat , , ; Moser-Knierim, Vorratsdatenspeicherung, S. . Hain, Der Staat , , . Hain, Der Staat , , . Moser-Knierim, Vorratsdatenspeicherung, S. ; Sandkühler, Menschenwürde, S. ; Hain, Der Staat , , . Fröhle, Web Advertising, S. . BVerfGE , , – Mikrozensus; Merati-Kashani, Datenschutz, S. ; Roßnagel-Trute, Hdb. Datenschutzrecht, . Rn. ; Schuler-Harms, in: Sokol, Living by numbers, S. ; Roßnagel/ Pfitzmann/Garstka, Modernisierung, S. ; Bull, NVwZ , , . Meyer-Borowsky, Art. Rn. ; Ehlers-Schorkopf, § Rn. .
88
Kapitel 3 Deutschland
Umstritten ist jedoch die Grundrechtsqualität des Art. 1 GRCh.¹⁷¹ Nach einer, auch von der Generalanwältin des EuGH in der Rechtssache Omega vertretenen Ansicht, ist die Menschenwürde ein allgemeiner Grundsatz des Gemeinschaftsrechts.¹⁷² Der EuGH hat die Frage in der Entscheidung offen gelassen,¹⁷³ jedoch bereits zuvor die Grundrechtsqualität anerkannt.¹⁷⁴ Zudem wird in den Erläuterungen des Präsidiums zur GRCh die Menschenwürde explizit als Grundrecht bezeichnet: „Die Würde ist nicht nur ein Grundrecht an sich, sondern bildet das eigentliche Fundament der Grundrechte.“¹⁷⁵ Damit besitzt die Menschenwürde nach Art. 1 GRCh eine Doppelnatur als Elementargrundsatz und subjektiv einforderbares Grundrecht.¹⁷⁶
2. Allgemeines Persönlichkeitsrecht Als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 I, 1 I GG wurde das Recht auf informationelle Selbstbestimmung 1983 vom BVerfG im Volkszählungsurteil¹⁷⁷ entwickelt. Danach hat jeder die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden.¹⁷⁸ 25 Jahre nach der Geburt des Rechts auf informationelle Selbstbestimmung, das fortan als zentrale verfassungsrechtliche Garantie für den Umgang mit personenbezogenen Daten galt,¹⁷⁹ fällte das BVerfG 2008 mit der Online-Durchsuchungsentscheidung¹⁸⁰ eine weitere grundlegende Entscheidung zugunsten des Persönlichkeitsschutzes. Dieses Urteil stieß in der Literatur auf ein geteiltes Echo.¹⁸¹ Streitig ist insbesondere, welche Bedeutung die in diesem Urteil entwi-
Dafür bspw. Grabenwater-Breuer, § Rn. ; Frenz, Hdb. Europarecht, S. Rn. ; dagegen etwa Ehlers-Schorkopf, § Rn. . Stix-Hackl, Schlussantrag . . , Rs. C-/, Slg. , I- Tz. – Omega; Ehlers-Schorkopf, § Rn. . EuGH . . , Rs. C-/, Slg. , I- Tz. = EuZW , , – Omega. EuGH . . , Rs. C-/, Slg. , I- Tz. = NJW , , – P./ S. und Cornwall County Council. Erläuterungen zur Charta der Grundrechte, ABl. der EU /C /, S. . Frenz, Hdb. Europarecht, S. Rn. . BVerfGE , – Volkszählungsurteil. BVerfGE , , – Volkszählungsurteil. Roßnagel-Trute, Hdb. Datenschutzrecht, . Rn. ; Hladjk, Online-Profiling, S. . BVerfGE , – Online Durchsuchung. Kritisch etwa: Britz, DÖV , ff.; Eifert, NVwZ , ff.; Lepsius, in: Roggan, Online-Durchsuchung, S. ff. Zustimmend etwa: Hirsch, NJOZ , ff.
B. Verfassungsrechtliche Vorgaben
89
ckelte Grundrechtsausprägung für den Anwendungsbereich und die Auslegung des Rechts auf informationelle Selbstbestimmung hat.¹⁸²
a) Vorstellung der Leitentscheidungen Um ausgehend von dem aktuellen Stand der höchstrichterlichen Rechtsprechung die verfassungsrechtlichen Vorgaben für den Persönlichkeitsschutz vor Profilen Sozialer Netzwerke ableiten zu können, ist eine klare Abgrenzung der Schutzbereiche und die Bestimmung des Schutzumfangs erforderlich. Dazu werden im Folgenden die Entscheidungen sowie der Streitstand in der Literatur überblicksmäßig wiedergegeben.
aa) BVerfGE 65, 1, 43 – Volkszählungsurteil: Recht auf informationelle Selbstbestimmung Entscheidungsanlass des Volkszählungsurteils waren mehrere Verfassungsbeschwerden gegen die durch das Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung angeordnete Verpflichtung zu Auskünften über personenbezogene Daten der Bürger, die im Ergebnis der staatlichen Planung und weiteren Gesetzgebung dienen sollten.¹⁸³ Das BVerfG überprüfte die Verfassungsgemäßheit des Gesetzes in erster Linie am Maßstab des allgemeinen Persönlichkeitsrechts aus Art. 2 I i.V.m. 1 I GG und stellte fest, dass zwei seiner Schutzaspekte betroffen sein können: die Menschenwürde¹⁸⁴ sowie die in dieser Entscheidung als besonderes Schutzgut herausgearbeitete informationelle Selbstbestimmung.¹⁸⁵
(1) Inhalt und Begründung der Befugnisformel Im Mittelpunkt der grundgesetzlichen Ordnung, so das BVerfG, stehen Wert und Würde der Person, die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt.¹⁸⁶ Voraussetzung für individuelle Selbstbestimmung sei, dass der Einzelne die Möglichkeit habe, frei über sein Handeln oder Unterlassen zu entscheiden und sich dementsprechend zu verhalten.¹⁸⁷ Diese Möglichkeit sieht das
Böckenförde, JZ , ff.; Luch, MMR , ff.; Hoffmann-Riem, JZ , ff.; Britz, DÖV , ff.; Eifert, NVwZ , ff.; Gurlit, NJW , ff. BVerfGE , , f. – Volkszählungsurteil; Placzek, Allgemeines Persönlichkeitsrecht, S. . BVerfGE , , – Volkszählungsurteil. BVerfGE , , f. – Volkszählungsurteil. BVerfGE , , – Volkszählungsurteil. BVerfGE , , – Volkszählungsurteil.
90
Kapitel 3 Deutschland
BVerfG durch die Mittel der automatisierten Datenverarbeitung und dauerhaften Speicherung als gefährdet an. Es benennt zwei Faktoren, die sich negativ auf die freie Entfaltung der Persönlichkeit auswirken können: Zum einen führe die beliebige Zusammenführung von Informationen zu mehr oder weniger vollständigen Persönlichkeitsbildern, ohne dass der Einzelne die Richtigkeit und Verwendung kontrollieren könnte, und dazu, dass der Einzelne nicht mehr wissen könne, wer was über ihn weiß. Dadurch werde der Einzelne in seiner Persönlichkeitsentfaltung und in der Ausübung von Freiheitsrechten gefährdet.¹⁸⁸ Zum anderen werde der Einzelne, wenn er unsicher ist, ob sein Verhalten beobachtet und dokumentiert wird, sein Verhalten anpassen und versuchen, nicht aufzufallen.¹⁸⁹ Die Selbstbestimmung sei als Schutzgut nicht nur für den Einzelnen von grundlegender Bedeutung, sondern auch für eine funktionierende freiheitliche Demokratie, da diese auf der Handlungs- und Mitwirkungsfähigkeit der Bürger gründe.¹⁹⁰ Da es die Aufgabe des allgemeinen Persönlichkeitsrechts sei, die Voraussetzungen für die freie Entfaltung der Persönlichkeit zu erhalten bzw. zu schaffen, müsse der Einzelne vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten geschützt werden. Das allgemeine Persönlichkeitsrecht gibt ihm deshalb die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.¹⁹¹ Das Recht auf informationelle Selbstbestimmung bietet damit einen vorgelagerten Schutz bezogen auf die Gefährdung anderer Grundrechtspositionen.¹⁹² Der Schutz besteht unabhängig von der Aussagekraft des einzelnen Datums, da es unter den Bedingungen der automatischen Datenverarbeitung aufgrund der sich daraus ergebenden Verknüpfungsmöglichkeiten kein „belangloses“ Datum mehr gibt.¹⁹³ Dem Einzelnen könne aber als Teil einer miteinander kommunizierenden Gemeinschaft ein eigentumsähnliches Recht an „seinen Daten“ nicht zustehen, so das BVerfG, da auch ein personenbezogenes Datum ein Stück soziale Realität darstelle, das dem Betroffenen nicht ausschließlich zugeordnet sei. Das Recht auf informationelle Selbstbestimmung ist mithin kein eigentumsähnliches Verfü-
BVerfGE , , – Volkszählungsurteil; Papier, in: Schmidt/Weichert, Datenschutz, S. . BVerfGE , , – Volkszählungsurteil. BVerfGE , , – Volkszählungsurteil. BVerfGE , , – Volkszählungsurteil. Miller/Poscher, FAZ . . , S. . BVerfGE , , – Volkszählungsurteil.
B. Verfassungsrechtliche Vorgaben
91
gungsrecht,¹⁹⁴ sondern gewährleistet nur die Möglichkeit, die Darstellung der eigenen Person vor Verfestigungen und Manipulationen zu schützen, die sich aus einer Datensammlung und -auswertung Dritter ergeben.
(2) Schranken und Schranken-Schranken Dass das Recht auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet wird, ergibt sich bereits aus Art. 2 I GG. Außerhalb der Intimsphäre als unantastbarem Kernbereich privater Lebensführung¹⁹⁵ sind Einschränkungen des Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse, insbesondere in Gestalt höherwertiger Rechtsgüter Dritter und unter Beachtung des Grundsatzes der Verhältnismäßigkeit,¹⁹⁶ im Einzelfall hinzunehmen.¹⁹⁷ Das Recht auf informationelle Selbstbestimmung hat somit einen an der konkreten Gefährdungssituation ausgerichteten Gewährleistungsgehalt, der sich an Art und Umfang der erhobenen Daten ebenso orientiert wie an den möglichen Verwendungen und am Missbrauchspotential.¹⁹⁸ Je größer die Eingriffsintensität, desto konkreter und restriktiver müssen die gesetzlichen Regelungen zum Datenverarbeitungszweck, zu Verknüpfungs- und Verwendungsmöglichkeiten sowie zum Kreis der Zugriffsberechtigten und zur Datensicherheit sein.¹⁹⁹
bb) BVerfGE 120, 274 – Online Durchsuchung: Vertraulichkeit und Integrität informationstechnischer Systeme Gegenstand der Entscheidung aus dem Jahr 2008 waren Vorschriften des Verfassungsschutzgesetzes Nordrhein-Westfalens, welche die Verfassungsschutzbehörde ermächtigen, heimliche Aufklärungen im Internet sowie in informationstechnischen Systemen²⁰⁰ vorzunehmen.²⁰¹ Unter informationstechnischen
Zum Diskussionsstand in Europa s. Purtova, Property Rights, S. ff. BVerfGE , , – Großer Lauschangriff; OLG Hamburg NJW , , – Scheinehe. BVerfG NJW , , – Zeugenaussagen über Telefongespräche; NJW , , – Genetischer Fingerabdruck; BGH NJW , , – Mithören eines Telefonats; BGH NJW , , – GPS-Überwachung. BVerfGE , , – Volkszählungsurteil; Papier, in: Schmidt/Weichert, Datenschutz, S. . Schuler-Harms, in: Sokol, Living by numbers, S. f.; Roßnagel-Trute, Hdb. Datenschutzrecht, . Rn. . BVerfGE , , f., ; Maisch, Informationelle Selbstbestimmung, S. . An einer Definition des Begriffspaars „informationstechnisches System“ fehlt es. Das BVerfG bezieht sich in seiner Entscheidung auf die Terminologie des vorgelegten Gesetzes. BVerfGE , , f. – Online-Durchsuchung.
92
Kapitel 3 Deutschland
Systemen versteht das BVerfG Personalcomputer, Telekommunikationsgeräte sowie elektronische Geräte mit informationstechnischen Komponenten, wie sie in Wohnungen oder Kraftfahrzeugen enthalten sind.²⁰²
(1) Inhalt und Begründung des Schutzes Wie das BVerfG feststellt, haben in Bezug auf informationstechnische Systeme die Vertraulichkeit und die Integrität für die Persönlichkeit und ihre Entfaltung große Bedeutung gewonnen.²⁰³ Mit der Vertraulichkeit wird das Interesse an der Abwehr von Einblicken des Staates in dort gespeicherte Daten bezeichnet.²⁰⁴ Integrität bezieht sich auf den Schutz vor der ungewollten Überwindung von Hindernissen, die das System vor dem Eindringen, Störungen und Manipulationen schützen sollen.²⁰⁵ Diese seien weder durch andere Grundrechte, etwa Art. 10 und Art. 13 GG, noch durch den Schutz der Privatsphäre und das darüber hinausgehende Recht auf informationelle Selbstbestimmung als Ausprägungen des allgemeinen Persönlichkeitsrechts ausreichend geschützt.²⁰⁶ Sofern im Zuge des wissenschaftlichtechnischen Fortschritts neue Gefährdungen für konstituierende Elemente der Persönlichkeit entstehen, gewährleistet das allgemeine Persönlichkeitsrecht, dass eventuelle Schutzlücken geschlossen werden können.²⁰⁷ Dies hat das BVerfG mit der Entwicklung einer Ausprägung des allgemeinen Persönlichkeitsrechts, nämlich durch die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, getan.²⁰⁸ Gegenüber der Persönlichkeitsgefährdung, die sich insbesondere daraus ergeben kann, dass personenbezogene Daten in einer Art und Weise verknüpft und genutzt werden, die der Betroffene weder überschauen noch verhindern kann, greift nach dem BVerfG das Recht auf informationelle Selbstbestimmung.²⁰⁹ Allerdings kann diese Grundrechtsausprägung nach Ansicht des Gerichts der Persönlichkeitsgefährdung durch die Infiltration von informationstechnischen Systemen nur ausreichend Rechnung tragen, sofern das System ausschließlich einen punktuellen Bezug zu einem bestimmten Lebensbereich des Betroffenen aufweist,
BVerfGE , , – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung. Hoffmann-Riem, JZ , , ; Böckenförde, JZ , , . Hoffmann-Riem, JZ , , ; Böckenförde, JZ , , . BVerfGE , , ff. – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung. BVerfGE , , , – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung.
B. Verfassungsrechtliche Vorgaben
93
wie es zum Beispiel bei nicht vernetzten Steuerungsanlagen der Haustechnik der Fall ist. Nicht ausreichend schütze es hingegen vor den Gefahren, die sich aus dem Zugriff auf komplexe informationstechnische Systeme wie Personalcomputer ergeben. Grund dafür sei, dass hierbei durch einen Eingriff auf potentiell große und aussagekräftige Datenbestände zugegriffen werden könne, die einen Einblick in wesentliche Teile der Lebensgestaltung gewährten, wodurch sich ohne weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen ein aussagekräftiges Bild der Persönlichkeit ergeben könne.²¹⁰ Informationstechnische Systeme könnten für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder als Unterhaltungsgerät.²¹¹ Der Leistungsumfang informationstechnischer Systeme und ihre Bedeutung für die Persönlichkeitsentfaltung nehmen nach den Ausführungen des BVerfG mit der Vernetzung der Systeme untereinander noch zu. Insbesondere durch Internetdienste als Vernetzungsmöglichkeit könne der Nutzer über verschiedene Kommunikationsdienste soziale Bindungen aufbauen und pflegen, so dass für den Einzelnen neue Möglichkeiten der Persönlichkeitsentfaltung bestünden, die aber auch neue Persönlichkeitsgefährdungen mit sich brächten.²¹² Diese ergeben sich nach dem BVerfG daraus, dass im Rahmen der verschiedenen Nutzungsmöglichkeiten informationstechnischer Systeme bewusst angelegte und automatisch generierte Datensätze über die Betätigungen und Kontakte des Nutzers anfielen, die Rückschlüsse auf die Persönlichkeit bis hin zu einer Profilbildung ermöglichten – ein Effekt, der sich durch die Vernetzung mit dem Internet noch verstärke.²¹³ Da es für den Einzelnen aufgrund der Komplexität informationstechnischer Systeme mit erheblichen Schwierigkeiten verbunden sei, einen wirkungsvollen sozialen oder technischen Selbstschutz vor der heimlichen Infiltration des Systems auszuüben, besteht nach Ansicht des BVerfG eine erhebliche Persönlichkeitsgefährdung, aus der sich ein erhöhtes Schutzbedürfnis ergebe.²¹⁴ Aufgrund der berechtigten Vertraulichkeitserwartungen in einem eigengenutzten informationstechnischen System und der Heimlichkeit der Infiltration werde eine selbstbestimmte Entscheidung, wie sie Voraussetzung für die Ausübung des Rechts auf informationelle Selbstbestimmung ist, unterminiert.²¹⁵
BVerfGE , , f. – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung. BVerfGE , , f. – Online-Durchsuchung. BVerfGE , , f. – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung.
94
Kapitel 3 Deutschland
Soweit der Einzelne für seine Persönlichkeitsentfaltung auf die Nutzung komplexer informationstechnischer Systeme angewiesen ist, gewährleistet deshalb das allgemeine Persönlichkeitsrecht in seiner Ausprägung der Integrität und Vertraulichkeit informationstechnischer Systeme den Schutz vor Persönlichkeitsgefährdungen.²¹⁶ Geschützt wird das Interesse des Nutzers daran, dass die Daten vertraulich bleiben. Eine berechtigte und damit schutzwürdige Vertraulichkeits- und Integritätserwartung des Nutzers bestehe aber nur, soweit der Betroffene das informationstechnische System als eigenes nutzt und deshalb den Umständen nach davon ausgehen darf, dass er über das informationstechnische System selbstbestimmt verfügt.²¹⁷ Das Gericht zieht damit im Einklang mit der grundrechtlichen Systematik von Informationsschutzrechten, wie Art. 10 und 13 GG, einen normativen Maßstab zur Beurteilung der Berechtigung der Vertraulichkeitserwartungen heran.²¹⁸ Ein rechtfertigungsbedürftiger Eingriff in das Recht auf Integrität und Vertraulichkeit informationstechnischer Systeme liegt mithin vor, wenn die Integrität eines Systems beeinträchtigt wird, in welches eine berechtigte Vertraulichkeitserwartung des Betroffenen besteht.²¹⁹
(2) Heimliches Aufklären durch Zugriffe auf Internetdienste Das heimliche Aufklären durch Zugriffe auf Internetdienste erfasst Maßnahmen, mit denen Inhalte der Internetkommunikation auf dem technisch dafür vorgesehenen Weg zur Kenntnis genommen werden.²²⁰ Die Kenntnisnahme von öffentlich frei zugänglichen Inhalten durch den Staat greift nicht in den Schutzbereich des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme ein, da der Betroffene sein System insoweit selbst geöffnet hat.²²¹ Ein Eingriff in das Recht auf informationelle Selbstbestimmung durch die Verarbeitung öffentlich zugänglicher Daten durch den Staat, ist bei einer systematischen Sammlung, Verknüpfung und Auswertung gegeben, sofern sich dadurch eine besondere Gefährdungslage für die Persönlichkeit des Betroffenen ergibt.²²²
BVerfGE , , – Online-Durchsuchung. BVerfGE , , f. – Online-Durchsuchung. Britz, DÖV , , ; Hoffmann-Riem, JZ , , . Luch, MMR , . BVerfGE , , – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung. BVerfGE , , f. – Online-Durchsuchung.
B. Verfassungsrechtliche Vorgaben
95
(3) Schranken und Schranken-Schranken Auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist nicht schrankenlos. Eingriffe können zum Schutz höherwertiger Rechtsgüter Dritter gerechtfertigt sein.²²³ Die gesetzlichen Schranken müssen ihrerseits verfassungsgemäß sein und den Grundsatz der Verhältnismäßigkeit beachten.²²⁴
b) Abgrenzung der Schutzbereiche In der Literatur ist die Bedeutung des „IT-Grundrechts“ für den Anwendungsbereich und die Auslegung des Rechts auf informationelle Selbstbestimmung umstritten.²²⁵
aa) Streitstand Eine Ansicht versteht die Neuschaffung der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als eine Einschränkung des Schutzbereichs des Rechts auf informationelle Selbstbestimmung auf vereinzelte Datenerhebungsvorgänge.²²⁶ Diese Auslegung bezeichnet einer der an der Entscheidung mitwirkenden Richter, Hoffmann-Riem, ²²⁷ als ein Missverständnis.²²⁸ Die Schaffung der neuen Grundrechtsausprägung habe den Schutzbereich des Rechts auf informationelle Selbstbestimmung nicht beschnitten, sondern sei aufgrund einer neuartigen und qualitativ besonders schwerwiegenden Gefährdungslage erforderlich, die vom Recht auf informationelle Selbstbestimmung nicht abgedeckt werde.²²⁹ Die Abgrenzung der Schutzbereiche ergibt sich mithin aus der Begründung der Notwendigkeit der neuen Grundrechtsausprägung, die nachfolgend dargestellt wird.
BVerfGE , , f. – Online-Durchsuchung. BVerfGE , , – Online-Durchsuchung. Böckenförde, JZ , ff.; Luch, MMR , ff.; Hoffmann-Riem, JZ , ff.; Britz, DÖV , ff.; Eifert, NVwZ , ff.; Gurlit, NJW , ff. Britz, DÖV , , ; Eifert, NVwZ , ; Gurlit, NJW , , ; Lepsius, in: Roggan, Online-Durchsuchung, S. , f. Auch wenn Hoffmann-Riem als Richter bei der Online-Durchsuchungsentscheidung mitgewirkt hat, so kann der von ihm verfasste Aufsatz dennoch nicht als offizielle Lesart des Urteils angesehen werden. Er ist jedoch eine entscheidende Auslegungshilfe, der großes Gewicht beigemessen werden darf, da Hoffmann-Riem sein Hintergrundwissen aus den Beratungen einfließen lassen kann. Hoffmann-Riem, JZ , , Fn. . Hoffmann-Riem, JZ , , ; Luch, MMR , .
96
Kapitel 3 Deutschland
bb) Herleitung aus der Begründung des neuen Schutzbedarfs Der Schutzbedarf kann sowohl mit den Besonderheiten eigengenutzter informationstechnischer Systeme als auch mit der Heimlichkeit der Infiltration begründet werden.
(1) Besonderheiten informationstechnischer Systeme Aus dem Zugriff auf ein informationstechnisches System, welches vom Betroffenen mit berechtigten Vertraulichkeitserwartungen genutzt wird, ergeben sich besondere persönlichkeitsrechtliche Gefahren, die im Folgenden überblicksweise erläutert werden.
(a) Persönlichkeitsbilder neuartiger Tiefe und Breite Mit der Infiltration komplexer informationstechnischer Systeme eröffnet sich die Möglichkeit, auch über einen längeren Zeitraum Einblick in eine Vielzahl und Vielfalt persönlicher Lebensumstände und Charakteristika des Betroffenen zu gewinnen und durch Kumulation und Kombination von Informationen aus verschiedenen Lebensbereichen Persönlichkeitsbilder neuartiger, d. h. bisher nicht möglichen, Tiefe und Breite zeichnen zu können.²³⁰ Eine besondere Sensibilität der Daten kann aus der Erwartung des Betroffenen folgen, dass kein Dritter Zugriff auf das System nimmt. Zu den vom Betroffenen aktiv geschaffenen Datensätzen gesellen sich vom System generierte Daten – oft ohne Kenntnis oder Kenntnismöglichkeit des Nutzers.²³¹ Darin liegt nach Hoffmann-Riem gegenüber der Konstruktion von Persönlichkeitsbildern durch einzelne Datenerhebungen ein qualitativer Sprung.²³²
(b) Anzahl mitbetroffener Personen Die Anzahl Mitbetroffener ist bei der Infiltration informationstechnischer Systeme deutlich höher als bei einem gezielten Eingriff in einen bestimmten Kommunikationsakt, wie etwa dem Abhören von Gesprächen. Zudem können die erfassten Sachverhalte über Jahre zurückreichen.²³³
Hoffmann-Riem, JZ , , ; Böckenförde, JZ , , . Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , .
B. Verfassungsrechtliche Vorgaben
97
(2) Heimlichkeit der Infiltration Die Schwere der Persönlichkeitsrechtsbeeinträchtigung wird dadurch verstärkt, dass der Eingriff ohne Kenntnis des Betroffenen erfolgt.
(a) Fehlen einer selbstbestimmten Entscheidung Die Möglichkeit des Einzelnen, selbst zu bestimmen, welche Informationen Anderen über ihn zur Verfügung stehen, ist ein wesentliches Element selbstbestimmter Kommunikation.²³⁴ Zur Umsetzung seiner Entscheidung trifft der Einzelne Schutzmaßnahmen. Er kann sich jedoch nur effektiv vor einer Gefahr schützen, die ihm bewusst ist, deren Risikopotential er richtig einschätzen kann und gegen die ihm Werkzeuge zum effektiven Selbstschutz zur Verfügung stehen. Dies ist bei der heimlichen Infiltration eines informationstechnischen Systems nicht der Fall. Die Heimlichkeit der Infiltration bewirkt zum einen, dass die Schutzmaßnahmen des Einzelnen unterlaufen werden. Zum anderen fehlt es oft an einem Bewusstsein im Hinblick auf die Folgen einer Infiltration. Der Einzelne wird als überfordert angesehen, das Gefährdungspotential eines Zugriffs auf die seine Persönlichkeit betreffenden Datensätze richtig einzuschätzen und sich dementsprechend zu verhalten.²³⁵ Nicht zuletzt setzt ein effektiver Schutz Fachkenntnisse voraus, die von dem normalen Nutzer nicht erwartet werden können. Will er sich nicht der sozial üblichen Internetkommunikation versagen, fehlt ihm vielfach die faktische Möglichkeit zum Selbstschutz etwa gegen die Generierung von Daten, die im Rahmen der Internetnutzung entstehen wie beispielsweise durch Flashcookies.²³⁶ Eine selbstbestimmte Entscheidung kann also in diesem Bereich vom Nutzer nicht zuverlässig vorgenommen werden, wodurch das Grundrecht auf informationelle Selbstbestimmung „in seinen Grundprämissen ausgehebelt“ wird²³⁷ und keinen Schutz gewährleisten kann.²³⁸ Dem tritt die neue Typisierung entgegen, indem sie dort einen systembezogenen Vertrauensschutz schafft, wo autonome Selbstbestimmung oft nur Fiktion ist.²³⁹
Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , f., . Hoffmann-Riem, JZ , , f. Hoffmann-Riem, JZ , , f., f.; Kutscha, DuD , , . Hoffmann-Riem, JZ , , .
98
Kapitel 3 Deutschland
(b) Risiko der unerkannten Datenmanipulation Verfälschungen von Daten in informationstechnischen Systemen durch Eingreifende sind nach Hoffmann-Riem kaum erkennbar und bergen deshalb die Gefahr manipulierter Persönlichkeitsprofile.²⁴⁰ Auch hier werden Selbstschutzmöglichkeiten ausgehebelt.
(3) Schlussfolgerungen Wie gezeigt, intensivieren die dargestellten Risiken nicht nur herkömmliche Eingriffe, vor denen das Grundrecht auf informationelle Selbstbestimmung schützt, sondern begründen eine eigenständige Gefährdungsqualität.²⁴¹ Wegen der fehlenden Selbstschutzmöglichkeit des Einzelnen stellt bereits ein Eindringen in ein informationstechnisches System einen Eingriff dar, sofern berechtigte Vertraulichkeitserwartungen bestehen und zwar unabhängig davon, ob es dann zu einem Zugriff auf die Daten kommt. Das BVerfG hat deshalb einen dem Grundrecht auf informationelle Selbstbestimmung vorgelagerten Schutz geschaffen, welcher die Integrität des Systems schützt, schon bevor es zu Datenerhebung kommt.²⁴²
cc) Abgrenzungsformel und Übertragung auf Soziale Netzwerke Die Abgrenzung der Anwendungsbereiche bringt Hoffmann-Riem vor diesem Hintergrund auf eine einfache Formel: Solange für eine Datenerhebung kein eigengenutztes komplexes informationstechnisches System infiltriert wurde, greift weiterhin der Schutz des Grundrechts auf informationelle Selbstbestimmung. Ist dies jedoch der Fall, greift die neue grundrechtliche Schutzdimension.²⁴³ Ihr Schutz erstreckt sich dann über den Schutz vor dem Zugriff auf das System hinaus auch auf die im System vorgenommene Datenerhebung und die sich daran anschließende Verarbeitung.²⁴⁴ Im Ergebnis schränkt das „IT-Grundrecht“ also den Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , . Böckenförde, JZ , , ; Luch, MMR , u. ; Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , . Andere Meinungen in der Literatur gehen von der Subsidiarität der Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme aus, etwa Eifert, NVwZ , , ; Hirsch, NJOZ , , . Die EnqueteKommission nimmt eine Abgrenzung über quantitative Gesichtspunkte vor, s. BT-Drs. / (Internetenquete), S. f. Eine derartige Schutzerstreckung entspricht auch der bisherigen Grundrechtsdogmatik bei der Gewährleistung von Freiheitsrechten. So schützt Art. GG nicht nur vor dem Eindringen in
B. Verfassungsrechtliche Vorgaben
99
Schutzbereich des Rechts auf informationelle Selbstbestimmung nicht ein. Beide Grundrechtsausprägungen stehen nebeneinander. Welcher der beiden Schutzbereiche im Hinblick auf Soziale Netzwerke zum Tragen kommt, ist mithin davon abhängig, ob es sich bei einem Nutzerkonto eines Sozialen Netzwerks um ein eigengenutztes komplexes informationstechnisches System handelt, das heimlich durch den Staat infiltriert wird. Da Anbieter Sozialer Netzwerke die Server ihren Mitgliedern nicht zur selbstbestimmten Nutzung überlassen, sondern selbst die Kontrolle ausüben, liegt kein eigengenutzes informationstechnisches System vor.²⁴⁵ Der besondere Schutz dieser Grundrechtsausprägung gründet sich aber gerade auf der berechtigten Vertraulichkeitserwartung des Nutzers, die anzunehmen ist, wenn Dritte grundsätzlich keinen Zugriff auf das System haben, sondern der Nutzer vielmehr selbstbestimmt über das System verfügt.²⁴⁶ Eine direkte Anwendung des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme in Bezug auf Datenerhebungen aus Sozialen Netzwerken scheidet mithin aus. Vielmehr ist das Recht auf informationelle Selbstbestimmung heranzuziehen. Ob und inwieweit die Wertungen des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme dennoch für die Profilbildung durch Private herangezogen werden können, wird im Rahmen des gesetzgeberischen Gestaltungsauftrags diskutiert.²⁴⁷
c) Schutz durch die EU-Grundrechtscharta Das Recht auf informationelle Selbstbestimmung wird durch Art. 7 GRCh, der das Recht auf Achtung des Privat- und Familienlebens beinhaltet, und Art. 8 GRCh gewährt, der ein Recht auf den Schutz personenbezogener Daten begründet. Dabei ist das Datenschutzrecht aus Art. 8 GRCh lex specialis gegenüber Art. 7 GRCh.²⁴⁸ Grundrechtsträger ist jede natürliche Person. Juristische Personen können sich nur in begrenzten Ausnahmefällen auf Art. 8 GRCh berufen.²⁴⁹
die Wohnung, sondern auch vor der Verwertung der durch das Eindringen erlangten Gegenstände und Informationen, s. Hoffmann-Riem, JZ , , Fn. . Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. . BVerfGE , , f. – Online-Durchsuchung. Zum Schutz möglicher Vertraulichkeitserwartungen von Nutzern gegenüber dem Betreiber des Sozialen Netzwerks siehe unten: Teil , Kap. , B., IV., ., a. Meyer-Bernsdorff, Art. Rn. . Meyer-Bernsdorff, Art. Rn. .
100
Kapitel 3 Deutschland
Die DSRL konkretisiert das Datenschutzgrundrecht und wird zur Auslegung herangezogen.²⁵⁰ Erfasst werden Daten,wenn die betroffene Person bestimmt oder bestimmbar ist.²⁵¹ Art. 8 GRCh bietet einen grundsätzlich umfassenden Schutz vor der Verarbeitung personenbezogener Daten.²⁵² Gem. Art. 8 II 1 GRCh ist eine Datenverarbeitung aufgrund einer Einwilligung oder einer gesetzlichen Grundlage sowie unter Einhaltung einer strikten Zweckbindung rechtmäßig. Art. 8 II 2 GRCh sieht für Betroffene einen Auskunfts- und Berichtigungsanspruch vor. Das Recht auf den Schutz personenbezogener Daten ist einschränkbar, auch wenn im Einzelnen umstritten ist, aus welchem Absatz des Art. 52 GRCh sich die Schranke ergibt.²⁵³ Nach der Übernahme des Datenschutzgrundrechts in Art. 16 I AEUV ergibt sich dem Wortlaut nach die Schranke aus Art. 52 II GRCh, der die Schranken für in den Gemeinschaftsverträgen kodifizierte Rechte regelt.²⁵⁴ Entscheidend ist dies jedoch nicht, weil in jedem Fall die im Sekundärrecht festgelegten Datenverarbeitungsanforderungen zur Auslegung heranzuziehen sind.²⁵⁵ Ein mit dem IT-Grundrecht vergleichbares Grundrecht gewährt auf unionsrechtlicher Ebene weder die EMRK noch die GRCh ausdrücklich. Ein vergleichbarer Schutz vor der Infiltration von informationstechnischen Systemen kann aber aus dem Recht auf Achtung des Privatlebens aus Art. 7 GRCh bzw. Art. 8 EMRK abgeleitet werden.²⁵⁶ Art. 7 GRCh gewährt ein Recht auf Achtung des Privat- und Familienlebens, was insbesondere auch die private Kommunikation erfasst.²⁵⁷ Die zur Überwachung von Brief- und Fernmeldeverkehr entwickelten Grundsätze müssen erst recht für eine Überwachung durch die Infiltration eines informationstechnischen Systems gelten.²⁵⁸ Die Schranke für gesetzgeberische Eingriffe ergibt sich aus Art. 52 III GRCh i.V.m. Art. 8 II EMRK. Die unionale Regelung muss den in Art. 8 II EMRK genannten Eingriffszielen wie beispielsweise der Verhütung von Straftaten dienen.²⁵⁹
Meyer-Bernsdorff, Art. Rn. ; Frenz, Hdb. Europarecht, Kap. , § Rn. ; EhlersSchorkopf, § Rn. . Frenz, Hdb. Europarecht, Kap. , § Rn. f.; Moser-Knierim, Vorratsdatenspeicherung, S. . Frenz, Hdb. Europarecht, Kap. , § Rn. f.; Ehlers-Schorkopf, § Rn. . Ehlers-Schorkopf, § Rn. ; Frenz, Hdb. Europarecht, Kap. , § Rn. ; MeyerBernsdorff, Art. Rn. . Meyer-Bernsdorff, Art. Rn. ; Frenz, Hdb. Europarecht, Kap. , § Rn. . Meyer-Bernsdorff, Art. Rn. ; Moser-Knierim, Vorratsdatenspeicherung, S. . Moser-Knierim, Vorratsdatenspeicherung, S. ; Frenz, Hdb. Europarecht, Kap. , § Rn. . Ehlers-Schorkopf, § Rn. ; Meyer-Bernsdorff, Art. Rn. . Frenz, Hdb. Europarecht, Kap. , § Rn. . Ehlers-Schorkopf, § Rn. ; Meyer-Bernsdorff, Art. Rn. .
B. Verfassungsrechtliche Vorgaben
101
3. Fernmeldegeheimnis Je nach Datenart und Anwendung können dem Recht auf informationelle Selbstbestimmung speziellere Grundrechte vorgehen, wie etwas das Fernmeldegeheimnis aus Art. 10 GG,²⁶⁰ das die Vertraulichkeit der „unkörperlichen Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs“²⁶¹ schützt.²⁶² Dies trifft auf Nachrichtendienste, ChatFunktionen und Voice-over-IP-Anwendungen zu,²⁶³ nicht jedoch auf Massenkommunikationen, d. h. auf Kommunikationen, die an die Allgemeinheit oder einen unbestimmten Personenkreis gerichtet sind.²⁶⁴ Schutzziel des Fernmeldegeheimnisses ist die Unbefangenheit der Kommunikation.²⁶⁵ Geschützt sind deshalb Inhalte ebenso wie die Umstände der Kommunikation.²⁶⁶ Teilnehmer einer Telekommunikation sollen nicht damit rechnen müssen, dass staatliche Stellen Kommunikationsbeziehungen und ihre Inhalte überwachen.²⁶⁷ Nach einer Ansicht endet der Schutz des Fernmeldegeheimnisses, wenn der Empfänger von der Nachricht Kenntnis nimmt,²⁶⁸ nach anderer Ansicht, wenn die Daten im Herrschaftsbereich des Kommunikationsteilnehmers angelangt sind.²⁶⁹ Für letzteren Ansatz spricht, dass der Schutz zur Vermeidung von Wertungswidersprüchen solange fortbestehen muss, wie die Kommunikation besonderen Zugriffsmöglichkeiten ausgesetzt ist, welche die fernmeldetechnische Übertragungsart mit sich bringt.²⁷⁰ Da die Nachrichten bei der Kommunikation über die Chat- und Nachrichtenfunktion von den Sozialen Netzwerken gespeichert werden und nicht in den
BVerfGE , , – VDS. BVerfGE , , – Kommunikationsverbindungsdaten; , , f. – OnlineDurchsuchung; , , – Beschlagnahme von E-Mails. Maunz/Dürig-Durner, Art. Rn. ; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. . Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. . Dreier-Hermes, Art. Rn. ; Sachs-Pagenkopf, Art. Rn. a; Maunz/Dürig-Durner, Art. Rn. . Moser-Knierim, Vorratsdatenspeicherung, S. . BVerfGE , , – G ; BVerfG NJW , , – Telefonverbindungsdaten von Journalisten; Maunz/Dürig-Durner, Art. Rn. , f. BVerfG NJW , , – Telefonverbindungsdaten von Journalisten; Moser-Knierim, Vorratsdatenspeicherung, S. . Umbach/Clemens-Schmidt, Art. Rn. . BVerfGE , , – Beschlagnahme von E-Mails; Maunz/Dürig-Durner, Art. Rn. ; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. ; Dreier-Hermes, Art. Rn. . Dreier-Hermes, Art. Rn. ; BVerfGE , , f. – Kommunikationsverbindungsdaten.
102
Kapitel 3 Deutschland
Herrschaftsbereich der Nutzer übergehen, gilt bei konsequenter Anwendung dieser Rechtsprechung des BVerfG Art. 10 I GG insoweit fort.²⁷¹ Soweit der Eingriff in das Fernmeldegeheimnis die Erlangung von personenbezogenen Daten betrifft, sind dabei die Maßgaben, die das BVerfG aus Art. 2 GG i.V.m. Art. 1 I GG entwickelt hat, weitgehend auch auf die speziellere Garantie in Art. 10 GG zu übertragen.²⁷² Für den Schutz personenbezogener Daten und die Profilbildung ist im Rahmen des Art. 10 GG insbesondere die Rechtsprechung des BVerfG zur Vorratsdatenspeicherung zu berücksichtigen.²⁷³
a) BVerfGE 125, 260 – Vorratsdatenspeicherung 2006 erließ die EU eine Richtlinie zur Vorratsdatenspeicherung,²⁷⁴ also einer Speicherung von Telekommunikationsverkehrsdaten zu Strafverfolgungs- und Gefahrenabwehrzwecken für einen bestimmten Zeitraum auf Vorrat.²⁷⁵ Zur Umsetzung wurde in Deutschland 2007 ein Gesetz²⁷⁶ erlassen, das in § 113a TKG die Speicherpflichten aus der Richtlinie übernahm, die entschädigungslose Speicherpflicht der TK-Anbieter auf sechs Monate plus einen Monat für die Löschung der Daten beschränkte und ihnen für die Datensicherheit „die im Bereich der Telekommunikation allgemein erforderliche Sorgfalt“ auferlegte.²⁷⁷ Zudem sah es in § 113b TKG und § 100g StPO die Übermittlung der Daten „zur Verfolgung von Straftaten, zur Abwehr von erheblichen Gefahren für die öffentliche Sicherheit und zur Erfüllung der gesetzlichen Aufgaben“ der Nachrichtendienste vor und ging insoweit über die Vorgaben der Richtlinie hinaus.²⁷⁸ Auf drei Verfassungsbeschwerden hin, die aus prozessökonomischen Gründen verbunden wurden, erklärte das BVerfG 2010 §§ 113a und 113b TKG und § 110g I 1 StPO für nichtig.²⁷⁹
BVerfGE , , – Beschlagnahme von E-Mails; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. ; Dreier-Hermes, Art. Rn. . Kritisch: Maunz/Dürig-Durner, Art. Rn. . BVerfG NJW , , f. – IMSI-Catcher; BVerfGE , , – VDS (). Weidner-Braun, Schutz der Privatsphäre, S. . Richtlinie //EG vom . . Siehe Def. in der RL; Moser-Knierim, Vorratsdatenspeicherung, S. . Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie //EG vom . . ; BGBl I, ; Roßnagel, NJW , , . Roßnagel, NJW , , . Roßnagel, NJW , , . BVerfGE , – VDS ().
B. Verfassungsrechtliche Vorgaben
103
aa) Schutzumfang und Eingriff Das Grundrecht aus Art. 10 I GG schützt Inhalt und Umstände der Telekommunikation vor jeder Kenntnisnahme, Aufzeichnung und Verwertung durch den Staat.²⁸⁰ Die Verpflichtung von TK-Unternehmen zur Erhebung, Speicherung und Übermittlung von TK-Verkehrsdaten an staatliche Stellen stellt folglich einen Eingriff in Art. 10 I GG dar.²⁸¹ Die Vorratsdatenspeicherung wertet das BVerfG als einen besonders schweren Eingriff in das Grundrecht aufgrund der Streubreite der Maßnahme und der weitreichenden Aussagekraft der gespeicherten Daten.²⁸² Auch wenn keine Inhalte der Kommunikation gespeichert werden, sind durch die Auswertung der Verkehrsdaten weitgehende Rückschlüsse bis in die Intimsphäre möglich. Werden Adressaten, Uhrzeit und Ort von Telefongesprächen über einen längeren Zeitraum gespeichert, so können die Daten in ihrer Kombination detaillierte Aussagen zu gesellschaftlichen oder politischen Zugehörigkeiten sowie persönlichen Vorlieben, Neigungen und Schwächen ergeben und die Erstellung aussagekräftiger Persönlichkeits- und Bewegungsprofile ermöglichen.²⁸³ Zudem werde das Gewicht des Eingriffs durch dessen Heimlichkeit erhöht, da so „ein diffus bedrohliches Gefühl des Beobachtetseins [hervorgerufen wird,] das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann.“²⁸⁴
bb) Schranken und Schranken-Schranken Art. 10 II 1 GG normiert einen einfachen Gesetzesvorbehalt, d. h. Beschränkungen des Grundrechts bedürfen einer gesetzlichen Vorschrift, welche das Gebot der Verhältnismäßigkeit wahrt. Die Regelung muss für die Erreichung ihrer Zwecke geeignet und erforderlich sowie angemessen sein. Sie darf also nicht in einem unangemessenen Verhältnis zu den Gemeinwohlzwecken stehen.²⁸⁵ Die Vorratsdatenspeicherung ist nicht grundsätzlich mit den Grundrechten unvereinbar. Nach Ansicht des BVerfG verletzt die auf maximal sechs Monate begrenzte Vorratsdatenspeicherung von Telekommunikationsdaten weder den
BVerfGE , , – Fangschaltung; , , – Telekommunikationsüberwachung I; , , f. – Zollkriminalamt; Roßnagel, NJW , , ; Moser-Knierim, Vorratsdatenspeicherung, S. . BVerfGE , , – VDS (); BVerfG NJW , , ; Roßnagel, NJW , , . BVerfGE , , f. – VDS (). BVerfGE , , – VDS (). BVerfGE , , – VDS (). Moser-Knierim, Vorratsdatenspeicherung, S. ; Jarass/Pieroth-Jarass, Art. Rn. a.
104
Kapitel 3 Deutschland
Kern der Menschenwürde aus Art. 1 I GG noch den Wesensgehalt des Art. 10 I GG.²⁸⁶ Sie muss jedoch legitimen Zwecken dienen, auf das erforderliche Maß beschränkt bleiben und in ihrer Ausgestaltung dem besonderen Gewicht des in ihr liegenden Eingriffs hinreichend Rechnung tragen.²⁸⁷ Die Verhältnismäßigkeit des Einsatzes sieht das BVerfG bei hinreichend bestimmten und normenklaren Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes als gegeben an.²⁸⁸
b) Schutz durch die EU-Grundrechtscharta In der GRCh wird das Fernmeldegeheimnis nicht ausdrücklich erwähnt.²⁸⁹ Art. 7 GRCh gewährt jedoch das Recht auf Achtung des Privat- und Familienlebens. In den Schutzbereich fällt auch die Kommunikation.²⁹⁰ Art. 8 EMRK, der zur Auslegung herangezogen werden kann,²⁹¹ enthält u. a. das Recht auf Achtung des Privatlebens und der Korrespondenz. Vor dem Hintergrund des Schutzziels, das Vertrauen des Bürgers bei der Kommunikation über Distanz zu schützen, sind davon u. a. Telefongespräche, E-Mails und Kurznachrichten erfasst.²⁹² Ergänzt wird die Regelung durch Art. 8 GRCh, der ein Recht auf den Schutz personenbezogener Daten begründet.²⁹³ Dass die dauerhafte Speicherung von Nutzungs- und Bestandsdaten einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens gem. Art. 7 GRCh und auf Schutz personenbezogener Daten gem. Art. 8 GRCh darstellen können, entschied der EuGH in seinem Urteil zur Vorratsdatenspeicherungsrichtlinie vom 08.04. 2014.²⁹⁴ Aus der Gesamtheit dieser Daten könnten sehr genaue Schlüsse auf das Privatleben der Personen gezogen werden, „etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Orts-
BVerfGE , , – VDS (). BVerfGE , , , – VDS (). BVerfGE , , LS – VDS (). Sachs-Pagenkopf, Art. Rn. b. Ehlers-Schorkopf, § Rn. ; Moser-Knierim, Vorratsdatenspeicherung, S. ; Sachs-Pagenkopf, Art. Rn. b. Zum personellen Anwendungsbereich siehe bereits oben:Teil , Kap. , B., III., ., c). Siehe oben: Teil , Kap. , B., I., . EGMR . . , Rs. /, NJW , , Tz. – Weber u. Saravia/ Deutschland; Moser-Knierim, Vorratsdatenspeicherung, S. ; Ehlers-Uerpermann-Wittzack, § Rn. . Sachs-Pagenkopf, Art. Rn. b. EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. – VDS.
B. Verfassungsrechtliche Vorgaben
105
veränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld.“²⁹⁵ Ein Eingriff in den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten liegt nach Ansicht des Gerichts jedoch ohne die Kenntnisnahme des Inhalts elektronischer Kommunikation nicht vor.²⁹⁶ Der EuGH trägt damit die Entscheidung des BVerfG zur Vorratsdatenspeicherung mit. Der größte Unterschied zwischen den Entscheidungen besteht darin, dass der EuGH anders als das BVerfG eine anlasslose Vorratsdatenspeicherung grundsätzlich für unzulässig erklärt.²⁹⁷ Danach darf eine Speicherung nur bei einem ausreichenden Anlass erfolgen und muss auf das jeweils „absolut Notwendige“ begrenzt sein. Hinsichtlich des Speicherzeitraums sind nach Datenkategorien differenzierte Regelungen vorsehen.²⁹⁸ Zudem fordert der EuGH eine Speicherung der Daten innerhalb des Unionsgebiets.²⁹⁹
IV. Gesetzgeberischer Gestaltungsauftrag zur Profilbildung durch Private Die im obigen Abschnitt dargestellten Leitentscheidungen befassen sich mit dem abwehrrechtlichen Charakter der Grundrechte gegenüber dem Staat und treffen keine Aussagen zur Datenerhebung und -verarbeitung durch Private. Zu klären ist deshalb, welche Rahmenvorgaben für den Gesetzgeber aus den in den Entscheidungen getroffenen Wertungen für die Profilbildung durch Private wie Betreiber Sozialer Netzwerke abzuleiten sind. Das BVerfG hat klargestellt, dass auch dem Recht auf informationelle Selbstbestimmung eine mittelbare Drittwirkung zukommt.³⁰⁰ Daraus leitet sich ab, dass es auch einen objektiv-rechtlichen Gehalt besitzt,³⁰¹ der dem Gesetzgeber einen Ausgestaltungsauftrag auferlegt.³⁰² Um einen selbstbestimmten Datenumgang Privater gewährleisten zu können, gebietet es dieser Ausgestaltungsauftrag, rechtliche Vorgaben für die Datenverarbeitungen Privater vorzugeben, die ein EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. – VDS. EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. f. – VDS. Roßnagel, MMR , , . EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. ff. – VDS; Roßnagel, MMR , , . EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. . BVerfGE , , – Offenbarung Entmündigung; BVerfGE , , – Heimlicher Vaterschaftstest. Schulz, Die Verwaltung , , . Bäcker, Der Staat , , ; Schulz, Die Verwaltung , , ; Masing, NJW , , .
106
Kapitel 3 Deutschland
grundrechtliches Schutzgut beeinträchtigen.³⁰³ Dabei handelt es sich um einen objektiven Verfassungsauftrag, der sich nur im Ausnahmefall zu einer Schutzpflicht gegenüber dem Einzelnen verdichtet.³⁰⁴ Eine pauschale Übertragung der materiellen Maßstäbe, die für die staatliche Datenverarbeitung entwickelt wurden, auf sich in Freiheit gegenüberstehende Private, ist nicht sachgerecht.³⁰⁵ Es fehlt am für das öffentliche Recht charakterisierenden Über-Unterordnungsverhältnis und einer imperativen Beschneidung von Freiheiten.³⁰⁶ Daraus folgt, dass Regelungen der privatrechtlichen Datenverarbeitung grundsätzlich nicht die gleiche Regelungsdichte und Bestimmtheit aufweisen müssen wie die Regelungen zur Datenverarbeitung des öffentlichen Sektors.³⁰⁷ Im Bereich von Vertraulichkeitsgarantie und erheblichen Grundrechtsgefährdungen wie der Beeinträchtigung von autonomen Entscheidungsmöglichkeiten können jedoch anspruchsvollere Regelungen erforderlich sein.³⁰⁸
1. Vertraulichkeitsgarantien In Bezug auf eine uneingeschränkte Profilbildung durch private Betreiber Sozialer Netzwerke könnte sich ein Schutzauftrag aus einer Übertragung der Rechtsprechung zur Vertraulichkeit und Integrität informationstechnischer Systeme und aus der Vertraulichkeitsgarantie des Art. 10 I GG ergeben.
a) Schutzauftrag aus der Grundrechtsausprägung der Vertraulichkeit und Integrität informationstechnischer Systeme? Auch wenn in der Profilbildung durch Betreiber Sozialer Netzwerke keine Infiltration eines eigengenutzten Systems zu sehen ist, da die Anbieter Sozialer Netzwerke gerade die technische Plattform³⁰⁹ und Server zur Verfügung stellen,³¹⁰
Masing, NJW , , f.; Bäcker, Der Staat , , . BVerfG NJW , ; BGH NJW , , – Speicherung dynamischer IPAdressen; BVerfG JZ , , – Datenschutz im privaten Versicherungsrecht; BVerfG NJW , , – Datenschutz bei Forderungsabtretung; Schulz, Die Verwaltung , , . Giesen, JZ , , ; Bäcker, Der Staat , , ; Masing, NJW , , . Giesen, JZ , , ; Bäcker, Der Staat , , ; Masing, NJW , , . Masing, NJW , , ; Bäcker, Der Staat , , . Bäcker, Der Staat , , f.; f.; Masing, NJW , , . Zum informationstechnologischen Plattformbegriff siehe oben: Teil , Kap. , C., I., . Eine a.A. erscheint vertretbar. Vgl. etwa die Argumentation bei Pabarcus, der ein FacebookProfil mit einem Hotel vergleicht. Der Betreiber hat Zugang zu allen Zimmern/eingestellten Informationen, verletzt aber die Privatsphäre der Gäste, wenn er sich zu einem belegten Zimmer/nur
B. Verfassungsrechtliche Vorgaben
107
hält eine Ansicht in der Literatur für die Datenerhebung zu Profilbildungszwecken durch Dienstebetreiber wie Facebook und Google einen Vertrauensschutz nach dem IT-Grundrecht für erforderlich.³¹¹ Die in der Entscheidung des BVerfG zur Online-Durchsuchung getroffenen Wertungen können in Bezug auf eine Regulierung der Profilbildung im Rahmen Sozialer Netzwerke herangezogen werden, soweit die für die Begründung des besonderen Schutzbedarfs des Grundrechts auf Vertraulichkeit und Integrität genannten Kriterien in vergleichbarer Weise durch die Profilbildung Privater erfüllt werden und berechtigte Vertraulichkeitserwartungen der Nutzer bestehen.
aa) Persönlichkeitsbilder neuartiger Tiefe und Breite Ebenso wie informationstechnische Systeme können auch Soziale Netzwerke zur umfassenden Verwaltung und Archivierung persönlicher Angelegenheiten, als digitales Tagebuch oder als Unterhaltungsplattform genutzt werden.³¹² In gleicher Weise fallen automatisch generierte Datensätze durch die Nutzung an, die erhebliche Rückschlüsse auf die Persönlichkeit zulassen.³¹³ Ein qualitativer Sprung zwischen den Persönlichkeitsbildern, die sich anhand eines Zugriffs auf informationstechnische Systeme erstellen lassen, und den Profilen Sozialer Netzwerke besteht nicht. Das in Bezug auf Streubreite und Tiefe besonders hohe persönlichkeitsrechtliche Gefährdungspotential für die betroffene Person gilt damit in gleichem Maße für Profile Sozialer Netzwerke.
bb) Anzahl mitbetroffener Personen Durch die Ausgestaltung Sozialer Netzwerke als Kommunikationsplattformen ist die Anzahl mitbetroffener Dritter³¹⁴ besonders hoch. Hinzu kommen die Möglichkeiten, Fotografien und Videos hochzuladen sowie Freunde darauf namentlich kenntlich zu machen und weitere Funktionen, wie Freunde als an einem bestimmten Ort befindlich zu markieren.³¹⁵
einem begrenzten Personenkreis zugänglich gemachten Informationen Zugang verschafft, s. Pabarcus, Wm. Mitchell L. Rev. , (). Härting, Internetrecht, S. Rn. . Siehe oben: Teil , Kap. , C., I., . Siehe oben: Teil , Kap. , C., I., . und II. Hoffmann-Riem, JZ , , f.; Böckenförde, JZ , , . Siehe oben: Teil , Kap. , C., I., ., a).
108
Kapitel 3 Deutschland
cc) Qualitativ mit einer heimlichen Infiltration vergleichbarer Eingriff Die Profilbildung durch Betreiber Sozialer Netzwerke müsste einen qualitativ mit einer heimlichen Infiltration vergleichbaren Eingriff darstellen. Die Heimlichkeit bewirkt, dass der Betroffene die Datenerhebung und -nutzung nicht bemerkt und er deshalb keine Selbstschutzmaßnahmen ergreift oder diese unterlaufen werden.³¹⁶ In vergleichbarer Weise findet bei Sozialen Netzwerken vielfach eine heimliche, da nicht transparent kommunizierte Datenerhebung und -nutzung statt.³¹⁷ Das Internet-Tracking ist eine heimliche Beobachtung der Betroffenen, bei der insbesondere durch das auch ohne Cookies mögliche Verfolgen des Nutzers Selbstschutzmöglichkeiten der Betroffenen unterlaufen werden.³¹⁸ Über die Datenanalyse mittels Data Mining zur Profilbildung werden Nutzer nicht informiert. In der Datenrichtlinie wird unter dem Punkt „Bereitstellung, Entwicklung und Verbesserung von Diensten“ lediglich erklärt, dass die Daten zu eben diesen Zwecken analysiert werden.³¹⁹ Über weiterführende Links kann sich der Nutzer über Facebooks Forschungsarbeit informieren, die u. a. Data Mining, Big Data, Maschinenlernen und Netzwerkanalyse³²⁰ zum Gegenstand hat.³²¹ Nicht ersichtlich wird daraus, inwieweit Nutzerprofile durch die Anwendung dieser Analysemethoden erstellt werden. Die Betroffenen haben zudem weder eine Möglichkeit, die Richtigkeit der Erkenntnisse zu überprüfen, noch wird ihnen Auskunft über den Mechanismus der Analyse gegeben. In der Folge kann der Einzelne freiheitssichernde Selbstschutzmaßnahmen nicht ergreifen.³²² Bei Facebook bestehen darüber hinaus keine Schutzmöglichkeiten gegen den Datenzugriff durch den Betreiber wie etwa die Option, die Daten auf eigenen Servern zu speichern, wie es das Soziale Netzwerk Diaspora mit seiner dezentralen Struktur vorsieht.³²³ Zudem wird durch das Design der Eindruck erweckt, Schutzmaßnahmen gegenüber dem Betreiber seien nicht erforderlich. So wird beispielsweise die Möglichkeit, den Empfängerkreis von Beiträgen zu begrenzen,
Siehe oben: Teil , Kap. , B., III., ., b), bb), (), (a). Eine Aufklärung über die Datenerhebung durch Dritte auf einer Webseite fehlt vielfach, vgl. LG Frankfurt/M. ZD , – Like Button. Zur Qualität der Informationen über Datenerhebungen bei Facebook siehe Teil ., Kap. , C., II., ., b), bb), (). Siehe oben: Teil , Kap. , C., I., . Härting, Internetrecht, S. Rn. in Bezug auf von Google mittels Web-Tracking gebildete Nutzungsprofile. Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?. Zu den Begriffen siehe oben: Teil , Kap. , C., II. Die Facebook Research-Seite ist ausschließlich in englisch abrufbar unter: https://research. facebook.com/areas. Spiecker, in: Stern/Peifer/Hain, Datenschutz, S. . Siehe Webseite von Diaspora: https://diasporafoundation.org/about.
B. Verfassungsrechtliche Vorgaben
109
mit dem Auswahlfeld „nur Freunde“ beschrieben, wohingegen tatsächlich auch der Betreiber Zugriff auf die Beiträge hat.³²⁴ Hinsichtlich der durch den Betreiber Facebook gebildeten Profile fehlt es für die Nutzer unter den derzeit gegebenen Umständen an Transparenz und Schutzmöglichkeiten. Der Betroffene kann das Gefährdungspotential nicht absehen und sich nicht effektiv davor schützen, wenn er nicht auf ein sozial übliches Kommunikationsmittel verzichten will.³²⁵ Anders als bei der Infiltration eines informationstechnischen Systems steht Betreibern Sozialer Netzwerke die beschriebene Datenfülle jedoch nicht durch einen einzelnen Eingriff zur Verfügung. Diese erschließt sich erst durch die fortdauernde Nutzung und zusätzliche Analysen der Datenbestände. Eine vergleichbare Eingriffsintensität ergibt sich folglich erst aus der Summe der Einzelhandlungen.
dd) Berechtigte Vertraulichkeitserwartungen Wie die in Kapitel 2 dargestellten Studien zeigen, glauben Nutzer, durch Datenschutzbestimmungen geschützt zu sein.³²⁶ Es fehlen jedoch aussagekräftige Studien dazu, inwieweit Nutzer darauf vertrauen, dass der Betreiber ihre Kommunikation in Sozialen Netzwerken und ihr Surfverhalten auf Webseiten Dritter nicht zu kommerziellen Zwecken erhebt. Vertraulichkeitserwartungen werden jedenfalls durch das Design und die Wortwahl wie etwa „nur Freunde“ dem Betreiber zurechenbar geweckt.³²⁷ Insoweit kann von berechtigten Vertraulichkeitserwartungen gesprochen werden. Diese bestehen allerdings grundsätzlich nicht bei öffentlich eingestellten Informationen, da der Einzelne damit rechnen muss, dass sie von einem unbegrenzten Personenkreis wahrgenommen werden.³²⁸
ee) Würdigung und Ergebnis Nach dem BVerfG ist ein Vertrauensschutzs nur erforderlich, soweit der Einzelne für seine Persönlichkeitsentfaltung auf die Nutzung des informationstechnischen Systems angewiesen ist.³²⁹ Zwar können sich 51 Prozent der 14- bis 29-Jährigen ein
FTC, Complaint Facebook, S. Rz. f. Hoffmann-Riem, JZ , , . Siehe oben: Teil , Kap. , B., II., ., a). FTC, Complaint Facebook, S. Rz. f. Himmels, Behavioural Targeting, S. . BVerfGE , , – Online-Durchsuchung.
110
Kapitel 3 Deutschland
Leben ohne Soziale Netzwerke nicht mehr vorstellen,³³⁰ dies bedeutet jedoch kein Angewiesensein, wie es bei der Nutzung von Personalcomputern gegeben ist. Dem Einzelnen darf insoweit von Verfassungs wegen zugemutet werden, auf die Vorteile der Nutzung eines bestimmten Sozialen Netzwerks zu verzichten, wenn er sein Privatheitsinteresse höher bewertet.³³¹ Aufgrund der Bedeutung der Nutzung Sozialer Netzwerke für die Persönlichkeitsentfaltung³³² und der mit ihr einhergehenden Persönlichkeitsgefährdungen³³³ besteht jedoch ein erhebliches Schutzbedürfnis,³³⁴ was im Rahmen des Rechts auf informationelle Selbstbestimmung zu berücksichtigen ist. Für die Profilbildung durch Betreiber Sozialer Netzwerke lässt sich daraus ein Verbot der heimlichen Profilerstellung ableiten.³³⁵ Zudem wird die Bedeutung von Transparenz und einer Entscheidungsmöglichkeit des Einzelnen deutlich.³³⁶ Beide müssen gegeben sein, damit der Betroffene Selbstschutzmöglichkeiten ergreifen und von seinem Recht auf informationelle Selbstbestimmung tatsächlich Gebrauch machen kann.³³⁷
b) Schutzauftrag aus Art. 10 I GG Aus Art. 10 I GG ergibt sich für den Internetnutzer ein grundrechtlicher Schutzanspruch vor Gefährdungen infolge der Verwendung personenbezogener Daten, die aus der unbefugten Kenntnisnahme oder Einwirkung Privater auf Kommunikationsvorgänge während der Inanspruchnahme des Telekommunikationsdienstes resultieren.³³⁸ Zu Privaten in diesem Sinn gehören auch die Betreiber von Übermittlungseinrichtungen.³³⁹ Für eine gesetzliche Regelung der Profilbildung durch Private ist zu beachten, dass der Schutzauftrag aus Art. 10 I GG bereits dann ausgelöst wird, wenn Verkehrsdaten auch nur kurzfristig über das Verbindungsende hinaus gespeichert
IfD Allensbach, Mitglieder, S. ; LfD BW, . TB, S. f. Bäcker, Der Staat , , . Dazu ausführlich Boyd, Taken Out of Context, S. ff. Siehe oben: Teil , Kap. , B., III. und Teil , Kap. , B., III. Vgl. in Bezug auf informationstechnische Systeme BVerfGE , , – OnlineDurchsuchung. Himmels, Behavioural Targeting, S. . Schuler-Harms, in: Sokol, Living by numbers, S. . Härting, Internetrecht, S. Rn. ; Härting, CR , , . BVerfGE , , – Mithörvorrichtung; Weidner-Braun, Schutz der Privatsphäre, S. ; Maunz/Dürig-Durner, Art. Rn. . Jarass-ders., Art. Rn. .
B. Verfassungsrechtliche Vorgaben
111
werden. Eine solche Speicherung erfordert ein hinreichend gewichtiges Interesse des Speichernden.³⁴⁰
2. Autonomie Für die Bestimmung der Intensität des Schutzauftrags aus dem Recht auf informationelle Selbstbestimmung kommt es auf die potentielle Gefährdung des Schutzguts der freien Entfaltung der Persönlichkeit an.³⁴¹
a) Beeinträchtigung der freien Entfaltung durch Profilbildung Sozialer Netzwerkbetreiber Wie bereits erörtert,³⁴² kann durch Data Mining bei Sozialen Netzwerken Wissen generiert werden, das u. U. einen genauen Einblick in das intime Leben oder den Charakter einer Person erlaubt.³⁴³ Durch das Ausmaß der zur Verfügung stehenden Daten sind Data Mining-Technologien vielfach in der Lage, Daten zu rekonstruieren beziehungsweise fehlende zu ergänzen wie das Beispiel der Schwangerschaftsprognose anhand des Einkaufsverhaltens gezeigt hat.³⁴⁴ Solchermaßen ist es möglich, Entscheidungen des Einzelnen zu umgehen, bestimmte Informationen nicht preiszugeben. Dadurch eröffnet sich zudem die Möglichkeit, Entscheidungen des Einzelnen zu manipulieren und zu steuern, da er nicht absehen kann, warum ihm ein bestimmtes Angebot in einer bestimmten Form gemacht wird,³⁴⁵ etwa wenn eine Internetwerbung in Echtzeit individuell darauf abgestimmt ist, ob ein Kunde sich beispielsweise vom Herdentrieb leiten („meist verkauft“) oder sich eher von einer angedeuteten Knappheit („solange der Vorrat reicht“) zum Kauf motivieren lässt.³⁴⁶ Damit wird die Autonomie der Entscheidung als Grundlage des Rechts auf informationelle Selbstbestimmung gefährdet. Außerdem kann aus Informationen zum Verhalten des Einzelnen in der Außenwelt auf sein Innenleben geschlossen werden. Das BVerfG hat schon in seinem Mikrozensus-Beschluss entschieden, dass dem Einzelnen, um der freien und selbstverantwortlichen Entfaltung seiner Persönlichkeit willen, ein Innenraum
BVerfG NJW , , – Löschung von Telekommunikationsverbindungsdaten; BGH NJW , , – Speicherung dynamischer IP-Adressen; Bäcker, Der Staat , , . Bäcker, Der Staat , , , ; Masing, NJW , , . Siehe oben: Teil , Kap. , B., III. Hildebrandt, DuD , , . Klausnitzer, Das Ende des Zufalls, S. f. Siehe oben: Teil , Kap. , B., III. Calo, Geo. Wash. L. Rev. , ().
112
Kapitel 3 Deutschland
verbleiben muss, in den er sich zurückziehen kann und in dem er in Ruhe gelassen wird.³⁴⁷ Das Zusammenführen der Daten und ihre Auswertung können jedoch gerade zu einem Eindringen in diesen „Innenraum“ führen.³⁴⁸ So kann beispielsweise anhand des Nutzungsverhaltens von Mitgliedern Sozialer Netzwerke festgestellt werden, ob sie unter Depressionen leiden.³⁴⁹ Ein Einblick in diesen Innenraum kann bewirken, dass der Betroffene in seiner selbstbestimmten Entfaltung gehindert wird, indem er durch sein dokumentiertes Vorverhalten aus verschiedenen Lebensbereichen wie zum Beispiel Gesundheit, Familie, Beruf, Religion etc. auf ein bestimmtes Abbild seiner Selbst festgelegt wird, das seiner Individualität nicht gerecht wird und ihn daran hindert, seine verschiedenen sozialen Rollen auszufüllen³⁵⁰ und sich neu zu entwerfen, so dass er vollständig berechenbar wird.³⁵¹
b) Abgeleitete Vorgaben für Profile Sozialer Netzwerke Soziale Netzwerke sind zu einem wichtigen Instrument der Entfaltung der Persönlichkeit, des Austauschs mit anderen und der Verbreitung eigener Ansichten geworden³⁵² und zählen für einen Großteil junger Menschen in Deutschland zu den meist genutzten Kommunikations- und Informationskanälen.³⁵³ Aufgrund des großen Gefährungspotentials der Profile ist in diesem Kontext deshalb eine anspruchsvolle Regelung nötig.
aa) Einschränkungen der Profilbildung Um eine persönlichkeitsgefährdende Registrierung und Katalogisierung des Einzelnen auszuschließen, bestimmt das BVerfG in Bezug auf den Staat, dass der Informationserhebung und -verarbeitung Schranken gesetzt werden müssen.³⁵⁴ Das BVerfG nennt hier das Erforderlichkeitsgebot und eine strenge Zweckbindung.³⁵⁵
BVerfGE , , – Mikrozensus. Wittig, RDV , , . de Choudhury et al., AAAI . Däubler et al.-Weichert, Einl. Rn. ; Wolff/Brink-Brink, Syst. C. Rn. . Wolff/Brink-Brink, Syst. C. Rn. ; Wittig, RDV , , ; Diesterhöft, Neubeginn, S. f. Siehe oben: Einl., I.; Boyd, Taken Out of Context, S. ; JFF, Persönliche Informationen?, S. f.; acatech, Internet Privacy , S. , f.; Edwards, in: Brown, Governance, S. . Statista, Kontakt. Danach gaben insgesamt Prozent der Befragten im Alter von bis Jahren an, am häufigsten Soziale Netzwerke zu nutzen, um mit ihren Freunden in Kontakt zu bleiben. BVerfGE , , – Volkszählungsurteil. BVerfGE , , , – Volkszählungsurteil.
B. Verfassungsrechtliche Vorgaben
113
(1) Erforderlichkeit Aufgrund des oben geschilderten Gefährdungspotentials der Profilbildung durch Betreiber Sozialer Netzwerke³⁵⁶ muss auch im Privatrechtsverhältnis das Anwachsen von Datenbanken verhindert werden, anhand derer potentiell jeder Schritt rekonstruierbar ist.³⁵⁷ Die Entstehung von Querschnitts- und Langzeitprofilen, die den Menschen in seinen ihn prägenden Charakteristika wie Beziehungsleben, beruflicher Werdegang, Entwicklung der finanziellen Situation oder Beständigkeit politischer oder religiöser Einstellungen über eine gewisse Zeitspanne abbilden, ist auch bei der Erstellung durch Private zu begrenzen, damit die Vergangenheit nicht prägend für die Zukunft eines Menschen wird.³⁵⁸ Daraus ergeben sich das Verbot grenzenloser Datenspeicherung, d. h. die Notwendigkeit, Löschfristen einzuhalten, sowie das Gebot, Daten sobald als möglich nach der Zweckerreichung zu löschen.³⁵⁹ Dem Urteil des BVerfG zu Vorratsdatenspeicherung lässt sich entnehmen, dass allein durch die Speicherung von Verbindungsdaten ein weitreichendes Persönlichkeitsprofil erstellt werden kann,³⁶⁰ sich eine besonders schwere Persönlichkeitsbeeinträchtigung also nicht erst durch die Auswertung von Inhaltsdaten ergibt. Aus dem Urteil des EuGH zur Vorratsdatenspeicherung kann zudem abgeleitet werden, dass eine Zusammenführung von Nutzungs- und Bestandsdaten mit Inhaltsdaten einen Eingriff in den Kernbereich bedeuten kann, weshalb eine Trennung und ein Zusammenführungsverbot geboten sind.³⁶¹
(2) Keine strenge Zweckbindung Eine pauschale Übertragung des Grundsatzes der strengen Zweckbindung auf Private scheidet aus, da diese anders als der Staat nicht dem Gesetzesvorbehalt unterliegen.³⁶² Aus der Grundrechtsberechtigung ergibt sich vielmehr die Freiheit, grundsätzlich selbst über die Zwecke der Datenverarbeitung zu bestimmen.³⁶³
Siehe oben: Teil , Kap. , B., III.; Teil , Kap. , B., IV., ., a). Masing, NJW , , . Wolff/Brink-Brink, Syst. C. Rn. ; Däubler et al.-Weichert, Einl. Rn. ; Giesen, JZ , , . EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. – VDS; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Jandt, Vertrauen, S. f. BVerfGE , , – VDS (); siehe oben: Teil , Kap. , B., III., ., a), aa). EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. – VDS; siehe oben: Teil , Kap. , B. III., ., b). Bäcker, Der Staat , , ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Masing, NJW , , . Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Masing, NJW , , .
114
Kapitel 3 Deutschland
Zwischen Privaten dient die Einwilligung als Instrument zum Ausgleich der Freiheitspositionen.³⁶⁴ Dies wiederum setzt allerdings voraus, dass die Voraussetzungen für eine autonome Entscheidung durch den Gesetzgeber gewährleistet werden.³⁶⁵
bb) Schaffung der Voraussetzungen von Autonomie Damit der Einzelne von seinem Recht auf informationelle Selbstbestimmung tatsächlich Gebrauch machen kann und die Einwilligungserklärung nicht zur Leerformel wird, muss durch entsprechende Vorgaben sichergestellt werden, dass die Entscheidung freiwillig und informiert erfolgt. Insoweit ist die Einwilligung zu privater Datenverarbeitung zweckgebunden einzuholen.³⁶⁶ Das Prinzip der Zweckbindung bestimmt zugleich Ziel und Umfang der zulässigen Datenverarbeitung. Sie soll sicherstellen, dass der Einzelne nicht dadurch zum Objekt einer Datenverarbeitung wird, dass er aufgrund ihrer Komplexität und Intransparenz nicht mehr überblicken kann, wer wann was über ihn weiß.³⁶⁷ Ihm soll dadurch ermöglicht werden, den Kontext seiner Daten im Rahmen seiner verschiedenen sozialen Rollen zu wahren.³⁶⁸ Sollen Daten für weitere Zwecke verwendet werden, muss der Betroffenen darüber entscheiden können. Je stärker die Privatrechtsbeziehung aufgrund wirtschaftlicher oder sozialer Macht einem Über-Unterordnungsverhältnis gleicht, desto mehr ist der Gesetzgeber in der Pflicht, wirksame rechtliche Schutzvorkehrungen zugunsten des Einzelnen zu treffen.³⁶⁹ Dem Betroffenen müssen leicht zugänglich ausreichend Informationen über die Erhebung, die Umstände und Verfahren ihrer Verarbeitung, die Struktur des Profils sowie den Verwendungszweck zur Verfügung gestellt
Cornils, in: Stern/Peifer/Hain, Datenschutz, S. ; Masing, NJW , , . BVerfG NJW , , – Datenschutz bei Forderungsabtretung; BVerfG JZ , , – Datenschutz im privaten Versicherungsrecht. Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Jandt, Vertrauen, S. ; Doerfel et al., Informationelle Selbstbestimmung, S. ; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. . EuGH . . – C-/, C-/, Slg. unv. = NJW , , Tz. – VDS; Roßnagel-ders., Hdb. Datenschutzrecht, Einl. Rn. ; Jandt, Vertrauen, S. . Doerfel et al., Informationelle Selbstbestimmung, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Schuler-Harms, in: Sokol, Living by numbers, S. ; Worms/Gusy sehen aufgrund fehlender Alternativen zu bestimmten Internetanwendungen und defizitären Kenntnissen der Nutzer eine Marktasymmetrie und eine daraus resultierende staatliche Gewährleistungspflicht, entsprechende Schutzmechanismen vorzusehen, s. Worms/Gusy, DuD , , f.
B. Verfassungsrechtliche Vorgaben
115
werden.³⁷⁰ Das BVerfG fordert deshalb als verfahrensrechtliche Schutzvorkehrungen Aufklärungs- und Auskunftspflichten des Datenverarbeiters.³⁷¹ Aufgrund der komplexen Materie der Profilbildung bestehen hier erhöhte Anforderungen. Hinsichtlich der Regelung der Nutzungsmöglichkeiten richten sich die Anforderungen an das Schutzniveau nach den Gefahren für die Freiheitswahrnehmung.³⁷² Wie das Beispiel der Werbung gegenüber Schwangeren³⁷³ zeigt, kann personalisierte Werbung erhebliche Beeinträchtigungen verursachen und daher nicht generell als Bagatelle angesehen werden.³⁷⁴ Weitergehend ist beispielsweise die Verwendung von Profilen für Auskünfte über die Kreditwürdigkeit oder zur Eignung von Bewerbern oder zur Einstufung von Versicherten. Je größer die potentielle Beeinträchtigung ist, desto strengere Regeln muss der Gesetzgeber vorsehen.³⁷⁵
cc) Reichweite des Schutzbereichs Das Recht auf informationelle Selbstbestimmung greift nicht erst, wenn ein Schaden entstanden ist, es gewährt vielmehr einen Vorfeldschutz, der potentiellen Schaden antizipiert. Deshalb stellt es bereits Anforderungen an die Datenerhebung, nicht weil darin selbst bereits ein Schaden läge, sondern um die Verwirklichung potentieller Schäden möglichst zu verhindern.³⁷⁶ In der Entscheidung zur Online-Durchsuchung stellte das BVerfG im Hinblick auf das heimliche Aufklären durch Zugriffe auf Internetdienste klar, dass die Kenntnisnahme von öffentlich frei zugänglichen Daten grundsätzlich nicht gegen das Recht auf informationelle Selbstbestimmung verstößt.³⁷⁷ Der Betroffene übt sein Recht auf informationelle Selbstbestimmung aus, indem er die Daten öffentlich zugänglich und damit für jedermann nutzbar macht.³⁷⁸ Auch die freie
Roßnagel-ders., Hdb. Datenschutzrecht, Einl. Rn. ; Jandt, Vertrauen, S. ; Masing, NJW , , . BVerfGE , , – Volkszählungsurteil; Schuler-Harms, in: Sokol, Living by numbers, S. ; Bäcker, Der Staat , , f. Masing, NJW , , ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. . Siehe oben: Einl., I. Bäcker, Der Staat , , . Unkritisch Masing, NJW , , . Masing, NJW , , ; Cornils, in: Stern/Peifer/Hain, Datenschutz, S. . Miller/Poscher, FAZ . . , S. . BVerfGE , , – Online-Durchsuchung. Nach anderer Ansicht liegt darin eine Einschränkung der Befugnisformel bzw. eine Akzentverschiebung von der Autonomie hin zu Vertraulichkeitserwartungen, s. Böckenförde, JZ , , .
116
Kapitel 3 Deutschland
Entscheidung, sich des Schutzes zu begeben, ist eine Ausübung des Freiheitsrechts.³⁷⁹ Dass für Daten, die der Betroffene freiwillig an die Öffentlichkeit entäußert hat, grundsätzlich kein weiteres Schutzbedürfnis besteht, steht im Gleichklang mit der Entscheidung zur mittelbaren Drittwirkung des Rechts auf informationelle Selbstbestimmung³⁸⁰ und der Rechtsprechung zum Schutz der Privatsphäre, mit der sich das Recht auf informationelle Selbstbestimmung in dem Bereich der Wahrnehmung der Person oft überschneidet.³⁸¹ Allerdings kann sich eine Persönlichkeitsgefährdung und damit eine Schutzpflicht ergeben, wenn frei zugängliche Daten systematisch zusammengetragen und automatisiert verarbeitet werden, da sich ihr Informationswert so erheblich steigern kann.³⁸²
V. Ergebnis Im Ergebnis bleibt festzuhalten, dass sich aus der Verfassung kein stets vorrangiges Recht auf Datenverarbeitung ableiten lässt,³⁸³ sondern dass vielmehr Einschränkungen der beruflichen Datenverarbeitung zum Schutz des Persönlichkeitsrechts erforderlich sind.³⁸⁴ Um dem Einzelnen die Möglichkeit zu geben, sein Recht auf informationelle Selbstbestimmung auszuüben, kommt der Transparenz der Prozesse und der Gewährleistung echter Wahlmöglichkeiten entscheidende Bedeutung zu, ebenso wie der Bindung der Datenverarbeitung an einen bestimmten Zweck. Geboten ist es zudem, durch Löschpflichten und die Einhaltung des Erforderlichkeitsprinzips, die Entstehung von umfassenden Persönlichkeitsprofilen zu verhindern. Das Verbot umfassender Profile impliziert zudem eine strikte Trennung von Nutzungs- und Inhaltsdaten.
Hoffmann-Riem, JZ , , . BVerfG JZ , , – Datenschutz im privaten Versicherungsrecht. Hoffmann-Riem, JZ , , ; Kamp, Personenbewertungsportale, S. ff. BVerfGE , , f. – Online-Durchsuchung; Bäcker, Der Staat , , . Schwenke, Individualisierung, S. f.; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. f. Roßnagel/Pfitzmann/Garstka, Modernisierung, S. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
117
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes Das primäre Regulierungsinstrument für die Verwendung von personenbezogenen Daten ist in Deutschland das Datenschutzrecht. Soweit sich durch die DS-GVO wesentliche Änderungen ergeben, werden diese nachfolgend berücksichtigt.
I. Anwendbarkeit deutschen Datenschutzrechts Zu klären ist im Rahmen des internationalen Privatrechts, ob deutsches Datenschutzrecht auch auf internationale Soziale Netzwerke wie Facebook Anwendung findet. Im nächsten Schritt wird geprüft, inwieweit die Profilbildung von den geltenden Normen erfasst wird, ob also die sachlichen Voraussetzungen für die Anwendung der datenschutzrechtlichen Vorschriften des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) gegeben sind.
1. Internationale Anwendbarkeit Das derzeit beliebteste³⁸⁵ Soziale Netzwerk Facebook ist ein US-amerikanisches Unternehmen in Form einer Incorporation (Inc.) mit Sitz in Kalifornien.³⁸⁶ In Dublin, Irland, hat eine Tochtergesellschaft von Facebook Inc., die Facebook Limited (Ltd.) ihren Sitz,³⁸⁷ in Hamburg eine Werbetochtergesellschaft, die Facebook Deutschland GmbH.³⁸⁸ Facebook³⁸⁹ beruft sich darauf, dass Verträge mit den europäischen Nutzern mit der Limited zustande kämen und hierauf nicht deutsches, sondern irisches Datenschutzrecht anzuwenden sei.³⁹⁰
Siehe oben: Einl., I.; PewInternet, Social Media , S. . Facebook Inc., Willow Road, Menlo Park, CA . Facebook Ireland Limited, Grand Canal Square, Dublin, Irland. Facebook Germany GmbH, Großer Burstah – , Hamburg. Allan an das ULD v. . . . Es handelt sich dabei nicht um einen Einzelfall – die gleiche Problematik ergibt sich z. B. auch für Google, mit Unternehmenssitz in Moutain View, Kalifornien, USA und einer für Europa zuständigen Tochterniederlassung in Dublin, Irland.
118
Kapitel 3 Deutschland
a) Anwendbares Kollisionsrecht Sofern keine zulässige Rechtswahl getroffen wurde und keine spezialgesetzliche Regelung besteht,³⁹¹ kommen die allgemeinen kollisionsrechtlichen Vorschriften des internationalen Privatrechts aus dem EGBGB zum Tragen.³⁹²
aa) Zulässige Rechtswahl? Fraglich ist, ob mit der Bestimmung in Facebooks Nutzungsbedingungen, wonach die Nutzungsbedingungen deutschem Recht unterliegen,³⁹³ eine zulässige Rechtswahl auch für das Datenschutzrecht getroffen wurde, wie es Teile der deutschen Rechtsprechung vertreten.³⁹⁴ Art. 3 I 1 i.V.m. Art. 1 I 1 Rom I-VO³⁹⁵ sieht die grundsätzliche Möglichkeit einer Rechtswahl für die Parteien eines vertraglichen Schuldverhältnisses in Zivil- und Handelssachen vor, das eine Verbindung zum Recht verschiedener Staaten aufweist. Die Rom I-VO ist gem. Art. 3 Nr. 1b EGBGB gegenüber dem deutschen Gesetz zur Bestimmung des internationalen Privatrechts, dem EGBGB, insoweit vorrangig. Bei Sozialen Netzwerken besteht das erforderliche Vertragsverhältnis zwischen Anbieter und Nutzer,³⁹⁶ wenn die Website-Nutzung nur mit einer Registrierung und Einwilligung in die Nutzungsbedingungen möglich ist, da sich dadurch der nötige Rechtsbindungswille manifestiert.³⁹⁷ Unabhängig von der Wirksamkeit des Vertragsverhältnisses im Einzelfall³⁹⁸ ist eine Rechtswahl nicht
Palandt-Thorn, Art. EGBGB Rn. . Palandt-Thorn, Einl. v. EGBGB Rn. f. Facebook, Nutzungsbedingungen, Nr. i.V.m. Nr. der Sonderbedingungen für deutsche Nutzer. LG Berlin CR , , – Freundefinder; differenzierend KG ZD , , – Freundefinder. Verordnung (EG) Nr. / des Europäischen Parlaments und des Rates vom . . über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I). Zur Einordnung des Vertrags werden verschiedene Ansichten vertreten: Hoeren/Sieber/ Holznagel-Redeker, . Rn. gehen von einem unentgeltlichen Auftragsverhältnis (§§ ff. BGB) aus; Jandt/Roßnagel, MMR , , und Wintermeier, ZD , , von einem Dienstleistungsvertrag (§§ ff. BGB) und Bräutigam, MMR , , von einem Datenüberlassungsvertrag. Achtruth, Social Networks, S. . Nach a.A. sind Telemediendiensteanbieter unentgeltlicher Leistungen nicht erfasst, da für einen unentgeltlichen Dienst keine Vertragsbeziehung erforderlich sei, s. Taeger/Gabel-Zscherpe, § TMG Rn. ff. Dies geht aber an der rechtlichen Realität vorbei, die auch unentgeltliche Verträge kennt. Zur Problematik eines wirksamen Vertragsschlusses durch minderjährige Nutzer Sozialer Netzwerke s. Teil , Kap. , C., II., ., b), aa), ().
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
119
möglich, wenn es sich bei datenschutzrechtlichen Vorschriften um Eingriffsnormen i.S.d. Art. 9 Rom I-VO handeln,³⁹⁹ die als zwingendes Recht der Disposition der Beteiligten entzogen sind.⁴⁰⁰ Das Datenschutzrecht wird primär durch die Aufsichtsbehörden mit hoheitlichen Mitteln durchgesetzt. Dies zeigt die überindividuelle Zielrichtung datenschutzrechtlicher Normen,⁴⁰¹ wie sie sich auch aus Erwägungsgründen 7 und 8 DSRL ergibt. Danach dient die Richtlinie auch dem Gemeinwohlinteresse. Ihr Ziel ist es, Hemmnisse im Datentransfer durch eine Harmonisierung der diesbezüglichen Vorschriften zu erreichen. Dazu muss das Datenschutzrecht der Disposition von Vertragsparteien entzogen sein.⁴⁰² Im Ergebnis sprechen also die besseren Argumente gegen eine grundsätzliche Rechtswahlmöglichkeit im Rahmen des Datenschutzrechts.⁴⁰³
bb) Spezialgesetzliche Kollisionsnorm Als spezialgesetzliche Kollisionsnorm⁴⁰⁴ regelt Art. 4 DSRL die Anwendbarkeit einzelstaatlichen Rechts und wird im deutschen Recht durch § 1 V BDSG umgesetzt. Über die Verweisungsnorm des § 12 III TMG gilt § 1 V BDSG auch für das TMG,⁴⁰⁵ das auch in den Geltungsbereich der DSRL fällt.⁴⁰⁶
VG Schleswig-Holstein ZD , – Klarnamenpflicht; Piltz, CR , ; ders., K&R , , f. VG Schleswig-Holstein ZD , , – Klarnamenpflicht; Piltz, CR , ; PalandtThorn, Art. Rom-I VO Rn. . Piltz, CR , ; ders., K&R , , . Eine differenzierende Ansicht vertritt das KG in seiner Freundefinder-Entscheidung. Danach soll eine Rechtswahl hinsichtlich der Normierungen der Rechte des Betroffenen möglich sein, KG ZD , , – Freundefinder. Kremer, RDV , , ; Piltz, Soziale Netzwerke, S. ; ders. K&R , , . VG Schleswig-Holstein ZD , , – Klarnamenpflicht; Piltz, CR , ; Piltz, Soziale Netzwerke, S. ; Kremer, RDV , , f.; a.A.: LG Berlin CR , ; Polenz, VuR , , . Differenzierend: KG ZD , , – Freundefinder. Simitis-Dammann, § Rn. ; Jotzo, MMR , , ; Piltz, Soziale Netzwerke, S. ; Schaar, Datenschutz, S. ; ULD, Reichweitenanalyse, S. . Insbesondere stellt § I TMG keine Kollisionsnorm dar. Dies ergibt sich aus § V TMG, s. BGH NJW , , – Internationale Zuständigkeit; Jotzo, MMR , , ; Piltz, Soziale Netzwerke, S. . Jotzo, MMR , , ; Kremer, RDV , , .
120
Kapitel 3 Deutschland
b) Anwendbares Datenschutzrecht nach der Kollisionsnorm des § 1 V BDSG Art. 4 I lit. a DSRL setzt voraus, dass die Verarbeitung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen im Rahmen der Tätigkeit einer Niederlassung ausgeführt wird, die dieser im Hoheitsgebiet eines Mitgliedsstaats besitzt.⁴⁰⁷ Grundvoraussetzung ist also zunächst, dass der Betreiber des Sozialen Netzwerks für die einzelnen Schritte des Datenumgangs Verantwortlicher im Sinne des Gesetzes ist und nicht ein Dritter wie der Nutzer selbst oder Betreiber dritter Webseiten. Nach der Bestimmung der verantwortlichen Stelle muss bei Unternehmensgruppen mit mehreren Standorten geprüft werden, welcher Standort für die Festlegung des anwendbaren Rechts relevant ist.
aa) Betreiber Sozialer Netzwerke als verantwortliche Stellen Die für den Datenumgang verantwortliche Stelle ist gem. § 3 VII BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Art. 2 lit. d DSRL spezifiziert, dass für den Datenumgang verantwortlich ist, wer über Mittel und Zwecke – also das Wie und Warum⁴⁰⁸ – der Datenverarbeitung entscheidet. Maßgeblich für die Bestimmung der Verantwortlichkeit ist also, wer die Verfügungsmacht über die Daten besitzt.⁴⁰⁹ Dabei ist auch die Verantwortlichkeit mehrerer nebeneinander denkbar, Art. 2 lit. d DSRL.⁴¹⁰ Die Betreiber Sozialer Netzwerke bestimmen den Zweck der Datenverarbeitung einseitig in den Nutzungsbedingungen und entscheiden durch das Vorgeben einer Infrastruktur und das Bereithalten des Speicherplatzes sowie über den Programmcode selbst über die Mittel der Datenverarbeitung.⁴¹¹ Problematisch ist die Festlegung der Verantwortlichkeit jedoch bei nutzergenerierten Inhalten und bei Daten, die Facebook über Webseiten Dritter erhält.
(1) Verantwortlichkeit für nutzergenerierte Inhalte? Die Nutzer Sozialer Netzwerke entscheiden selbst, welche Inhalte sie online einstellen, haben also die Verfügungsmacht über diese Daten. Das Gleiche gilt für Daten, die dem Unternehmen von Dritten wie Werbekunden zur Verfügung gestellt
EuGH . . – C-/, Slg. unv. = NJW , , Tz. = ZD , , Tz. – Google Spain. Art. WP, WP , S. . Jotzo, MMR , , . Art. WP, WP , S. ; Karg/Thomsen, DuD , , f. Piltz, Soziale Netzwerke, S. f.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
121
werden. Fraglich ist deshalb, ob die Betreiber Sozialer Netzwerke insoweit gem. § 11 BDSG lediglich im Auftrag tätig werden. Dagegen spricht, dass die Betreiber ein eigenes Interesse an der Dateneingabe und die gestalterische und rechtliche Hoheit auch bzgl. der vom Nutzer bzw. Kunden eingestellten Informationen haben.⁴¹² So liegt es in der Hand der Betreiber, Inhalte zu löschen, die nicht mit den Nutzungsbedingungen vereinbar sind⁴¹³ oder sie für eigene Zwecke zu verwenden.⁴¹⁴ Die Betreiber Sozialer Netzwerke sind folglich „Herren der Daten“ und damit für die nutzergenierten Inhalte zumindest mitverantwortliche Stellen i.S.d. §§ 1 V, 3 VII BDSG.⁴¹⁵
(2) Verantwortlichkeit für von Webseiten Dritter empfangene Daten? Die Datensammlung von Drittseiten erfordert die Mitwirkung der Webseitenbetreiber, da Facebook diese Daten nur erhält, wenn ein Administrator eine Fanpage errichtet, ein Single-Sign-On mit dem Facebook-Nutzerkonto ermöglicht oder Facebook-Anwendungen auf seiner Homepage einbindet. Zur Darstellung des Traffics auf ihrer Seite werden die Daten den Webseitenbetreibern in aggregierter Form über den Dienst „Insights“ zur Verfügung gestellt. Es könnte deshalb argumentiert werden, dass Facebook insoweit nicht verantwortliche Stelle der Datenverarbeitung ist, sondern lediglich im Auftrag der Drittseitenbetreiber tätig wird. Ein eigenes wirtschaftliches Interesse des analysierenden Unternehmens an den erhobenen Daten steht einer solchen Auftragsdatenverarbeitung (ADV) gem. § 11 BDSG nicht grundsätzlich entgegen.⁴¹⁶ Facebook fließen über die Drittseiten jedoch mehr Daten zu, als es über den Dienst „Insights“ an seine Kunden weitergibt. Es nutzt diese Daten für seinen eigenen geschäftlichen Zweck, namentlich die Personalisierung seiner Dienste und Werbung.⁴¹⁷ Es bestimmt selbständig über die Mittel und Zwecke der weiteren
Jandt/Roßnagel, ZD , , ; Kamp, Personenbewertungsportale, S. ; Piltz, Soziale Netzwerke, S. . Facebook, Nutzungsbedingungen, . Nr. . Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?. Im Ergebnis auch Art. WP,WP , S. ; Piltz, Soziale Netzwerke, S. ; Polenz,VuR , , . Für Bewertungsportale: Kamp, Personenbewertungsportale, S. . ULD, Reichweitenanalyse, S. ; HmbBfDI, Google Analytics; Hoeren, ZD , , ; Voigt/ Alich, NJW , , . Facebook, Cookies-Richtlinie. So besteht zwischen Facebook und den Webseitenbetreibern auch kein schriftlich vereinbartes Auftragsdatenverarbeitungsverhältnis, s. ULD, Verantwortlichkeit Fanpages, S. .
122
Kapitel 3 Deutschland
Verarbeitung. Insoweit ist Facebook auch für die Datenerhebung auf Webseiten Dritter (Mit‐)Verantwortlicher im Sinne des § 1 V BDSG.⁴¹⁸
bb) Relevanter Standort der verantwortlichen Stelle Ob deutsches Datenschutzrecht auf internationale Soziale Netzwerke wie Facebook Anwendung findet, ist in der Rechtsprechung und in der Literatur umstritten.⁴¹⁹ Für Facebook kommen drei Standorte als Anknüpfungsmöglichkeiten in Betracht: die Büros in Hamburg, Dublin oder Palo Alto, Kalifornien.⁴²⁰
(1) Standort im EWR Gem. § 1 V 1 BDSG findet deutsches Datenschutzrecht keine Anwendung, sofern eine verantwortliche Stelle im EWR personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Die Norm wird vielfach so verstanden, dass auf den Sitz der verantwortlichen Stelle abzustellen ist (Sitzlandprinzip).⁴²¹ § 1 V BDSG dient allerdings der Umsetzung des Art. 4 DSRL und ist deshalb richtlinienkonform auszulegen.⁴²² In Art. 4 DSRL findet sich keine Anknüpfung an den Sitz der verantwortlichen Stelle, sondern nur an ihre Niederlassung (Niederlassungsprinzip). Art. 4 I lit. a 1 DSRL stellt auf die Datenverarbeitungen ab, „die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet besitzt.“ Der Wortlaut differenziert zwischen dem Verantwortlichen und seiner Niederlassung. Abzustellen ist somit nicht auf den Sitz der verant-
Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. ; Ernst, NJOZ , , ; Härting, ITRB , , ; WD LT SH, Facebook-Kampagne, S. ; Karg/Thomsen, DuD , , ; Moser-Knierim, ZD , , ; Polenz, VuR , , ; ULD, Verantwortlichkeit Fanpages, S. . Für die Anwendbarkeit deutschen Datenschutzrechts auf in den USA ansässige Webseitenbetreiber: OLG Hamburg ZD , , ; Stadler, ZD , , ; Ott, MMR , , f. Dagegen: VG Schleswig ZD , , – Klarnamenpflicht; OVG Schleswig ZD , , – Klarnamenpflicht; Alich/Voigt, CR , , . Siehe oben: Teil , Kap. , C., I., . Eine solche Standortaufteilung findet sich z. B. auch bei Google. OVG Schleswig-Holstein ZD , , – Klarnamenpflicht. Diese Ansicht vertreten: Gola/Schomerus, § Rn. ; Karg/Thomsen, DuD , , ; Polenz, VuR , , ; ULD, Verantwortlichkeit Fanpages, S. f. Beyvers/Herbrich, ZD , ; Simitis-Dammann, § Rn. ; Piltz, K&R , , . Für eine direkte Anwendung des Art. DSRL Kremer, RDV , , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
123
wortlichen Stelle, sondern auf die datenverarbeitende Niederlassung.⁴²³ Wie diese zu bestimmen ist, wird aktuell aufgrund der Entscheidung des EuGH zu Google Spain ⁴²⁴ diskutiert.
(a) Niederlassung Nach Erwägungsgrund 19 DSRL setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform der Niederlassung, die eine Agentur oder Zweigstelle sein kann, ist nicht maßgeblich.⁴²⁵ Bei Unternehmen, die ihre Dienstleistungen über das Internet anbieten, ist entscheidend, wo sie ihre wirtschaftliche Tätigkeit ausüben, nicht hingegen, wo sich die technischen Einrichtungen befinden,⁴²⁶ so dass beim Facebook-Konzern sowohl die Limited in Dublin also auch die GmbH in Deutschland als Anknüpfungsorte in Betracht kommen.
(b) Datenverarbeitung im Rahmen der Tätigkeit Nach einer Minderheitsmeinung soll das Kriterium der Datenverarbeitung „im Rahmen der Tätigkeit“ lediglich eine Kollisionsregelung für den Fall mehrerer Niederlassungen in der EU bzw. im EWR sein, also keine Voraussetzung für die Anknüpfung nationalen Rechts.⁴²⁷ Dagegen spricht, dass sich nach diesem Verständnis eine Regelungslücke ergibt. Der Fall, dass eine Niederlassung im EWR besteht, diese die Datenverarbeitung aber nicht im Rahmen ihrer Tätigkeit vornimmt, ist von Art. 4 I DSRL nicht erfasst. Dies widerspräche aber dem Willen des Gesetzgebers, eine lückenlose Regelung zu treffen.⁴²⁸ Die Niederlassung muss demnach im konkreten Fall eine Rolle beim Datenverarbeitungsvorgang spielen.⁴²⁹ Bis zur Google Spain-Entscheidung des EuGH 2014⁴³⁰ war höchstrichterlich ungeklärt, welcher Art die datenverarbeitende Tätigkeit sein muss. Da die Über OVG Schleswig-Holstein ZD , , – Klarnamenpflicht; im Ergebnis auch die Vorinstanz VG Schleswig-Holstein ZD , – Klarnamenpflicht; Art. WP, WP , S. ; Moerel, IDPL , , f. (); Karg, ZD , , . EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain. Art. WP, WP , S. . So auch jüngst die bisherige Rechtsprechungslinie des EuGH bestätigend EuGH NJW , Rn. . Art. WP, WP , S. und WP , S. ; a.A. Bergmann/Möhrle/Herb, § BDSG Rn. . Moerel, IDPL , (). Art. WP, WP , S. ; Simitis-Dammann, § Rn. . Art. WP, WP , S. ; Art. WP, WP , S. . EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain.
124
Kapitel 3 Deutschland
tragbarkeit der Entscheidung auf internationale Soziale Netzwerke noch nicht geklärt ist, wird neben dem Urteil auch der bisherige Meinungsstand nachfolgend wiedergegeben.
(aa) Bisheriger Meinungsstand am Bsp. von Facebook Bei der Facebook Germany GmbH in Hamburg handelt es sich um die Vermarktungsgesellschaft für Deutschland, die an der Entwicklung der FacebookDeutschland-Seite keinen Anteil hat.⁴³¹ Auf Nutzerdaten haben nur einige Angestellte begrenzten Zugriff, um die Effektivität von Werbung beurteilen und eventuelle Probleme im Werbebereich beheben zu können.⁴³² Rechtsprechung⁴³³ und Literatur⁴³⁴ bewerteten diese reine Vermarktungstätigkeit als nicht ausreichend, um von einer datenverarbeitenden Niederlassung auszugehen. Die Rechtsprechung sah dafür vielmehr eine effektive und tatsächliche Beteiligung der Niederlassung an der Datenverarbeitung als zwingend erforderlich an, die bei Facebook Germany nicht gegeben sei.⁴³⁵ Die Literatur ging z.T. noch weiter und forderte, dass die datenverarbeitende Tätigkeit der Niederlassung über eine reine ADV hinausgehen muss.⁴³⁶ Nach Facebooks „Erklärungen der Rechte und Pflichten“ kommt der Vertrag über die Nutzung der Seite für europäische Nutzer mit der irischen Ltd. zustande.⁴³⁷ Inwieweit eine Niederlassung an der relevanten Datenverarbeitung beteiligt ist, ist jedoch eine rein tatsächliche Frage, die für jeden Datenverarbeitungsvorgang gesondert zu beurteilen ist und sich mit Bestimmtheit nur beantworten lässt, sofern Kenntnisse über interne Verfahren bestehen. Bei Facebook ist dies zum Teil der Fall, nachdem der irische Datenschutzbeauftragte Ende 2011 und 2012 Auditverfahren bei Facebook Ltd. durchgeführt und die Berichte veröffentlicht hat.⁴³⁸ Der irische Datenschutzbeauftragte kommt zu dem Ergebnis, dass Facebook Ltd. eine substantielle Rolle bei der Datenverarbeitung im Hinblick auf die europäi-
Facebook-Seite der Facebook Germany GmbH: http://de-de.facebook.com/FacebookHam burg?sk=info; IDPC, Facebook Audit, Anhang , S. ; Allan an das ULD v. . . . IDPC, Facebook Audit, Anhang , S. . VG Schleswig-Holstein ZD , , – Klarnamenpflicht; OVG Schleswig-Holstein ZD , , – Klarnamenpflicht. Karg, ZD , , ; Piltz, K&R , . OVG Schleswig ZD , , – Klarnamenpflicht; KG ZD , , – Freundefinder. Piltz, K&R , , ; Karg, ZD , , . Facebook, Nutzungsbedingungen, Impressum. IDPC, Facebook Audit; IDPC, Facebook Re-Audit.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
125
schen Nutzer zukommt⁴³⁹ und dass die Ltd. die einzige Stelle innerhalb der Facebook-Gruppe ist, die Nutzerdaten von nicht‐nordamerikanischen Nutzern kontrolliert.⁴⁴⁰ Allerdings lassen sich dem Report bzgl. der konkreten Datenverarbeitungstätigkeit und bzgl. der Frage, welche Daten betroffen sind, keine ausreichenden Informationen für eine abschließende Klärung entnehmen. Auch die deutsche Rechtsprechung zeigt ein uneinheitliches Bild bei der Beurteilung der Frage, ob Facebook Ltd. tatsächlich effektiv bei der Datenverarbeitung beteiligt ist, da jede Datenverarbeitung gesondert zu bewerten ist. Im Fall der Sperrung von Nutzerkonten bezog sich das OVG Schleswig auf den seit dem 15. 12. 2010 zwischen Facebook Ltd. und Facebook USA bestehenden Data ProcessingVertrag, in dem Facebook Ltd. als Datenexporteur und Facebook Inc. als Datenimporteur bezeichnet werden.⁴⁴¹ Nach der Datenübertragungsvereinbarung ist Facebook Ltd. für bestimmte Datenkategorien, vornehmlich für die Kontaktinformationen der Nutzer, die zuständige Stelle. Zusammen mit den Ausführungen des irischen Datenschutzbeauftragten im Auditbericht ging das OVG Schleswig deshalb von einer Beteiligung an der relevanten Datenverarbeitung zur Sperrung von Nutzerkonten durch Facebook Ltd. i.S.d. § 1 V 1 HS 1 BDSG aus, so dass insoweit irisches Datenschutzrecht anzuwenden ist.⁴⁴² Im Fall der „Freundefinder“-Funktion befand das KG den Vortrag von Facebook als nicht ausreichend, um insoweit von einer effektiven und tatsächlichen Beteiligung von Facebook Ltd. an der relevanten Datenverarbeitung sprechen zu können. Da Art. 4 I lit. a DSRL nicht voraussetzt, dass die Datenverarbeitung von der Niederlassung selbst durchgeführt wird, ist es nach Ansicht des KG aber auch möglich, dass die Niederlassung eine weitere Stelle mit der Datenverarbeitung beauftragt. Der tatsächliche Datenverarbeitungsprozess kann demnach in einem Drittland – sei es EU/EWR-Mitglied oder nicht – stattfinden, aber dennoch im Rahmen der Tätigkeiten einer Niederlassung erfolgen. Dieses Verständnis entspricht auch dem Willen des Gesetzgebers, der gerade von dem Ort der tatsächlichen Datenverarbeitung abstrahieren wollte, um die leichte Umgehbarkeit der Anwendbarkeit der Datenschutzgesetze durch eine Verlegung des Serverstandorts zu vermeiden.⁴⁴³ Das KG prüfte deshalb, ob Facebook Inc. die Datenverarbeitung im Auftrag der Facebook Ltd. vornimmt.⁴⁴⁴
IDPC, Facebook Audit, S. . IDPC, Facebook Audit, Appendix , S. . IDPC, Facebook Audit, S. ; OVG Schleswig-Holstein ZD , Rn. – Klarnamenpflicht. OVG Schleswig-Holstein ZD , Rn. , – Klarnamenpflicht. Moerel, IDPL , , ().
126
Kapitel 3 Deutschland
Für die Beurteilung, ob eine ADV vorliegt, sind vertragliche Vereinbarungen nicht ausschlaggebend, da sie nach Belieben veränderbar sind.Vorrangig sind die tatsächlichen Prozesse.⁴⁴⁵ Nach Angaben von Facebook legt Facebook Ltd. eine eigene Richtlinie für die Verarbeitung der Daten deutscher Nutzer fest.⁴⁴⁶ Könnte Facebook Ltd. über eine Änderung des Angebots nur für die deutsche FacebookSeite entscheiden, so wäre das ein klares Indiz dafür, dass die Datenverarbeitung im Rahmen der Tätigkeit mit einer gewissen Entscheidungsbefugnis erfolgt. Ob dies tatsächlich so ist und in welchem Umfang die Richtlinie die Datenverarbeitung festlegt, geht aus dem Auditreport 2011 nicht klar hervor⁴⁴⁷ und kann aufgrund der gesellschaftsrechtlichen Konzernstruktur mit Facebook Inc. als alleiniger Gesellschafterin, welche die Möglichkeit hat, die Entscheidungsprozesse an sich zu ziehen, bezweifelt werden.⁴⁴⁸ Das KG lehnte deshalb eine ADV durch Facebook Inc. für die Facebook Ltd. ab. Aus Sicht des Berliner Gerichts nimmt Facebook Ltd. somit hinsichtlich der „Freundefinder“-Funktion nicht an der Datenverarbeitung teil. Es lehnt deshalb die Anwendung irischen Datenschutzrechts ab.⁴⁴⁹ Damit ergibt sich folgendes Bild aus der deutschen Rechtsprechung: Gem. § 1 V 1 HS 1 BDSG wird irisches Datenschutzrecht angewendet, soweit eine Beteiligung von Facebook Ltd. an der Datenverarbeitung besteht.⁴⁵⁰ Sofern dies nicht der Fall ist, hängt die Anwendbarkeit deutschen Datenschutzrechts von § 1 V 2 BDSG ab.⁴⁵¹
(bb) Ausweitung des Niederlassungsprinzips Der EuGH erklärt in seiner zur Suchmaschine Google ergangenen Entscheidung vom 13.05. 2014,⁴⁵² dass die Datenverarbeitung bereits dann im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird,wenn diese die Aufgabe hat, in dem Mitgliedsstaat für die Förderung des Verkaufs der angebotenen Werbeflächen, mit
KG ZD , , – Freundefinder. KG ZD , , – Freundefinder; Art. WP,WP , S. ; Kremer, RDV , , . Allan an das ULD v. . . , S. . IDPC, Facebook Audit, Anhang , S. , . KG ZD , , – Freundefinder; Kremer, RDV , , ; Polenz, VuR , , . KG ZD , , – Freundefinder. Auch für die Vertreter der Ansicht, dass es sich bei der Niederlassung um eine verantwortliche Stelle handeln muss, bleibt das Ergebnis mangels ausreichender Informationen über die tatsächliche Handhabung offen. Dazu Piltz, Soziale Netzwerke, S. ff. Dazu siehe nachfolgend Teil , Kap. , C., I., ., b), bb), (). EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
127
denen die Dienstleistung rentabel gemacht werden soll, und diesen Verkauf selbst zu sorgen.⁴⁵³ Offen ist, inwieweit diese Rechtsprechung auch für den Betreiber Sozialer Netzwerke gelten kann.⁴⁵⁴ Der EuGH argumentiert, dass die Datenverarbeitung bei der Suchmaschine im Rahmen der Werbetätigkeit erfolgt, da zusammen mit den Suchergebnissen auf derselben Seite die mit den Suchbegriffen verknüpften Werbeanzeigen angezeigt werden.⁴⁵⁵ Dies ist bei Sozialen Netzwerken nicht der Fall, da ihre Werbung profilbasiert erfolgt und nicht auf die aktuell gezeigten Inhalte abgestimmt ist. Andererseits dienen natürlich auch die Werbeanzeigen in Sozialen Netzwerken dem Betreiber dazu, den Dienst rentabel zu machen,⁴⁵⁶ so dass man mit dem EuGH argumentieren könnte, dass die Tätigkeit, den Verkauf von Werbeflächen zu fördern und die Tätigkeit der Datenverarbeitung untrennbar miteinander verbunden sind.⁴⁵⁷ Ob dieses Kriterium des finanziellen Beitrags zum Datenverarbeitungsgeschäft für sich genommen jedoch tragfähig ist, muss bezweifelt werden, da letztlich fast jede Tätigkeit im Unternehmen darauf ausgerichtet sein wird, den Dienst rentabel zu gestalten.⁴⁵⁸ Als Zwischenergebnis ist festzuhalten, dass bei international tätigen Anbietern Sozialer Netzwerke mit einer Niederlassung in Deutschland nach der jüngsten Rechtsprechung des EuGH eine Anwendung deutschen Datenschutzrechts möglich, aber nicht zwingend erscheint.
(2) Standort außerhalb des EWR Lehnt man die Übertragung der jüngsten Rechtsprechung des EuGH ab und geht davon aus, dass aufgrund fehlender tatsächlicher und effektiver Beteiligung der irischen Limited an der Datenverarbeitung auch nicht irisches Datenschutzrecht
EuGH . . – C-/, Slg. unv. = NJW , , Tz. = ZD , , Tz. – Google Spain. So bereits schon EuGH-Generalanwalt Jääskinen, Schlussanträge vom . . – C / Tz. ; Art. WP,WP , S. . Kritisch Pauly/Ritzer/Geppert, ZD , , ff.; Dammann, RDV , , . Bejahend ULD, . TB, S. ; Ziebarth, ZD , , . EuGH . . – C-/, Slg. unv. = NJW , , Tz. = ZD , , Tz. – Google Spain. Knapp Prozent der Gesamteinnahmen von Facebook stammen aus Werbeangeboten, s. Facebook, Q I Results. EuGH . . – C-/, Slg. unv. = NJW , , Tz. = ZD , , Tz. – Google Spain. Beyvers/Herbrich, ZD , , ; Karg, ZD , .
128
Kapitel 3 Deutschland
zur Anwendung kommt, muss auf die Konzernmutter Facebook Inc. in den USA abgestellt werden. Deutsches Datenschutzrecht findet gem. § 1 V 2 BDSG Anwendung, wenn personenbezogene Daten von einer nicht im EWR ansässigen Stelle in Deutschland erhoben, verarbeitet oder genutzt werden. Zur Auslegung kann Art 4 I lit. c DSRL herangezogen werden. Danach kommt nationales Datenschutzrecht zur Anwendung, wenn ein in einem Drittstaat niedergelassener Verantwortlicher zur Datenverarbeitung auf Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedsstaats belegen sind, es sei denn, sie dienen nur der Durchfuhr. Der Begriff des Mittels wird in der Richtlinie nicht definiert. Der Wortlaut des Art. 4 I lit. c DSRL nimmt keine Einschränkung auf eigene Mittel vor. Nach Sinn und Zweck der Vorschrift ist die tatsächliche Möglichkeit der Einflussnahme auf das Mittel entscheidend.⁴⁵⁹ Damit kann auch das vom inländischen Nutzer verwendete Endgerät Mittel im Sinne des Art. 4 I lit. c DSRL sein.⁴⁶⁰ Aus dem Wortlaut „zum Zwecke“ und „zugreift“ lässt sich ersehen, dass ein vom Willen der ausländischen Stelle getragenes, zielgerichtetes Handeln notwendig ist.⁴⁶¹ Dies wird bei Cookies bejaht,⁴⁶² ist aber bei nutzergenerierten Inhalten umstritten.⁴⁶³ Nach einer Ansicht kann hier deutsches Datenschutzrecht nicht angewendet werden, weil der Nutzer selbst aktiv werde und für den Verantwortlichen sonst Unsicherheit über das anzuwendende Recht bestehe.⁴⁶⁴ Gegen diese Ansicht spricht jedoch zweierlei: Zum einen gestaltet der Verantwortliche das Webformular selbst aktiv und bestimmt damit, welche Datenarten er erhält. Zum anderen könnte er sich sonst durch eine gezielte Standortwahl des Servers die von ihm gewünschte Rechtsordnung aussuchen.⁴⁶⁵ Um eine Umgehung deutschen Datenschutzrechts zu verhindern und für den Anbieter Rechtssicherheit zu schaffen, bietet sich eine normative Auslegung an, die das anwendbare Recht danach bestimmt, an welches Land der Anbieter seine Leistung richtet.⁴⁶⁶ Dies ist anhand einer Gesamtschau der Gestaltung der Web-
Art. WP, WP , S. ; Simitis-Dammann, § Rn. ; Schaar, Datenschutz, S. . Jotzo, MMR , , ; Schaar, Datenschutz, S. . Simitis-Dammann, § Rn. , § Rn. ; Jotzo, MMR , , ; Schüßler, in: Taeger, Digitale Evolution, S. . Art. WP,WP , S. f.; Simitis-Dammann, § Rn. ; Jotzo, MMR , , ; Polenz, VuR , . Dagegen: Simitis-Dammann, § Rn. ; Kremer, RDV , , . Dafür: Scheja,Weltweite Kundendatenbank, S. . Simitis-Dammann, § Rn. ; Kremer, RDV , , . Scheja, Weltweite Kundendatenbank, S. ; Jotzo, MMR , , . OLG Hamburg ZD , , lässt dieses Kriterium für die internationale Anwendbarkeit deutschen Datenschutzrechts ausreichen. Ebenso Jotzo, MMR , , f.; Schaar,
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
129
seite nach dem objektiven Empfängerhorizont zu beurteilen.⁴⁶⁷ Auf diese Weise bleibt es für den Anbieter erkennbar und durch die Gestaltung des Webangebots beherrschbar, welches nationale Datenschutzrecht Anwendung findet.⁴⁶⁸ Die Facebook-Seite wendet sich zweifelsohne an deutsche Nutzer, da die Seite in Deutschland eine deutsche Domain hat und die deutsche Sprache verwendet. Damit bringen Vertreter der normativen Auslegung vorliegend deutsches Datenschutzrecht zur Anwendung.
cc) Ergebnis Für die Bestimmung des anwendbaren Datenschutzrechts sind nach bisheriger Rechtsprechung Kenntnisse über tatsächliche Verarbeitungsvorgänge und konzerninterne Entscheidungsstrukturen erforderlich, die von Unternehmen in der Regel auch in Gerichtsverfahren nicht offen gelegt werden.⁴⁶⁹ Die geltenden Regelungen sind in einer Weise gestaltet, die es Anbietern erlaubt, sich durch interne Organisation der Datenverarbeitung dem Anwendungsbereich deutschen Datenschutzrechts zu entziehen. Die Konsequenz ist eine Art forum shopping der Unternehmen, die sich vorzugsweise in EU-Mitgliedsstaaten mit niedrigerem Datenschutzniveau⁴⁷⁰ niederlassen.⁴⁷¹ Ob sich dies durch die jüngste Rechtsprechung des EuGH⁴⁷² grundlegend ändert, muss sich zeigen. Den insoweit bestehenden Gestaltungsbedarf hat die EU-Kommission mit der DSGVO aufgegriffen. Nach Art. 3 II DS-GVO gilt die VO bereits, wenn die Datenverarbeitung dazu dient, Personen in der EU Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.
Datenschutz, S. ; Scheja,Weltweite Kundendatenbank, S. . Ablehnend: Simitis-Dammann, § Rn. , . Jotzo, MMR , , . Jotzo, MMR , , ; Scheja, Weltweite Kundendatenbank, S. . LG Berlin CR , – Freundefinder und KG ZD , – Freundefinder, gegenüber VG Schleswig ZD , – Klarnamenpflicht und OVG Schleswig ZD , – Klarnamenpflicht; Weichert, DuD , , ; Karg, ZD , , f. Die mit der DSRL angestrebte umfassende Harmonisierung ist nicht mit einer Vollharmonisierung gleichzusetzen, da die RL den Mitgliedsstaaten in verschiedenen Bereichen einen Ermessensspielraum einräumt, so dass derzeit in der EU noch unterschiedliche Datenschutzniveaus bestehen, s. Kremer, RDV , , . Caspar, DuD , , ; Chander, N.C. L. Rev. , , (). EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain.
130
Kapitel 3 Deutschland
2. Sachliche Anwendbarkeit Bei elektronischen Medien sind das Telekommunikationsgesetz (TKG) sowie das TMG und das BDSG voneinander abzugrenzen.⁴⁷³ Das TMG ist gem. § 1 I 1 TMG anwendbar auf Telemedien. Der Begriff Telemedium definiert sich wiederum negativ über die Abgrenzung zu anderen Telekommunikationsdiensten. Es handelt sich dabei nach der Legaldefinition um alle elektronischen Informations- und Telekommunikationsdienste außer Telekommunikationsdiensten nach § 3 Nr. 24 TKG, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützten Diensten nach § 3 Nr. 25 TKG sowie Rundfunk nach § 2 RStV. Liegt ein Telemedium vor, ist die Anwendbarkeit der datenschutzrechtlichen Vorschriften des TMG zu prüfen, da das BDSG gem. § 1 III BDSG subsidiär gegenüber anderen Rechtsvorschriften des Bundes ist, soweit sie auf personenbezogene Daten anwendbar sind.
a) Einordnung Sozialer Netzwerke Jedes Soziale Netzwerk bietet als Grundstruktur eine technische Plattform,⁴⁷⁴ welche die grundlegenden Funktionalitäten zur Registrierung sowie zum Ein- und Ausloggen bereitstellt. Auf diese Plattformen können verschiedene elektronische Module aufbauen, die das eigentliche Nutzungserlebnis eines Sozialen Netzwerks ausmachen. Diese Module sind als eigenständige Teilangebote datenschutzrechtlich gesondert zu beurteilen.⁴⁷⁵ Soziale Netzwerke sind mangels Linearität, zeitgleichem Empfang und Sendeplan nicht als Rundfunk nach § 2 I 1 RStV einzustufen.⁴⁷⁶ Für die Einordnung als Telemedien- oder Telekommunikationsdienst kommt es darauf an, ob bei den verschiedenen Diensten Sozialer Netzwerke der technische Vorgang der Übertragung von Signalen im Vordergrund steht – dann handelt es sich um einen Telekommunikationsdienst und das TKG ist anzuwenden – oder ob auch eine Aufbereitung oder Verwendung der Daten stattfindet – dann liegt ein Telemediendienst vor, für den das TMG gilt.⁴⁷⁷
Schaar, Datenschutz, S. ff.; WD BT, Fanpages, S. ; ULD, Reichweitenanalyse, S. f. Zum informationstechnologischen Plattformbegriff siehe oben: Teil , Kap. , C., I., . Karg/Fahl, K&R , , ; ULD, Reichweitenanalyse, S. . Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. . BT-Drs. /, S. ; Schaar, Datenschutz, S. ; Spindler/Schuster-Ricke, § TMG Rn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
131
Lediglich die Voice-over-IP-Funktion beschränkt sich ausschließlich auf die Übertragung von Signalen (insoweit gelten die §§ 91 ff. TKG).⁴⁷⁸ Für Online-E-MailDienste und Chats ist dagegen anerkannt, dass es sich auch um Telemedien handelt, da sie auch aufbereitete Inhalte aufweisen,⁴⁷⁹ ebenso wie die sonstigen Angebote der Plattform und Apps.⁴⁸⁰ Bei einem Pixel-Tag⁴⁸¹ wird eine Pixel-Grafik, bei dem Like Button ein nach oben zeigender Daumen als Inhalt dargestellt und elektronisch übermittelt. Diese Third-Party-Tools sind damit auch Telemediendienste.⁴⁸²
b) Gemeinsame Anwendungsvoraussetzungen der datenschutzrechtlichen Vorschriften des TMG und BDSG Auf Telemedien finden das TMG und subsidiär das BDSG Anwendung, sofern personenbezogene Daten erhoben, verarbeitet oder genutzt bzw. verwendet werden, § 11 I TMG, § 1 II Nr. 3 BDSG. Streit herrscht darüber, ob die Veröffentlichung von Daten in Telemedien vom BDSG erfasst ist⁴⁸³ und in der Folge, ob nicht auch die der Veröffentlichung vorgehenden Verarbeitungsschritte vom Anwendungsbereich des BDSG ausgenommen sind.⁴⁸⁴ Abweichend von der herrschenden Auffassung⁴⁸⁵ legt Kamp anhand einer historischen und systematischen Auslegung dar, dass das BDSG nicht auf die Erfassung von Kommunikationssystemen angelegt ist.⁴⁸⁶ Jüngste Gesetzgebungsinitiativen zeigen allerdings, dass der heutige Gesetzgeber auch die Veröffentlichung von Daten in Telemedien grundsätzlich von den Datenschutzgesetzen erfasst sieht und lediglich ihre gesetzlich einzuführenden Vorgaben diskutiert
Für die Arbeit bleibt die Voice-over-IP-Funktion jedoch außer Betracht, da sie nicht zur Profilbildung herangezogen wird. BT-Drs. /, S. ; Spindler/Schuster-Ricke, § TMG Rn. . Karg/Fahl, K&R , , ; Piltz, Soziale Netzwerke, S. ; Verheijden, Rechtsverletzungen, S. ; Achtruth, Social Networks, S. ; Dix, in: Klumpp et al., Netzwelt, S. ; ULD/TU Dresden, Verkettung digitaler Identitäten, S. . Siehe oben: Teil , Kap. , C., I., ., b). Düsseldorfer Kreis, Beschluss . . ; ULD, Reichweitenanalyse, S. ; ULD, Google Analytics; HmbBfDI, Google Analytics; Bauer/Greve/Hopf, Online Targeting, S. . Kamp, Personenbewertungsportale, S. . Peifer, K&R , , . Für die Nutzungsdaten stellt sich die Frage nicht, da sie nicht veröffentlicht werden. BGHZ , , = NJW , , – spickmich; EuGH . . – Rs. C-/ , Slg. , I- Tz = EuZW , , – Lindqvist; EuGH . . – C-/, Slg. unv. = NJW , , Tz. = ZD , , Tz. – Google Spain. Kamp, Personenbewertungsportale, S. ff.
132
Kapitel 3 Deutschland
werden.⁴⁸⁷ Deshalb wird in der vorliegenden Arbeit davon ausgegangen, dass es sich bei der Veröffentlichung um eine Datennutzung i.S.d. § 3 V BDSG handelt.⁴⁸⁸ Somit ist auch für die vorausgehenden Schritte der Profilerstellung zu prüfen, ob es sich um Datenverwendungen im Sinne des Gesetzes handelt.
aa) Datenverwendung Der Terminus Datenverwendung umfasst die sieben Schritte des Erhebens, Speicherns,Veränderns, Übermittelns, Sperrens, Löschens und Nutzens von Daten und wird im deutschen und unionalen Datenschutzrecht als Obergriff verwendet, § 3 V BDSG, Art. 2 lit. b DSRL. Unter Datenverarbeitung versteht § 3 IV BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten; die DSRL gem. Art. 2 lit. b DSRL hingegen jede Form des Datenumgangs. Sie umfasst damit auch die Datenerhebung, ‐verarbeitung und ‐nutzung nach dem Verständnis des BDSG. Die vorliegende Arbeit folgt der deutschen Terminologie nach dem BDSG.
(1) Datenerhebung Nicht jede Datensammlung ist auch eine Datenerhebung im Sinn des § 12 III TMG i.V.m. § 3 III BDSG, sondern nur, wenn über den Betroffenen Daten beschafft werden. Dem Wortlaut „beschafft“ lässt sich entnehmen, dass es sich hierbei um eine aktive vom Willen getragene Maßnahme handeln muss.⁴⁸⁹ Problematisch ist dies bei Daten, die dem Webseitenbetreiber zwangsläufig zugehen wie Logfile-Daten, da es insoweit an einer aktiven vom Willen getragenen Handlung fehlt. Anders ist dies bei Third-Party-Tools und Single-Sign-On-Verfahren, da sie gerade der Erfassung des Nutzerverhaltens auf Drittseiten dienen. Bei den nutzergenerierten Inhalten kann zwischen Inhalten, die, wie zum Beispiel die Angaben im Profil, in ein dafür vorgesehenes Formular eingetragen werden, und solchen, die im Zuge der „freien Kommunikation“ anfallen, unterschieden werden. Stellt der Betreiber ein Online-Formular zur Verfügung, in dem bestimmte Informationen eingetragen werden sollen, kann bei bestimmungsgemäßer Benutzung nicht von aufgedrängten Daten die Rede sein, da ein zielgerichteter Wille des Betreibers besteht, diese Daten zu erhalten. Die aktive Handlung ist das Bereitstellen von Feldern, in denen diese Informationen einzutragen
BMI, Rote Linie-GesetzE; BR-Drs. /. Anders der BMI, Rote Linie-GesetzE, der die Veröffentlichung als Unterfall der Übermittlung einordnet. Kritisch dazu Moos, K&R , , . Gola/Schomerus, § Rn. ; Simitis-Dammann, § Rn. ; Plath-Schreiber, § BDSG Rn. ; Bergmann/Möhrle/Herb, § BDSG Rn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
133
sind. Demgegenüber kann nicht von einem generellen Erhebungswillen des Betreibers bzgl. aller Daten, die in einer Online-Kommunikation anfallen, ausgegangen werden.⁴⁹⁰ Insoweit liegt keine Datenerhebung im datenschutzrechtlichen Sinne vor.
(2) Profilbildung Aber auch die „aufgedrängten Daten“ fallen dann in den Anwendungsbereich der Datenschutzgesetze, wenn sie in die Datenanalyse einbezogen werden.⁴⁹¹ Die Datenanalyse ist Datennutzung gem. § 3 V BDSG i.V.m. § 12 III TMG,⁴⁹² definiert als jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Dieser Auffangtatbestand greift ein, wenn die Daten in zielgerichteter Weise verwendet werden.⁴⁹³ Die Profilbildung selbst, also das zielgerichtete Zusammenführen von personenbezogenen Daten unter einem bestimmten Kriterium, ist ebenfalls vom Datenschutzrecht erfasst. Durch das Zusammenführen der Daten in eine neue Datei werden die Daten ihrem bisherigen Kontext entnommen und in einen neuen eingestellt. Durch dieses Verknüpfen der Daten entsteht ein neuer Informationswert, so dass eine inhaltliche Umgestaltung gegeben ist.⁴⁹⁴ Auch wenn das einzelne Datum nicht verändert wird, führt damit der neue Informationsgehalt zu einer Veränderung i.S.d. § 3 IV 2 Nr. 2 BDSG, da die Gesamtinformation mehr ist als die Summe der Teilinformationen.⁴⁹⁵
(3) Profilnutzung Die Verwendung der Daten für Werbezwecke fällt als zweckgerichteter Gebrauch unter den Begriff der Datennutzung gem. §§ 4 I, 3 V BDSG i.V.m. § 12 III TMG.⁴⁹⁶ Bei der Datenweitergabe an Dritte handelt es sich um den Tatbestand des Übermittelns i.S.d. §§ 4 I, 3 IV 2 Nr. 3 BDSG i.V.m. § 12 III TMG.⁴⁹⁷
Simitis-Dammann, § Rn. . Wolff/Brink-Schild, § BDSG Rn. ; Plath-Schreiber, § BDSG Rn. . Bergmann/Möhrle/Herb, § BDSG Rn. . Gola/Schomerus, § Rn. ; Plath-Schreiber, § BDSG Rn. ; Wolff/Brink-Schild, § BDSG Rn. . Gola/Schomerus, § Rn. . Schwenke, Individualisierung, S. Fn. ; Wittig, RDV , , ; Simitis-Dammann, § Rn. ; Wolff/Brink-Schild, § BDSG Rn. ; Taeger/Gabel-Buchner, § BDSG Rn. . Gola/Schomerus, § Rn. ; Däubler et al.-Weichert, § Rn. . Plath-Schreiber, § BDSG Rn. ; Gola/Schomerus, § Rn. .
134
Kapitel 3 Deutschland
bb) Personenbezogene Daten Das deutsche Datenschutzrecht findet gem. § 1 I BDSG, § 11 I 1 TMG Anwendung auf Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 I BDSG). Darin spiegelt sich das Schutzkonzept des Datenschutzrechts, bei dem es nicht um den Schutz der Daten an sich, sondern um den der Persönlichkeit geht.⁴⁹⁸
(1) Einzelangaben über persönliche oder sachliche Verhältnisse Nach § 3 I BDSG müssen die Einzelangaben, also Angaben zu einer einzelnen, natürlichen Person,⁴⁹⁹ Aussagen über persönliche oder sachliche Verhältnisse dieser treffen. Erfasst werden also nicht nur Daten, die ihrer Natur nach personenbezogen sind, wie Daten bezüglich menschlicher Eigenschaften, sondern auch Daten über Sachen, die personenbezogen sind, wie das Kfz-Kennzeichen.⁵⁰⁰ Vom Anwendungsbereich ausgenommen werden anonymisierte Daten wie Statistiken, die aus der Analyse aggregierter Daten aller oder eines Teils der Nutzer entstehen.⁵⁰¹ Die Datenweitergabe über „Insights“⁵⁰² fällt somit nicht in den Anwendungsbereich der Datenschutzgesetze, solange die Trennung von Datum und Person gewährleistet ist. Werden statistische Daten wiederum einem Individualprofil zugefügt, ist das daraus generierte Wissen über den Betroffenen wieder eine Einzelangabe.⁵⁰³ Dabei ist es ohne Bedeutung, ob die gefundene Einordnung, Prognose oder Wahrscheinlichkeitsangabe zutreffend ist.⁵⁰⁴
(2) Bestimmte oder bestimmbare natürliche Person Gem. § 3 I BDSG müssen sich die Einzelangaben auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ein Personenbezug besteht, wenn die Daten mit dem Namen verbunden sind oder sich der Bezug aus dem Inhalt oder dem Kontext unmittelbar herstellen lässt.⁵⁰⁵
Gola/Schomerus, § Rn. ; Plath-Schreiber, § BDSG Rn. ; Bergmann/Möhrle/Herb, § BDSG Rn. . Gola/Schomerus, § Rn. . Gola/Schomerus, § Rn. ; Simitis-Dammann, § Rn. , . Bergmann/Möhrle/Herb, § BDSG Rn. ; Gola/Schomerus, § Rn. . Siehe oben: Teil , Kap. , C., III., . Gola/Schomerus, § Rn. ; Roßnagel-Scholz, Hdb. Datenschutzrecht, . Rn. ; Däubler et al.-Weichert, § Rn. . Däubler et al.-Weichert, § Rn. . Plath-Schreiber, § BDSG Rn. ; Gola/Schomerus, § Rn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
135
Unproblematisch ist dies bei den Daten der Fall, die von Facebook-Mitgliedern auf der Facebook-Plattform oder auf Drittseiten mit Single-Sign-On-Verfahren⁵⁰⁶ erhoben werden, da sie über das Nutzerkonto mit dem Namen des angemeldeten Nutzers unmittelbar verbunden sind. Bei Daten, die außerhalb der Facebook-Plattform auf Webseiten Dritter erhoben werden, ist zu prüfen, ob ein Personenbezug besteht. Eine natürliche Person ist bestimmbar i.S.v. § 3 I BDSG, wenn sie mit Hilfe weiterer Informationen und Zusatzwissen ohne unverhältnismäßigen Aufwand mit dem erhobenen Datum eindeutig in Verbindung gebracht werden kann.⁵⁰⁷ Gem. Art. 2 lit. a HS 2 DSRL wird eine Person als bestimmbar angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere auch durch Zuordnung zu einer Kennnummer oder einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.
(a) Eingeloggte Mitglieder Im Vergleich zu anderen Webtracking-Diensten steht Sozialen Netzwerken unabhängig von Cookies und damit geräteübergreifend die Möglichkeit zur Verfügung, ihren Mitgliedern eindeutige Nutzerkennnummern zuzuordnen (Nutzer-/ Facebook-ID). Diese ID erlaubt es Facebook, über die Einbindung von Elementen des Sozialen Netzwerks wie Pixel-Tags oder Social Plugins auf Drittseiten, eingeloggte Mitglieder auch außerhalb der eigenen Plattform zu erkennen und ihr Nutzungsverhalten zu protokollieren.⁵⁰⁸ Diese für Soziale Netzwerke spezifische Möglichkeit des Nutzer-Trackings unterfällt aufgrund der eindeutigen Identifizierung der Mitglieder über die Nutzer-ID dem Datenschutzrecht. Zudem lässt sich ein Personenbezug für Aufrufe verbundener Webseiten innerhalb einer Browser-Session herstellen, sofern sich das Mitglied während einer Session einmal beim Sozialen Netzwerk angemeldet hat. Für diesen Zeitraum⁵⁰⁹ ist dem Nutzer eine bestimmte IP-Adresse zugewiesen, die nach einmaliger (auch nur kurzzeitiger Anmeldung) mit dem Mitgliedskonto verbunden werden kann.⁵¹⁰
Siehe oben: Teil , Kap. , C., I., ., d). Krüger/Maucher, MMR , , ; Däubler et al.-Weichert, § Rn. . Siehe oben: Teil , Kap. C., I., ., b), c); Rodgers, adexchanger . . ; LG Düsseldorf, Urt. v. . . – Like Button. Dieser Zeitraum kann bis zu Stunden betragen. Schließt ein Internetnutzer seinen Browser nicht, findet in der Regel eine Zwangstrennung nach Stunden statt, s. Sonnleithner, ITRB , . Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. .
136
Kapitel 3 Deutschland
(b) Ausgeloggte Mitglieder Wie oben erläutert,⁵¹¹ wird bei der Eröffnung eines Nutzerkontos bei Facebook ein datr-Cookie auf dem Endgerät des Nutzers hinterlegt, das die eindeutige Nutzer-ID speichert.⁵¹² Ruft das Mitglied eine Webseite mit einem Social Plugin oder PixelTag auf, werden u. a. die im Cookie gespeicherten Daten, also auch die FacebookID an Facebook übermittelt. Auf diese Weise ist eine eindeutige Zuordnung der Daten auch bei einem ausgeloggten Nutzer möglich, so dass es sich bei den auf diese Weise erhobenen Daten um personenbezogene Daten handelt.⁵¹³ Sofern das Mitglied Cookies nicht regelmäßig löscht, können Betreiber Sozialer Netzwerke auf diese Weise über jeden Aufruf einer externen Webseite mit eingebundenem Social Plugin oder Pixel-Tag ihrer Nutzer informiert sein.⁵¹⁴ Facebook hat sich mittlerweile dazu verpflichtet, die Browser-Cookie-Daten aus den Logfiles der Social Plugins zu entfernen, die eine Verbindung mit dem Nutzerkonto ermöglichen,⁵¹⁵ so dass der Nutzer nicht mehr auf diesen Wegen bestimmbar ist.
(c) Nicht-Mitglieder Ungeklärt ist, ob Soziale Netzwerke die Identität von Nicht-Mitgliedern bestimmen können. Wie oben beschrieben,⁵¹⁶ wird, wenn ein Internetnutzer Facebook.com besucht oder eine Seite, die Facebook-Open Graph nutzt, auf dem Endgerät des Nicht-Mitglieds für die Dauer von zwei Jahren ein datr-Cookie mit einer eindeutigen Kennnummer (Cookie-ID) hinterlegt, die den Nutzer individualisiert. So werden Facebook bei jedem Aufruf einer Seite, die mit dem Sozialen Netzwerk verbunden ist etwa durch Pixel-Tags oder die Einbindung eines Social Plugins wie dem Like Button, Logfile-Daten übermittelt.⁵¹⁷ Davon umfasst sind Datum, Uhrzeit und Dauer der Benutzung, die Referrer-URL,⁵¹⁸ IP-Adresse, technische Daten über Standort und Art des benutzten Browsers sowie das Betriebssystem⁵¹⁹ und in
Siehe oben: Teil , Kap. , C., I., ., a). HmbBfDI, Prüfbericht Facebook Cookies, S. ; IDPC, Facebook Audit, S. und Anhang S. ff.; WD LT SH, Facebook-Kampagne, S. ; Maisch, ITRB , , ; SH LT, Umdruck / , S. . IDPC, Facebook Audit, S. ; Karg/Thomsen, DuD , , ; Polenz, VuR , , ; LG Düsseldorf, Urt. v. . . – Like Button. Roosendaal, in: Guthwirth et al., Good Health, S. . IDPC, Facebook Audit, S. . Siehe oben: Teil , Kap. , C., I., ., a). Siehe oben: Teil , Kap. , C., I., ., a). Zum Begriff siehe oben: Teil , Kap. , C., I., ., b). Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
137
Cookies gespeicherte Nutzungsdaten. Fraglich ist, ob diese Daten ausreichen, um einen Personenbezug herstellen zu können.
(aa) Bestimmbarkeit der Person über Cookies Die Identität von Nicht-Mitgliedern ist für Soziale Netzwerke nicht unmittelbar bestimmt, sobald diese mit Tracking-Tools in Berührung kommen, da es mangels Registrierung beim Sozialen Netzwerk an einer namentlichen Zuordnung fehlt. Ob der Betroffene dennoch auf andere Weise bestimmbar ist, hängt davon ab, ob sich die mit Hilfe von Cookies erstellbaren Nutzungsprofile derart verdichtet haben, dass eine Bestimmbarkeit des Betroffenen nicht mehr ausgeschlossen werden kann.⁵²⁰ Wie der eingangs beschriebene Fall der Witwe aus Lilburn, USA⁵²¹ gezeigt hat, besteht grundsätzlich die Möglichkeit, aus einer Kombination der Standortdaten und der besuchten Webseiten auf die Identität der dahinterstehenden Person zu schließen. Facebook kann Nicht-Mitglieder mit Hilfe der im datr-Cookie hinterlegten eindeutigen ID bei jedem Aufruf einer mit dem Sozialen Netzwerk verbundenen Seite eindeutig wiedererkennen.⁵²² Da in den Cookies neben den Logfiles weitere Informationen über die Seitennutzung durch den Besucher gespeichert werden können,⁵²³ ist es Facebook möglich, Nutzerprofile zu erstellen, die über Standortdaten und besuchte Webseiten hinausgehen. Die Identifizierung eines Nicht-Mitglieds ist deshalb nicht ausgeschlossen.
(bb) Bestimmbarkeit der Person über Logfiles Eine Bestimmbarkeit könnte sich aber auch allein aus den Logfiles ergeben, also auch dann bestehen, wenn andere Identifizierungsmechanismen etwa durch das regelmäßige Löschen von Cookies fehlen sollten. In Literatur und Rechtsprechung wurde ausführlich darüber gestritten, ob allein über die IP-Adresse ein Personenbezug hergestellt werden kann.⁵²⁴ Bei IP-
Taeger/Gabel-Buchner, § BDSG Rn. ; Karg/Thomsen, DuD , , . Barbaro/Zeller, N. Y. Times . . ; Ohm, UCLA L. Rev. , (). Weitere Fälle sind beschrieben bei Mayer-Schönberger/Cukier, Big Data, S. . Siehe oben: Teil , Kap. , C., I., ., a). Siehe oben: Teil , Kap. , C., I., ., a). Bergmann/Möhrle/Herb, § BDSG Rn. a, Spindler/Schuster-Spindler/Nink, § TMG Rn. . Von einer h.M. kann bei diesem Streit nicht gesprochen werden. Auch findet sich in der Rechtsprechung kein höchstrichterliches Votum zu dieser Frage. Das z.T. in die Richtung der objektiven Betrachtungsweise verstandene Urteil des EuGH . . , Rs. C‑/, Slg. I-
138
Kapitel 3 Deutschland
Adressen⁵²⁵ handelt es sich um Gerätekennungen von Endgeräten wie Servern, Clients oder Peripheriegeräten, die mit dem Internet verbunden sind.⁵²⁶ Die IPAdresse wird dem Endgerät durch Access- oder Service-Provider zugewiesen, der dem Benutzer im Rahmen eines Vertragsverhältnisses einen Internetanschluss zur Verfügung stellt (zum Beispiel Deutsche Telekom AG).⁵²⁷ Aus technischer Sicht sind zwei Arten von IP-Adressen zu unterscheiden, nämlich statische und dynamische. Wie sich schon dem Namen entnehmen lässt, ist eine statische IP-Adresse eine feste Adresse, mit der sich ein Rechner bei der Kommunikation im Internet identifiziert. Bislang sind die statischen IP-Adressen dem professionellen Bereich vorbehalten. Sollte sich das Internet-Protokoll Version 6 (IPv6) durchsetzen,⁵²⁸ bei dem die Adressierung aus 128 Bit anstelle der heute üblichen 32 Bit besteht,⁵²⁹ ist jedoch eine flächendeckende Anwendung statischer IP-Adressen absehbar.⁵³⁰ Bislang vergeben Service-Provider allerdings im privaten Bereich überwiegend eine dynamische IP-Adresse pro Wählverbindung (Session). Für die Frage nach dem Personenbezug kommt es nach der absoluten Betrachtungsweise lediglich auf die objektiv bestehende technische Möglichkeit der Bestimmbarkeit an.⁵³¹ Da der Service-Provider anhand der von ihm geführten Bestands- und Verbindungsdaten wie dem Namen und der Adresse einen Bezug zwischen der dynamischen IP-Adresse und dem Nutzer herstellen kann, ist die IPAdresse nach dieser Ansicht ein personenbezogenes Datum.⁵³² Dadurch sind nach der absoluten Betrachtungsweise auch die über Logfiles erstellen Profile generell personenbeziehbar.⁵³³ Dieser Ansicht schließt sich die DS-GVO in Erwägungsgrund 26 an.⁵³⁴
= K&R , – Scarlet Extended bezog sich jedoch auf den Access-Provider, für den der Personenbezug der IP-Adresse nach beiden Ansichten zu bejahen ist. hat der BGH dem EuGH die Frage zur Klärung vorgelegt, BGH GRUR , – Speicherung dynamischer IP-Adressen. IP steht für Internet Protokol. Prevezanos, Computer Lexikon , IP. Maisch, ITRB , , ; Meyerdierks, MMR , . Zur aktuellen Verbreitung und Entwicklungsmöglichkeiten s. Ermert, Heise . . . Prevezanos, Computer Lexikon , IPv. Achtruth, Social Networks, S. f.; WD LT SH, Facebook-Kampagne, S. ; Maisch, ITRB , , . AG Berlin Mitte K&R , , – Datenspeicherung; LG Berlin MMR , , – IP-Adressen; Art. WP, WP , S. ; Wolff/Brink-Schild, § BDSG Rn. ; Däubler et al.Weichert, § Rn. . AG Berlin-Mitte K&R , , – Datenspeicherung; LG Berlin MMR , , – IP-Adressen; VG Wiesbaden DuD , , – Informationsfreiheit; LG Düsseldorf, Urt. v. . . – Like Button; Düsseldorfer Kreis, Beschluss . . ; Krüger/Maucher, MMR , ; WD LT SH, Facebook-Kampagne, S. ; Meyerdierks, MMR , , . WD LT SH, Facebook-Kampagne, S. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
139
Nach der relativen Betrachtungsweise kommt es dagegen für die Bestimmbarkeit auf die Kenntnis, Mittel und Möglichkeiten der speichernden Stelle an. Sie muss den Bezug mit den ihr verfügbaren Mitteln und ohne unverhältnismäßigen Aufwand herstellen können.⁵³⁵ Aus Sicht der relativen Betrachtungsweise lässt sich die Frage, ob die IP-Adresse ein personenbezogenes Datum ist, nicht einheitlich beantworten, sondern ist für jede speichernde Stelle im konkreten Einzelfall zu überprüfen.⁵³⁶ Facebook stehen nicht die Informationen der AccessProvider zur Verfügung, weshalb der Personenbezug nach dieser Ansicht verneint wird. Weitgehend unberücksichtigt bleibt bei der Diskussion der Umstand, dass nicht alleine die IP-Adresse in Logfiles gespeichert wird, sondern sich die Bestimmbarkeit aus der Kombination mit den weiteren Logfile-Daten ergeben kann. So können Webseiten-Besucher über einen Abgleich bestimmter, automatisch beim Seitenaufruf zugehender Daten wie der IP-Adresse, der Browserkennung und des Betriebssystems sowie der akzeptierten Sprache mit den Daten vorheriger Besuche wiedererkannt werden (Browserfingerprint).⁵³⁷ Diese dem Betreiber passiv zugehenden Daten können durch weitere Daten wie der Bildschirmauflösung, der verwendeten Browsererweiterungen (Plugins wie Adobe Flash oder Microsoft Silverlight) und der Zeitzone ergänzt werden, etwa über im Browser eingebundene Programme in der Programmiersprache Javascript,⁵³⁸ die der interaktiven Ausgestaltung einer Webseite dienen.⁵³⁹ Nach einer Studie sind knapp 93 Prozent der gesammelten Fingerprints mit all ihren Merkmalen einzigartig.⁵⁴⁰ Bei einer ausreichenden Verdichtung der so entstehenden Profile kann auf die Identität des Betroffenen geschlossen werden.⁵⁴¹
Buchner, DuD , , . AG München K&R , – IP-Adressen; OLG Hamburg K&R , – kein Beweisverwertungsverbot IP-Adressen; LG Berlin ZD , , – Dynamische IP-Adressen; Erwägungsgrund DS-GVO; Gola/Schomerus, § Rn. ; Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Simitis-Dammann, § Rn. ; Plath-Schreiber, § BDSG Rn. ; Roßnagel-Tinnefeld, Hdb. Datenschutzrecht, S. Rn. ; Meyerdierks, MMR , ; Merati-Kashani, Datenschutz, S. f.; Kirchberg-Lennartz/Weber, DuD , , . Gola/Schomerus, § Rn. a; Simitis-Dammann, § Rn. . LG Frankfurt a.M. CR , , – Piwik;Tillmann, Browserfingerprinting, S. ff.; ULD, Piwik, S. f.; Karg/Kühn, ZD , , . Karg/Kühn, ZD , , ; Tillmann, Browserfingerprinting, S. ff. Prevezanos, Computer Lexikon , JavaScript. Tillmann, Browserfingerprinting, S. ; Karg/Kühn, ZD , , . Zur Nutzung durch Facebook s. Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?; Facebook, Cookies-Richtlinie. Karg/Kühn, ZD , , ; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. .
140
Kapitel 3 Deutschland
Mittlerweile hat sich Facebook dazu verpflichtet, die IP-Adresse von NichtNutzern und ausgeloggten Nutzern in den Logfiles von Social Plugins nur noch als generische, d. h. um die letzten beiden Ziffernblöcke gekürzte IP-Adressen zu speichern,⁵⁴² so dass der Seitenbesucher nicht mehr auf diesen Wegen bestimmbar sein soll. Für die Wiedererkennbarkeit ist die IP-Adresse aber nicht zwingend erforderlich,⁵⁴³ so dass auch bei generischen IP-Adressen ein Personenbezug herstellbar ist.
cc) Ergebnis Im Ergebnis können also grundsätzlich die Daten, die Facebook erhebt und verarbeitet, für das Unternehmen auch personenbezogen sein und somit in den sachlichen Anwendungsbereich der deutschen Datenschutzgesetze fallen, § 1 II BDSG i.V.m. § 3 I BDSG, §§ 11 I, 12 III TMG i.V.m. § 3 I BDSG. Eine Ausnahme bilden lediglich die Daten, die über Tracking-Technologien von ausgeloggten Mitgliedern oder Nicht-Mitgliedern erlangt werden, solange ihre Profile sich noch nicht derart verdichtet haben, dass eine Identifizierung möglich ist. Nicht erfasst sind ferner statistische Daten.
II. Datenschutzrechtliche Anforderungen an Profile Sozialer Netzwerkseiten Die §§ 12 I TMG, 4 I BDSG normieren für die Verwendung von personenbezogenen Daten den für das EU-Datenschutzrecht⁵⁴⁴ prägenden Grundsatz des Verbots mit Erlaubnisvorbehalt.⁵⁴⁵ Danach ist jede Datenverwendung grundsätzlich verboten, sofern nicht ein gesetzlicher Erlaubnistatbestand eingreift oder eine Einwilligung des Betroffenen vorliegt. Im folgenden Abschnitt wird deshalb untersucht, ob für die Profilbildung und ‐nutzung durch Soziale Netzwerke ein datenschutzrechtlicher Erlaubnistatbestand eingreift. Soweit dies nicht der Fall ist, werden die Voraussetzungen für eine datenschutzkonforme Einwilligung des Betroffenen dargestellt.
IDPC, Facebook Audit, S. . Tillmann, Browserfingerprinting, S. . Art. DSRL. Gola/Schomerus, § Rn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
141
1. Vorgaben des TMG Die datenschutzrechtlichen Vorschriften für Telemedien befinden sich im vierten Abschnitt des TMG (§§ 11– 15a TMG). Da in anderen Rechtsvorschriften keine Normen existieren, die sich ausdrücklich auf Telemedien beziehen, sind die Erlaubnistatbestände §§ 14, 15 TMG derzeit abschließend.⁵⁴⁶ Für die Bildung pseudonymer Nutzungsprofile bildet § 15 III TMG einen speziellen Erlaubnistatbestand, der in anderen EU-Mitgliedsstaaten nicht besteht.⁵⁴⁷
a) Spezielle Anwendungsvoraussetzung des TMG: Anbieter-Nutzer-Verhältnis In der Literatur wird z.T. allein aufgrund der Tatsache, dass Third-Party-Tools Nutzungsdaten erheben, die nach § 15 I 2 TMG spezialgesetzlich geregelt sind,⁵⁴⁸ das TMG zur Anwendung gebracht, ohne allerdings das Bestehen eines AnbieterNutzer-Verhältnisses zu prüfen.⁵⁴⁹ Wie sich im Umkehrschluss aus § 11 I TMG und seiner amtlichen Überschrift entnehmen lässt, ist ein Anbieter-Nutzer-Verhältnis jedoch Anwendungsvoraussetzung des TMG, d. h., eine natürliche Person⁵⁵⁰ muss einen Telemediendienst eines Anbieters in Anspruch nehmen.⁵⁵¹
aa) Anbieter-Nutzer-Verhältnis bei Third-Party-Tools Während die erforderliche Anbieter-Nutzer-Beziehung fraglos vorliegt, wenn Mitglieder die Facebook-Plattform oder das Single-Sign-on-Verfahren nutzen, besteht bei Third-Party-Tools wie Pixel-Tags oder Social Plugins große Rechtsunsicherheit.⁵⁵²
(1) Anbieter von Third-Party-Tools Diensteanbieter ist gem. § 2 Nr. 1 HS 1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Bei Analyse-Tools wie „Google Analytics“ werden die Webseitenbetreiber, die das Tool auf ihrer Webseite einbinden, von den Daten-
Taeger/Gabel-Moos, § TMG Rn. , . Bosco et al., in: Gutwirth/Leenes/Hert, Reforming DPL, S. . Ausführlich dazu siehe unten Teil , Kap. , C., II., ., b), aa), (). Bspw. Achtruth, Social Networks, S. ; Piltz, CR , , . Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Taeger/Gabel-Moos, § TMG Rn. . Kamp, Personenbewertungsportale, S. . Ott, K&R , , ; Steidle/Pordesch, DuD , , ; Schleipfer, DuD , , ; Zeidler/Brüggemann, CR , , ; Venzke, DuD , , .
142
Kapitel 3 Deutschland
schutzbehörden als Anbieter angesehen, die Tool-Betreiber dagegen als Auftragsdatenverarbeiter nach § 11 BDSG.⁵⁵³ Da die Datenerhebung im Auftrag des Seitenbetreibers erfolgt, wird das Analysetool ihm zugerechnet; Seitenbetreiber und Tool-Betreiber werden insoweit als Einheit angesehen.⁵⁵⁴ Damit soll das erforderliche Anbieter-Nutzer-Verhältnis zwischen dem Seitenbetreiber und dem Seitenbesucher vorliegen. Im Fall der Third-Party-Tools von Facebook liegt allerdings kein ADV-Verhältnis vor.⁵⁵⁵ Der Seitenbetreiber und Facebook können insoweit nicht als Einheit begriffen werden. Facebook nutzt die Daten für eigene Zwecke und auch das konstitutive Schriftformerfordernis (§ 11 I 1 BDSG i.V.m. § 125 BGB) ist nicht erfüllt. Anbieter der Third-Party-Tools ist Facebook und nicht der Seitenbetreiber.⁵⁵⁶
(2) Seitenbesucher als Nutzer des Third-Party-Tools In dieser Konstellation, in der Seitenbetreiber und Tool-Anbieter mangels eines ADV-Verhältnisses nicht als Einheit angesehen werden können, ist umstritten, ob für die Begründung eines Anbieter-Nutzer-Verhältnisses zwischen dem Tool-Anbieter und dem Seitenbesucher ein Nutzungswillen des Seitenbesuchers in Bezug auf das Third-Party-Tool vorliegen muss. Ein solcher Nutzungswillen des Seitenbesuchers kann nicht ohne Weiteres angenommen werden, da der Seitenbesucher zwar die Webseite nutzen möchte, nicht aber in jedem Fall Social Plugins Dritter.⁵⁵⁷ Nach einer Ansicht ist es für die Begründung des Anbieter-Nutzer-Verhältnisses ausreichend, wenn der Seitenbesucher das Social Plugin zur Kenntnis nehmen kann. Eine Interaktion sei nicht erforderlich.⁵⁵⁸ Danach besteht auch ohne einen ADV-Vertrag das erforderliche Anbieter-Nutzer-Verhältnis bei ThirdParty-Tools, die für den Seitenbesucher eine eigene Funktionalität bieten. Gegen diese Ansicht spricht, dass andere Tracking-Tools unabhängig von ihrer Sicht- und Nutzbarkeit für den Seitenbesucher dem TMG zugeordnet werden.⁵⁵⁹
ULD, Google Analytics, S. f.; HmbBfDI, Google Analytics; Bauer/Greve/Hopf, Online Targeting, S. . A.A. Art. WP,WP , die aufgrund der weiten Entscheidungsmacht der AnalyseTool-Anbieter von einer rechtfertigungsbedürftigen Datenübermittlung ausgeht, S. . Erklärung bei Ott, K&R , , , der die Voraussetzungen eines ADV jedoch ablehnt. Siehe oben: Teil , Kap. C., I., ., b), aa), (). Dies ist im Ergebnis unstreitig. Umstritten ist nur, ob eine Mitverantwortung der Webseitenbetreiber besteht. Dafür: ULD, Reichweitenanalyse, S. . Dagegen: WD LT SH, FacebookKampagne, S. f.; Schleipfer, DuD , , . Schleipfer, DuD , , . Schleipfer, DuD , , ; Zeidler/Brüggemann, CR , , ; Spindler/SchusterSpindler/Nink, § TMG Rn. ; Plath-Hullen/Roggenkamp, § TMG Rn. . ULD, Piwik, S. ; ULD, Google Analytics, S. f.; HmbBfDI, Google Analytics.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
143
Dies gilt beispielsweise für vom Webseitenbetreiber selbstgenutzte Tracking-Tools wie das für den Seitenbesucher nicht sichtbare Analysetool „Piwik“, das detaillierte Statistiken über die Besucher einer Seite erstellt und neben den LogfileInformationen u. a. Daten zur benutzten Suchmaschine, Suchbegriffen und benutztem Browser erfasst.⁵⁶⁰ Beim Bestehen eines ADV-Verhältnisses werden auch Third-Party-Tools wie „Google Analytics“ nach dem TMG bewertet.⁵⁶¹ Weder Sichtnoch Nutzbarkeit der Tools sind damit entscheidend für die Annahme eines Anbieter-Nutzer-Verhältnisses. Nach dem Sinn und Zweck des Datenschutzrechts, dem Betroffenen grundsätzlich eine selbstbestimmte Entscheidung zu ermöglichen,⁵⁶² kommt es vielmehr darauf an, ob der Betroffene bewusst und gewollt in ein Nutzungsverhältnis eingetreten ist.⁵⁶³ Der Einzelne muss grundsätzlich abschätzen können, wer wann was über ihn weiß.⁵⁶⁴ § 15 III TMG eröffnet dem Betreiber die Möglichkeit, pseudonyme Nutzungsprofile anzulegen und räumt dem Betroffenen insoweit lediglich ein Widerspruchsrecht ein. Nach dem BDSG ist dagegen eine Einwilligung erforderlich, § 4 I BDSG. Diese Privilegierung lässt sich nur vor dem Hintergrund eines bewusst und gewollt eingegangenen Nutzungsverhältnisses rechtfertigen.⁵⁶⁵ Bei Social Plugins auf Webseiten Dritter geht ein Seitenbesucher bewusst und gewollt ein Nutzungsverhältnis mit dem Anbieter des Social Plugins ein, wenn er es anklickt. In diesem Fall kommt das TMG zur Anwendung.⁵⁶⁶ Betätigt der Seitenbesucher das Social Plugin jedoch nicht, liegt kein privilegierungswürdiges Nutzungsverhältnis vor, so dass das BDSG anzuwenden ist.⁵⁶⁷
bb) Ergebnis Das bedeutet im Ergebnis, dass bei Third-Party-Tools das TMG in zwei Konstellationen anwendbar ist: Zum einen, wenn ein ADV-Verhältnis vorliegt, da der ToolAnbieter hier nur im Auftrag des Seitenbetreibers handelt, mit dem der Seiten-
ULD, Piwik, S. . ULD, Google Analytics, S. f.; HmbBfDI, Google Analytics. Siehe oben: Teil , Kap. , B., III., . Ott, K&R , , ; Steidle/Pordesch, DuD , , . BVerfGE , , – Volkszählungsurteil; siehe oben: Teil , Kap. ., B., III., ., a), aa), (). Ott, K&R , , . Splittgerber-ders., Kap. Rn. . Splittgerber-ders., Kap. Rn. . So in Bezug auf „Google Analytics“ Ott, K&R , , ; Steidle/Pordesch, DuD , , .
144
Kapitel 3 Deutschland
besucher bewusst ein Nutzungsverhältnis eingegangen ist.⁵⁶⁸ Zum anderen, wenn der Seitenbesucher mit dem Tool des Drittanbieters interagiert und so bewusst und gewollt in ein Nutzungsverhältnis mit dem Tool-Anbieter selbst eintritt. Liegt keine der beiden Voraussetzungen vor, ist das BDSG anzuwenden.⁵⁶⁹
b) Pseudonyme Nutzungsprofile nach § 15 III TMG Besteht ein Anbieter-Nutzer-Verhältnis, ermöglicht das TMG dem Betreiber des Telemediendienstangebots nach § 15 III TMG die Erstellung und Nutzung pseudonymer Nutzungsprofile für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien, sofern der Nutzer dem nicht widerspricht.⁵⁷⁰
aa) Erfasste Datenarten Dem Gesetz nach lassen sich die Daten zur Bereitstellung von Telemedien in Bestands-, Nutzungs- und Abrechnungsdaten einteilen, wobei hier wegen der Unentgeltlichkeit der Dienste nur die ersten beiden von Interesse sind. Im Zuge der Nutzung sozialer Netzwerkseiten im Internet fallen jedoch noch weitere Daten an, die mit Hilfe des Telemediendienstes übermittelt werden, nämlich die Daten, die den Inhalt transportieren, kurz Inhaltsdaten. Im Gesetz fehlt es an einer Legaldefinition des Begriffs des Nutzungsprofils. Ausgehend von einem einheitlichen Sprachgebrauch des Gesetzes muss für die Bildung von Nutzungsprofilen die Verwendung von Nutzungsdaten zulässig sein, die bei der Verwendung von Multimediadiensten entstehen.⁵⁷¹ Nutzungsdaten sind deshalb bei unentgeltlicher Dienstenutzung von Bestands- und Inhaltsdaten abzugrenzen.
Ott, K&R , , ; Steidle/Pordesch, DuD , , ; Splittgerber-ders., Kap. Rn. . Splittgerber-ders., Kap. Rn. . Auf unionsrechtlicher Ebene ergeben sich die gleichen Grundsätze aus Art. , und DSRL, s. Art. WP, WP , S. f. Fröhle, Web Advertising, S. f.; Lange, BB , , ; Schaar, DuD , , ; Rasmussen, CR , , ; Schaar, Datenschutz, S. Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
145
(1) Bestandsdaten Bestandsdaten sind gem. § 14 I TMG personenbezogenen Daten des Nutzers, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen Anbieter und Nutzer verwendet werden.⁵⁷² Bei Sozialen Netzwerken sind die obligatorisch anzugebenen Login-Daten – Benutzername, Passwort und die E-Mail-Adresse – Bestandsdaten, da diese Daten für die unentgeltliche Vertragsabwicklung abstrakt geeignet und erforderlich sind.⁵⁷³ Das insoweit erforderliche Vertragsverhältnis zwischen Anbieter und Nutzer besteht⁵⁷⁴ bei einer Plattformnutzung, die – wie bei Facebook und anderen Sozialen Netzwerken – nur mit einer Registrierung und Einwilligung in die Nutzungsbedingungen möglich ist, da sich darin der nötige Rechtsbindungswille manifestiert.⁵⁷⁵ Problematisch ist die Wirksamkeit des Vertrags bei minderjährigen Nutzern. Kinder und Jugendliche im Alter von sieben bis achtzehn Jahren sind gem. § 106 BGB beschränkt geschäftsfähig und bedürfen gem. § 107 BGB zur Wirksamkeit der von ihnen abgegebenen Willenserklärungen für Rechtsgeschäfte, die nicht lediglich rechtlich vorteilhaft sind, grundsätzlich der Zustimmung des gesetzlichen Vertreters.⁵⁷⁶ Im Rahmen der Mitgliedschaft in einem Sozialen Netzwerk werden durch die Nutzungsbedingungen Pflichten begründet und das Recht auf informationelle Selbstbestimmung des Nutzers eingeschränkt.⁵⁷⁷ Die Mitgliedschaft ist damit nicht lediglich rechtlich vorteilhaft, so dass die Willenserklärung nicht gem. § 107 BGB ausnahmsweise auch ohne die Zustimmung des gesetzlichen Vertreters wirksam ist.⁵⁷⁸ Umstritten ist, ob durch eine analoge Anwendung des § 110 BGB ein wirksamer Vertragsschluss zur Nutzung eines Sozialen Netzwerks mit Minderjährigen möglich ist.⁵⁷⁹ Es ist nicht ersichtlich, warum für die Datenverarbeitung durch Web 2.0Angebote ein anderes Regelungsbedürfnis als bei Vertragsschlüssen in der OfflineWelt bestehen sollte. Im Gegenteil hat eine Unterschätzung der Folgen einer
Taeger/Gabel-Zscherpe, § TMG Rn. . Tinnefeld/Buchner/Petri, Datenschutzrecht, S. f.; Taeger/Gabel-Zscherpe, § TMG Rn. ; Achtruth, Social Networks, S. ; Karg/Fahl, K&R , , . Zur Einordnung des Vertrags werden verschiedene Ansichten vertreten: Hoeren/Sieber/ Holznagel-Redeker, . Rn. geht von einem unentgeltlichen Auftragsverhältnis (§§ ff. BGB) aus; Jandt/Roßnagel, MMR , , und Wintermeier, ZD , , von einem Dienstleistungsvertrag (§§ ff. BGB) und Bräutigam, MMR , , von einem Datenüberlassungsvertrag. Achtruth, Social Networks, S. ; Plath-Hullen/Roggenkamp, § TMG Rn. . Palandt-Ellenberger, § Rn. ; Jandt/Roßnagel, MMR , , . Jandt/Roßnagel, MMR , , ; Wintermeier, ZD , , . Jandt/Roßnagel, MMR , , ; Wintermeier, ZD , , . Wintermeier, ZD , , .
146
Kapitel 3 Deutschland
Willenserklärung im Internet potentiell noch weitreichendere Auswirkungen. Mangels Regelungslücke kommt eine analoge Anwendung des § 110 BGB nicht in Betracht. Eine direkte Anwendung scheidet aus, da die Leistung bei einem unentgeltlichen Vertrag nicht mit überlassenen Mitteln wie Geld oder anderen Vermögenswerten bewirkt wird.⁵⁸⁰ Im Ergebnis besteht ohne die Einwilligung der gesetzlichen Vertreter kein wirksames Vertragsverhältnis, d. h. die Erhebung von Bestandsdaten Minderjähriger ist insoweit rechtswidrig.
(2) Nutzungsdaten Ein Nutzungsdatum ist ein Datum, das während der Nutzung des Telemediendiensts anfällt.⁵⁸¹ Was darunter zu verstehen ist, lässt sich der Aufzählung der Regelbeispiele (vgl.Wortlaut „insbesondere“) in § 15 I 2 TMG entnehmen. Nach § 15 I 2 Nr. 1 TMG zählen zu den Nutzungsdaten insbesondere Merkmale zur Identifikation des Nutzers, die wie der Benutzername und das Passwort gleichzeitig auch Bestandsdaten sein können.⁵⁸² Auch Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung fallen nach § 15 I 2 Nr. 2 TMG unter die Definition des Nutzungsdatums, ebenso wie nach § 15 I 2 Nr. 3 TMG Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Erfasst sind also die Logfile-Daten.⁵⁸³
(3) Inhaltsdaten Die übrigen Informationen, die den Betreibern Sozialer Netzwerke über ihre Mitglieder durch die oben beschriebenen Kommunikationsanwendungen, Apps etc.⁵⁸⁴ zur Verfügung stehen, sind Inhaltsdaten.⁵⁸⁵ An einer Legaldefinition fehlt es ebenso wie an einer klaren Zuordnung zum TMG oder BDSG.⁵⁸⁶ Nach einer Ansicht handelt es sich um einen Unterfall der Nutzungsdaten nach § 15 TMG,⁵⁸⁷ nach
Jandt/Roßnagel, MMR , , ; Wintermeier, ZD , , . Plath-Hullen/Roggenkamp, § TMG Rn. ; Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. , . Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. . Eßer/Kramer/v. Lewinski-Schreibauer, § TMG Rn. ; Achtruth, Social Networks, S. . Siehe oben: Teil , Kap. , C., I., ., a), bb). Achtruth, Social Networks, S. f. Bauer, MMR , , ; Taeger/Gabel-Zscherpe, § TMG Rn. ff. Bauer, MMR , , ; Rammos, K&R , , . Zum TDDSG Spindler/Schmitz/ Geis-Schmitz, § TDDSG Rn. ; Hoeren/Sieber/Holznagel-Schmitz, . Rn. ff.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
147
anderer Ansicht erfasst das TMG Inhaltsdaten nicht, so dass der Anwendungsbereich des BDSG eröffnet ist.⁵⁸⁸ Nach dem Wortlaut des § 11 I TMG gelten die Vorschriften des vierten Abschnitts des TMG grundsätzlich für personenbezogene Daten der Nutzer von Telemedien. Gem. § 12 I TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur unter bestimmten Voraussetzungen erheben und verwenden. Nach einer Ansicht begrenzt dieser Wortlaut den Anwendungsbereich auf Daten, die der Bereitstellung des Telemediendienstes dienen.⁵⁸⁹ Der Anwendungsbereich des Datenschutzabschnitts des TMG wird jedoch von § 11 TMG mit der amtlichen Überschrift „Die Vorschriften dieses Abschnitts gelten nicht für […]“ geregelt und damit nicht von § 12 TMG. Aus der Gesetzessystematik ergibt sich, dass die personenbezogenen Daten des Nutzers zumindest im Zusammenhang mit der Nutzung des Telemediums stehen müssen. Bei Online-Formularen dient das Telemedium (Online-Formular auf einer Webseite) der Übertragung der Inhaltsdaten (ausgefüllte Felder) und steht damit im Zusammenhang mit der Nutzung des Telemediendiensts.⁵⁹⁰ Da die beim Ausfüllen anfallenden Nutzungsdaten dem TMG unterfallen, soll dies nach einer Ansicht auch für die Inhaltsdaten gelten, da es sich um einen einheitlichen Lebensvorgang handelt, der sonst künstlich aufgespalten würde.⁵⁹¹ Dies widerspräche der Intention der abschließenden Natur des TMG.⁵⁹² Dagegen wird vorgebracht, dass das Telemedium als Übertragungsmedium austauschbar ist, etwa durch eine schriftliche Kommunikation. Es sei widersprüchlich, bei dem gleichen Kommunikationsvorgang je nach Transportmedium unterschiedliche Voraussetzungen für die Erhebung und Verwendung der Daten zu fordern.⁵⁹³ Dies mag für das Beispiel der Bestellung über ein Online-Formular zutreffen. Anders sieht es jedoch zum Beispiel bei Pinnwandeinträgen, Profildaten u. ä. aus, die gerade nur durch die Nutzung der Webseite des Betreibers dauerhaft für andere sichtbar gemacht werden können. Ein Austausch mit einem OfflineTrägermedium ist nicht denkbar.⁵⁹⁴ Plath-Hullen/Roggenkamp, § TMG Rn. ; Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. ; DSK, Orientierungshilfe „Soziale Netzwerke“, S. ; Karg/Fahl, K&R , , ; Kamp, Personenbewertungsportale, S. ff. Taeger/Gabel-Moos, § TMG Rn. ; Achtruth, Social Networks, S. . Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Bauer, MMR , , ; Taeger/GabelZscherpe, § TMG Rn. . Buchner, DuD , ; Tinnefeld/Buchner/Petri, Datenschutzrecht, S. ; Schüßler, in: Taeger, Digitale Evolution, S. . Bauer, MMR , , . Taeger/Gabel-Zscherpe, § TMG Rn. . Bauer, MMR , , ; Heckmann, jurisPK, Kap. . Rn. .
148
Kapitel 3 Deutschland
Das TMG sieht für Nutzungsdaten in § 13 IV Nr. 2 TMG grundsätzlich eine sofortige Löschungspflicht nach Beendigung der Nutzung vor.⁵⁹⁵ Nutzergenerierte Inhalte müssten demnach sofort, nachdem der Nutzer den Telemediendienst verlassen hat, wieder gelöscht oder versiegelt werden.⁵⁹⁶ Dies widerspricht jedoch der Zielsetzung der Kommunikation, welche die dauerhafte Sichtbarkeit gerade intendiert.⁵⁹⁷ Im Ergebnis fallen Inhaltsdaten also nicht in den Anwendungsbereich des TMG und können damit nicht Bestandteil von Nutzungsprofilen sein. Insoweit ist auf das BDSG zurückzugreifen.
(4) Ergebnis Nutzungsprofile dürfen also weder Inhalts- noch Bestandsdaten erfassen, § 15 III 3 TMG.⁵⁹⁸ Sie sind auf Nutzungsdaten i.S.d. § 15 I TMG beschränkt.
bb) Rechtmäßig erhobene Daten Das Gesetz versteht die Datenerhebung als einen dem Erstellen eines Nutzungsprofils vorgelagerten Schritt. Sie ist also nicht von § 15 III TMG erfasst, sondern nach § 15 I TMG⁵⁹⁹ gesondert zu beurteilen.⁶⁰⁰ Die Erhebung der Nutzungsdaten gem. § 15 I TMG setzt keinen wirksamen Vertrag voraus,⁶⁰¹ sie muss aber erforderlich sein, um die Inanspruchnahme von Telemedien zu ermöglichen. Werden Cookies ausschließlich für die Sicherheit des Dienstes eingesetzt, so ist die Erhebung im dafür erforderlichen Umfang nach § 15 I TMG zulässig. Problematisch ist die Datenerhebung über Tracking-Tools⁶⁰² insbesondere von Drittseiten.⁶⁰³ Art. 5 III Richtlinie RL 2002/58/EG (sog. E‐Privacy-RL) sieht in der
Taeger/Gabel-Zscherpe, § TMG Rn. . Taeger/Gabel-Zscherpe, § TMG Rn. . Kamp, Personenbewertungsportale, S. . A.A. Achtruth, Social Networks, S. . Die Zulässigkeit der Erhebung von Bestandsdaten bestimmt sich nach § I TMG. Dazu Achtruth, Social Networks, S. ff. Eine ENISA-Studie zeigt, dass Soziale Netzwerke, die in Europa zugänglich sind, bei der Registrierung mehr Daten verlangen als für die Durchführung des Vertragsverhältnisses erforderlich sind. So verlangten von untersuchten Netzwerken die Angabe des Geschlechts, s. ENISA, Data collection, S. . Roßnagel-Dix/Schaar, § Rn. ; Hladjk, Online-Profiling, S. ; Schaar, Datenschutz, S. Rn. ; Spindler/Schuster-dies., § TMG Rn. . Taeger-Zscherpe, § TMG Rn. . Die in Logfiles einer Webseite gespeicherten Daten werden nach enger Auslegung schon gar nicht erhoben (siehe oben: Teil , Kap. , C., I., ., b), aa), ()) oder sind zumindest unproble-
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
149
durch Art. 2 RL 2009/136/EG vom 25.11. 2009 geänderten Fassung für Cookies sowie für Browser- und Device-Fingerprinting ein Informations- und Einwilligungserfordernis vor, sofern sie für die Funktion des Dienstes nicht erforderlich sind.⁶⁰⁴ Die Umsetzungsfrist für den sog. „Cookie-Artikel“ ist am 25.05. 2011 abgelaufen, ohne dass der deutsche Gesetzgeber diesbezüglich abschließend tätig geworden wäre.⁶⁰⁵ Die Literatur geht deshalb aufgrund der hinreichenden Bestimmtheit der Norm und dem fehlenden Umsetzungsspielraum des Gesetzgebers entweder von einer direkten Anwendbarkeit⁶⁰⁶ oder zumindest vom Erfordernis einer unionsrechtskonformen Auslegung aus.⁶⁰⁷ Fehlt es an einem ADV-Verhältnis und nimmt man entgegen der hier vertretenden Ansicht⁶⁰⁸ die Anwendbarkeit des TMG dennoch an, ist für die Frage, ob die Datenerhebung im Sinne des Art. 5 III E‐Privacy-RL erforderlich ist, auf den Toolbetreiber abzustellen. Klickt ein Mitglied auf das Social Plugin, so ist für die Funktionalität des Dienstes die Erhebung der Logfile-Daten erforderlich. Findet jedoch keine Interaktion statt, so fehlt es an der Erforderlichkeit, da die Einbindung eines Social Plugins auch ohne automatische Datenerhebung funktioniert, wie die von Heise entwickelte 2-Klick-Lösung zeigt, bei der die Datenübermittlung an Facebook erst nach dem Anklicken der Schaltfläche erfolgt (s. Abb. 7 auf der nächsten Seite).⁶⁰⁹ Die Schaltfläche ist dabei als eine Verlinkung auf das Social Plugin ausgestaltet und weist darüber hinaus keine Funktionalität und keine direkte Verbindung zum Facebook-Server auf. Erst nach dem Betätigen des Links steht dem Nutzer die Funktion des Social Plugins zur Verfügung, die mit der Datenerhebung durch Facebook einhergeht.⁶¹⁰ Eine Rechtfertigung über § 15 I TMG besteht damit nur im Fall der Interaktion mit dem Social Plugin.
matisch für das Anbieten des Telemediendiensts erforderlich, da sie bei der Internetnutzung zwangsläufig anfallen, s. Achtruth, Social Networks, S. . HmbBfDI, Prüfbericht Facebook Cookies, S. ; IDPC, Facebook Audit, S. ff. DSK, Orientierungshilfe „Soziale Netzwerke“, S. ; HmbBfDI, Prüfbericht Facebook Cookies, S. . Zur praktischen Umsetzung der Einwilligungserlangung bei Cookies s. Art. WP, WP . Der Bundesrat brachte einen entsprechenden Änderungsentwurf ein, s. BR-Drs. / . Kritisch dazu: Schröder, ZD , , . Zu den Entwicklungen rund um die E‐Privacy-RL (Stellungnahmen, Selbstverpflichtungsinitiativen etc.) s. Rammos, K&R , , . ULD, . TB, S. ; Polenz, VuR , , . Schröder, ZD , , . Siehe oben: Teil , Kap. , C., II., ., a). Schmidt, c’t . . ; LG Düsseldorf, Urt.v. . . – Like Button. Diese Lösung wird auch vom BfDI als datenschutzgerecht angesehen, s. BfDI, . TB, S. . Schmidt, c’t . . ; Splittgerber-ders., Kap. Rn. .
150
Kapitel 3 Deutschland
Abb. 7 Quelle: Heise, abrufbar unter: http://www.heise.de/ct/artikel/ 2-Klicks-fuer-mehr-Datenschutz-1333879.html.
cc) Begriffsauslegung Nutzungsprofil Da im Gesetz ausdrücklich von Profilen im Plural die Rede ist, dürfen Nutzungsdaten desselben Nutzers aus unterschiedlichen Nutzungsvorgängen der gleichen Seite zusammengeführt werden (Langzeitprofile).⁶¹¹ Aufgrund der Unzulässigkeit umfassender Persönlichkeitsprofile sind die gesetzlichen Vorgaben jedoch restriktiv zu interpretieren.⁶¹² Daraus ergeben sich zwei Vorgaben. Zum einen dürfen nur diejenigen Daten verwendet werden, die bei dem Nutzungsvorgang ohnehin anfallen und deren Erhebung rechtmäßig ist.⁶¹³ An dieser Voraussetzung fehlt es, wie dargestellt, grundsätzlich bei Nutzungsdaten, die für eigene Zwecke über Tracking-Tools auf Drittseiten erhoben werden. Zum anderen stellt § 15 III 1 TMG, wie erläutert,⁶¹⁴ nur eine Erlaubnis für den Diensteanbieter dar, nicht jedoch für Dritte, d. h., nur der jeweilige Diensteanbieter darf die Nutzungsprofile aus der Inanspruchnahme seines eigenen Dienstes erstellen.⁶¹⁵ Für Profile, die ein Werbeserver „anbieterübergreifend“ erstellen möchte, bedarf es der Einwilligung des Betroffenen.⁶¹⁶ Gleiches muss aufgrund der verfassungsmäßig gebotenen Auslegung gelten, wenn der Anbieter mehrerer Dienste das Verhalten eines Nutzers in einem Profil zusammenführen möchte. Das ergibt sich auch aus der Entstehungsgeschichte des § 15 III TMG. Dem Gesetzgeber von 1997 schwebten bei der Schaffung des § 15 III TMG noch wesentlich andere Nutzungsprofile vor als sie nach den heutigen
Hoeren/Sieber/Holznagel-Schmitz, . Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. ; Schaar, DuD , , . Schaar, DuD , , . Eßer/Kramer/v. Lewinski-Schreibauer, § TMG Rn. ; Fröhle, Web Advertising, S. ; Schaar, DuD , , . Siehe oben: Teil , Kap. , C., II., ., a). Roßnagel-ders., Hdb. Datenschutzrecht, . Rn. . Plath-Hullen/Roggenkamp, § TMG Rn. ; Roßnagel-ders., Hdb. Datenschutzrecht, . Rn. ; a.A. Steinhoff, K&R , , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
151
technischen Mitteln möglich sind. Zu dieser Zeit beschränkten sich Nutzungsprofile im Wesentlichen auf die Logfile-Daten einer Webseite, also darauf welche Unterseiten der Nutzer wann und wie lange besucht, welche Links er angeklickt und welche andere Internetseite er zuvor genutzt hat.⁶¹⁷ Facebooks Like Button befand sich 2011 bereits auf knapp 13 Prozent der deutschen Webseiten.⁶¹⁸ Die Daten, die durch das Anklicken von Like Buttons entstehen, lassen umfangreiche Rückschlüsse auf Vorlieben des Nutzers nicht nur zum Thema einer Webseite, sondern potentiell aus allen Lebensbereichen zu. Das Anklicken des Like Buttons erzeugt nicht nur ein Inhaltsdatum („X mag Z“),⁶¹⁹ sondern auch ein Nutzungsdatum („X hat das Social Plugin auf Seite Y angeklickt“),⁶²⁰ das den gleichen inhaltlichen Rückschluss zulässt. Eine Zusammenführung dieser Nutzungsdaten von Like Buttons verschiedener Seiten begründet die Gefahr umfangreicher Persönlichkeitsprofile. Deshalb kann aufgrund der gebotenen verfassungskonformen Auslegung eine diensteübergreifende Nutzungsprofilbildung nicht von der Privilegierung des § 15 III TMG erfasst sein. Zum gleichen Ergebnis kommt die systematische Auslegung: § 15 II TMG erlaubt die Zusammenführung von Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zu Abrechnungszwecken. Das bedeutet im Umkehrschluss, dass die Zusammenführung zu anderen Zwecken der Erlaubnis des Betroffenen bedarf. § 13 IV Nr. 4 TMG sieht zudem vor, dass der Diensteanbieter durch technische und organisatorische Maßnahmen sicherstellen muss, dass personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können, eine Zusammenführung also zu verhindern ist. Fraglich ist darüber hinaus, ob § 15 III 1 TMG die Datenanalyse ermöglicht. Dem Wortlaut nach erlaubt das Gesetz das Erstellen von Nutzungsprofilen und verwendet damit einen mangels Legaldefinition auslegungsbedürftigen Begriff. Sinn und Zweck einer Profilbildung ist die Generierung von Informationen, was eine gewisse Analyse der Daten voraussetzt. Zulässig ist es demnach auch, auf Inhaltsdaten wie zum Beispiel demografische Merkmale zu schließen und diese Erkenntnisse dem Profil hinzuzufügen.⁶²¹
Plath-Hullen/Roggenkamp, § TMG Rn. ; Taeger/Gabel-Zerschpe, § TMG Rn. . Sistrix, Verbreitung. Ernst, NJOZ , , ; Spindler/Schuster-Spindler/Nink, § TMG Rn. , die insoweit ausschließlich das BDSG für anwendbar halten. Karg/Thomsen, DuD , , . Schaar, DuD , , ; Taeger/Gabel-Zerschpe, § TMG Rn. .
152
Kapitel 3 Deutschland
Problematisch ist, ob das auch für besonders schützenswerte personenbezogene Daten gilt,⁶²² sofern durch die Analyse des Nutzungsverhaltens auf solche sensiblen Daten geschlossen werden kann. Hier fehlt es an einer gesetzlichen Klarstellung, wie sie sich im BDSG findet. Gem. § 28 VI BDSG ist für die Verarbeitung sensibler Daten eine ausdrückliche Einwilligung des Betroffenen erforderlich. Die in § 28 Nr. 1– 4 BDSG benannten Ausnahmen sind abschließend und hier nicht einschlägig. Eine Verwendung sensibler Daten zu Werbezwecken ist ohne die ausdrückliche Einwilligung des Betroffenen nicht rechtmäßig.⁶²³
dd) Pseudonym Damit die Erstellung eines Nutzungsprofils rechtmäßig ist, muss sie pseudonym erfolgen und darf auch nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden, § 15 III 1, 3 TMG. Daten sind gem. § 12 III TMG i.V.m. § 3 VIa BDSG pseudonymisiert, wenn der Name oder andere Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck ersetzt wurden, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Dem Ziel, die unmittelbare Erkennbarkeit des Nutzers während des Verarbeitungs- und Nutzungsvorgangs zu verhindern, wird genügt, wenn die Daten ohne die Kenntnis der zur Pseudonymisierung verwendeten Zuordnungsvorschrift dem Nutzer nicht zugeordnet werden können.⁶²⁴ Nach einer Ansicht hebt bereits die IP-Adresse die Pseudonymität auf,⁶²⁵ so dass eine Profilbildung nach § 15 III TMG nur durch die Kürzung der IP-Adresse zulässig wäre. Bei Sozialen Netzwerken trete das Problem hinzu, dass für die Registrierung die Angabe des bürgerlichen Namens erforderlich ist. Deshalb fehle es an einer Pseudonymisierung.⁶²⁶ Die Ansicht übersieht jedoch, dass nicht eine Anonymisierung erforderlich ist, also eine Veränderung der Daten derart, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, § 12 III TMG, 3 VI BDSG. Erfor-
Roßnagel-Dix/Schaar, § TMG Rn. . Simitis-ders., § Rn. ; Roßnagel-Dix/Schaar, § TMG Rn. . Gola/Schomerus, § Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. . Düsseldorfer Kreis, Beschluss . . ;Venzke, DuD , , ; Weitnauer-Missling, S. . Niemann/Scholz, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz, S. ; Härting/ Schätzle, ITRB , , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
153
derlich ist vielmehr nur ein geringerer Schutz, der die Re-Identifizierung technisch nicht ausschließt. Dies lässt sich über die Vergabe eines internen Pseudonyms lösen. Es ist unschädlich, dass dem Betreiber eine Referenzdatei zur Auflösung des Pseudonyms zur Verfügung steht.⁶²⁷ Es ist vielmehr der Regelfall des § 15 III TMG, dass dem Telemedienanbieter die Identität des Nutzers bekannt ist, da sonst eine Pseudonymisierung nicht erforderlich wäre. Wenn der Telemedienbetreiber die Pseudonymisierung selbst vornimmt, steht ihm dadurch auch immer ein Schlüssel zur Identifizierung zur Verfügung.⁶²⁸ Die Betreiber Sozialer Netzwerke müssen durch technische und organisatorische Vorkehrungen sicherstellen, dass die Nutzungsprofile nicht mit identifizierenden Angaben oder sonstigen Daten über den Nutzer zusammengeführt werden, §§ 15 III 3, 13 IV Nr. 6 TMG. Technisch möglich ist dies grundsätzlich durch den Einsatz von Anonymisierungssoftware.⁶²⁹ Organisatorisch kann eine Zusammenführung vermieden werden durch entsprechende Funktionstrennungen zwischen den Personen, die Zugriff auf die Nutzungsprofile haben und denen, die Zuordnungsdaten verwalten.⁶³⁰ Bei Facebook ist zweifelhaft, ob die Pseudonymisierung⁶³¹ und das Zusammenführungsverbot nach § 15 III 3 TMG eingehalten werden.⁶³²
ee) Zweckbindung Zu anderen Zwecken als Werbung,⁶³³ Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien dürfen Nutzungsprofile – sofern nicht eine Einwilligung gegeben ist – nicht erstellt oder genutzt werden.⁶³⁴ Gola/Schomerus, § Rn. ; Heckmann, jurisPK, S. Rn. ; Schleipfer, RDV , , f.; Taeger/Gabel-Zscherpe, § TMG Rn. . Heckmann, jurisPK, S. Rn. . Hier wird auch von einer Chinese Wall gesprochen, s. Bauer, MMR , , ; Rammos, K&R , , ; Hoeren/Sieber/Holznagel-Schmitz, . Rn. . Dass auch die Anonymisierungssoftware nicht unbedingt zur Vermeidung von Profilbildung führt, erklärt der Datenanalyst Markus Morgenroth in einem FAZ-Interview. Wird der gleiche Krypto-Algorithmus immer wieder verwendet, kommt bzgl. des ursprünglich identifizierenden Datums immer der gleiche anonymisierende Hash-Wert heraus, so dass sich über den Hash-Wert Profile bilden lassen, s. Freidel et al., FAZ . . . Schleipfer, RDV , , . Zweifelnd HmbBfDI, Prüfbericht Facebook Cookies, S. . Keinen Verstoß sieht IDPC, Facebook Audit, S. . ULD, . TB, S. ; Karg/Thomsen, DuD , , ; Polenz, VuR , , . Da es an einer Legaldefinition für den Begriff der Werbung fehlt, sind der allgemeine Sprachgebrauch sowie das Verständnis des Durchschnittsanbieters für die Auslegung heranzuziehen. Heckmann, jurisPK, S. Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. .
154
Kapitel 3 Deutschland
ff) Kein Widerspruch des Betroffenen gegen Erstellung eines Nutzungsprofils Gem. § 15 III 2 TMG muss der Anbieter den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtungspflicht nach § 13 I TMG hinweisen. Fehlt der Hinweis, ist die Profilbildung und ‐nutzung rechtswidrig.⁶³⁵ Facebook bietet lediglich eine stark begrenzte Widerspruchsmöglichkeit an.⁶³⁶
gg) Datennutzung zum Zweck des Direktmarketings nach der DS-GVO Im Entwurf des Rates wird in Erwägungsgrund 39 Direktmarketing als ein berechtigtes Interesse i.S.v. Art. 6 I f DS-GVO‐E aufgeführt und dem Betroffenen ein Widerspruchsrecht eingeräumt, Art. 19 I DS-GVO‐E. Art. 19 IIa DS-GVO‐E des Entwurfs des Rates stellt klar, dass die Daten nach einem Widerspruch des Betroffenen nicht mehr zu Zwecken des Direktmarketing verwendet werden. Der Entwurf der Kommission sieht in Erwägungsgrund 57 i.V.m. Art. 19 II DSGVO‐E für Direktwerbung zu nicht kommerziellen Zwecken eine Widerspruchsmöglichkeit vor. Nach dem Entwurf des Parlaments bleibt es beim Einwilligungserfordernis, Art. 6 I lit. a DS-GVO-E. In der finalen Version sieht Erwägungsgrund 47 Direktwerbung als ein mögliches berechtigtes Interesse zur Datenverarbeitung i.S.d. Art. 6 I lit. f DS-GVO vor. Im Einzelfall ist demnach eine Abwägung mit den Betroffenenrechten vorzunehmen.⁶³⁷ Fällt diese zugunsten des Datenverarbeiters aus, bleibt dem Betroffenen nach Art. 21 II DS-GVO ein Widerspruchsrecht, auf das er gem. Art. 21 IV DS-GVO bei der ersten Kommunikation hinzuweisen ist.
hh) Ergebnis In den Grenzen des § 15 III TMG ist die Erstellung von Nutzungsprofilen zu Werbezwecken jeweils auf der Basis einer einzelnen Webseite rechtmäßig. Bei Facebook fehlt es jedoch insoweit am erforderlichen Hinweis auf die Widerspruchsmöglichkeit. Soweit die Erstellung oder Verwendung von Profilen über die gesetzliche Erlaubnis hinausgeht, insbesondere, wenn die Nutzungsvorgänge eines Nutzers von mehreren Seiten zusammengeführt oder Bestands- oder Inhaltsdaten hinzugefügt werden sollen, bedarf es der ausdrücklichen Einwilligung durch den
Spindler/Schuster-Spindler/Nink, § TMG Rn. ; Taeger/Gabel-Zscherpe, § TMG Rn. . Spindler/Schuster-Spindler/Nink, § TMG Rn. . S. Facebook-Seite: https://www.facebook.com/settings?tab=ads&view. Albrecht, C&R , , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
155
Nutzer.⁶³⁸ Themennetzwerke, die sich mit Gesundheit, sexueller Orientierung, politischen oder religiösen Anschauungen befassen, sollen eine personenbezogene Nutzungsanalyse aufgrund der besonderen Sensibilität der Daten (§ 3 IX BDSG) nur mit Einwilligung des Betroffenen vornehmen dürfen.⁶³⁹ Nach Art. 6 I lit. f DS-GVO bedarf es bei einer Datenverarbeitung für Zwecke der Direktwerbung einer Abwägungsentscheidung. Dem Betroffenen bleibt nach Art. 21 II DS-GVO bei einer rechtmäßigen Datenverarbeitung zu Direktwerbezwecken ein Widerspruchsrecht.
c) Löschpflicht Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder – soweit einer Löschung Aufbewahrungsfristen entgegenstehen – gesperrt werden, § 13 IV 1 Nr. 2, 2 TMG. Facebook löscht die über Social Plugins erhobenen Nutzungsdaten von Mitgliedern nach 90 bzw. von Nicht-Mitgliedern nach 10 Tagen.⁶⁴⁰ Weder eine technische Notwendigkeit noch eine Aufbewahrungspflicht, die eine Speicherung für diese Zeiträume rechtfertigen würden, sind im irischen Auditreport hinreichend dargelegt worden.⁶⁴¹ In Bezug auf die zulässige Dauer der Speicherung von pseudonymen Nutzungsprofilen trifft das Gesetz keine Vorgaben. Die zulässige Aufbewahrungsfrist ist nach dem Grundsatz der Datensparsamkeit am Maßstab der Erforderlichkeit zur Zweckerreichung zu bestimmen. Das Prinzip der Datensparsamkeit ist auch in Art. 5 I lit. c DS-GVO verankert. Im Fall der Datenerhebung über Social Plugins ohne Interaktion fehlt es bereits an einer Erforderlichkeit der Erhebung, so dass sich erst recht keine Erforderlichkeit der Speicherung der Daten – auch nicht in pseudonymisierter Form – ergibt. Bei Nutzungsdaten, die auf der Webseite oder nach dem Anklicken eines Social Plugins erhoben und in pseudonymen Nutzungsprofilen zu Werbezwecken gespeichert werden, dürfen sich die Profile nicht derart verdichten, dass eine eindeutige Identifizierung auch ohne die Zuordnungsregel möglich wird.⁶⁴² Für
Dass eine Einwilligung auch bei der Nichterfüllung eines Erlaubnistatbestands möglich bleibt, ergibt sich aus der Gesetzbegründung, s. BT-Drs. /, , Teil B, Begr. zu Art. § III. DSK, Orientierungshilfe „Soziale Netzwerke“, S. f. IDPC, Facebook Re-Audit, S. f. IDPC, Facebook Audit, S. f. Karg/Kühn, ZD , , ; Himmels, Behavioural Targeting, S. .
156
Kapitel 3 Deutschland
das Analysetool „Piwik“⁶⁴³ sieht das ULD eine Löschpflicht für Cookies von einer Woche vor.⁶⁴⁴
d) Anonyme oder pseudonyme Dienstenutzung Gem. § 13 VI TMG muss der Diensteanbieter die Nutzung seines Dienstes auch anonym oder pseudonym ermöglichen, soweit dies technisch möglich und zumutbar ist. Ob auch eine anonyme oder pseudonyme Bereitstellung von Telemedien erforderlich ist, ist zwar umstritten.⁶⁴⁵ Der Wortlaut knüpft aber explizit nur an die Nutzung und Bezahlung an.⁶⁴⁶ Dass die Regelung nur auf die Vermeidung von Nutzungs-, und nicht von Bestandsdaten zielt, ergibt sich zudem aus der Gesetzesbegründung.⁶⁴⁷ Der Betreiber kann somit die Registrierung mit dem Klarnamen verlangen, solange er dem Nutzer die Möglichkeit einräumt, seine Profilseite unter einem Pseudonym zu führen.⁶⁴⁸ Damit kann der Streit, ob § 13 VI TMG auch für die Nutzung Sozialer Netzwerke gilt,⁶⁴⁹ hier dahinstehen, da die für die Profilbildung relevante Abfrage der Identität durch den Betreiber jedenfalls keinen Verstoß gegen die Norm darstellt.
e) Ergebnis Die Erstellung und Verwendung von Nutzungsprofilen zu Werbezwecken mit Nutzungsdaten eines Telemediendienstes ist gem. § 15 III TMG rechtmäßig, solange die Pseudonymität gewahrt bleibt. Die Erhebung von Nutzungsdaten auf Drittseiten zu eigenen Zwecken unterfällt nicht dem TMG und ist jedenfalls nicht erforderlich, weshalb auch eine Bildung von Nutzungsprofilen nicht ohne die Einwilligung des Nutzers zulässig ist.
Siehe oben: Teil , Kap. , C., II., ., a), aa), (). ULD, Piwik, S. ; Karg/Thomsen, DuD , , . Maisch, Informationelle Selbstbestimmung, S. ; Taeger/Gabel-Moos, § TMG Rn. . Taeger/Gabel-Moos, § TMG Rn. . BT-Drs. /, S. . Stadler, ZD , , ; Taeger/Gabel-Moos, § TMG Rn. . VG Schleswig ZD , – Klarnamenpflicht; OVG ZD , – Klarnamenpflicht; VG Hamburg, Beschl. v. . . ; HmbBfDI, Profilnamen; Bender, K&R , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
157
2. Vorgaben des BDSG Wie sich aus den obigen Ausführungen ergibt,⁶⁵⁰ unterfallen Inhaltsdaten dem Anwendungsbereich des BDSG ebenso wie die mittels Social Plugins erhobenen Daten, wenn das Anbieter-Nutzer-Verhältnis abgelehnt wird.⁶⁵¹
a) Spezielle Anwendungsvoraussetzungen des BDSG Die automatisierte Datenverarbeitung durch Facebook erfolgt zu geschäftlichen Zwecken. Damit greift die Privilegierung des § 1 II Nr. 3 HS 2 BDSG nicht ein, der die Datenverarbeitung zu ausschließlich persönlichen oder familiären Tätigkeiten vom Anwendungsbereich des BDSG ausnimmt.
b) Rechtmäßigkeit der Datenerhebung Die Voraussetzungen für eine rechtmäßige Datenverarbeitung nach dem BDSG sind vom Zweck der Datenerhebung und ‐nutzung abhängig. Rechtsgrundlagen für die Datenverarbeitung nicht-öffentlicher Stellen sind in §§ 28 – 32 BDSG normiert. Ihren Anwendungsbereich bestimmt § 27 BDSG, der im Wesentlichen dem von § 1 II Nr. 3 BDSG festgelegten Anwendungsbereich entspricht.⁶⁵² Eine Sonderregelung für die Profilbildung besteht nicht. § 28 III BDSG normiert besondere Voraussetzungen für die Datenverarbeitung und ‐nutzung zu Werbezwecken, erfasst aber nicht die Datenerhebung.⁶⁵³ Ihre Rechtmäßigkeit ist gesondert zu beurteilen. Die für die Datenerhebung in Betracht kommenden Erlaubnistatbestände §§ 28 I, 29 I BDSG⁶⁵⁴ unterscheiden zwischen der Datenerhebung für eigene Geschäftszwecke und der geschäftsmäßigen Datenerhebung zum Zweck der Übermittlung.
aa) Einordnung Sozialer Netzwerke in §§ 28, 29 BDSG Wird mit der hier vertretenen Ansicht für Social Plugins und Pixel-Tags ein Anbieter-Nutzer-Verhältnis und damit die Anwendbarkeit der datenschutzrechtlichen Regelungen des TMG verneint,⁶⁵⁵ muss eine Einordnung in die Rechtferti-
Siehe oben: Teil , Kap. , C., II., ., b), aa). Siehe oben: Teil , Kap. , C., II., ., a). Kamp, Personenbewertungsportale, S. . Düsseldorfer Kreis, Werbliche Zwecke, Zif. ..; Plath-ders., § BDSG Rn. . Die §§ ff. BDSG entsprechen nicht der Zwecksetzung Sozialer Netzwerke, s. Achtruth, Social Networks, S. ff. Siehe oben: Teil , Kap. , C., II., ., a).
158
Kapitel 3 Deutschland
gungstatbestände des BDSG erfolgen. Für die über diese Third-Party-Tools erhobenen Nutzungsdaten kann nur § 28 I BDSG anwendbar sein, da keine unveränderte Übermittlung der Daten an Dritte bezweckt wird. Die Erhebung erfolgt vielmehr zu eigenen Geschäftszwecken, namentlich zu Werbezwecken und zur Aufbereitung für den Statistik-Dienst „Insights“.⁶⁵⁶ Strittig ist die Einordnung von nutzergenerierten Inhaltsdaten auf Internetplattformen.⁶⁵⁷ Bei dem diesbezüglich parallel gelagerten Fall des Lehrerbewertungsportals spickmich.de zog der BGH § 29 BDSG heran,⁶⁵⁸ das OLG Köln als Vorinstanz hingegen § 28 BDSG.⁶⁵⁹ Das OLG Köln argumentierte in der spickmichEntscheidung, es sei das Ziel der Betreiber von Bewertungsportalen, ihr Internetportal etwa mit Hilfe von Werbung wirtschaftlich zu betreiben.⁶⁶⁰ Die Datenverarbeitung sei nur ein Hilfsmittel, um einen anderen Geschäftszweck zu erreichen.⁶⁶¹ Der BGH wandte dagegen ein, dass zur Finanzierung der Website auch Werbeanzeigen verbreitet werden, sei nicht Zweck der Datenerhebung. Die Erhebung der Daten erfolge vielmehr im Informationsinteresse und für den Meinungsaustausch der Nutzer. Die Übermittlung der Daten sei gerade der Zweck ihrer Erhebung und Speicherung.⁶⁶² Nach einer Ansicht gelten die Erwägungen des BGH in gleicher Weise für Betreiber Sozialer Netzwerke, deren Geschäftskonzept es sei, die Kontaktaufnahme bzw. -pflege durch die Übermittlung von Daten zu ermöglichen.⁶⁶³ Dagegen spricht, dass zwischen Bewertungsportalen und Sozialen Netzwerken hinsichtlich der Werbefinanzierung Unterschiede bestehen. Bei Personenbewertungsportalen sind die vom Nutzer generierten Inhalte auf Personenbewertungen in Bewertungsprofilen und Freitextfeldern begrenzt.⁶⁶⁴ Werbung erfolgt zielgruppenorientiert⁶⁶⁵ und nicht personalisiert. Die vom Nutzer generierte Bewertung kann nicht zu einer Konkretisierung der Interessen des Nutzers beitragen und wird damit nicht zu Finanzierungszwecken erhoben.
Siehe oben: Teil , Kap. , C., I., ., b) und c), III., . und . Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. ; Achtruth, Social Networks, S. . BGHZ , , = NJW , , – spickmich. OLG Köln MMR , , – spickmich. OLG Köln MMR , , – spickmich. Simitis-ders., § Rn. ; Gola/Schomerus, § Rn. ; Kamp, Personenbewertungsportale, S. . BGHZ , , = NJW , , – spickmich. Schüßler, in: Taeger, Digitale Evolution, S. ; Plath-ders., § BDSG Rn. ; Härting, CR , , . Kamp, Personenbewertungsportale, S. ff. Heckmann, K&R , , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
159
Anders ist dies bei Sozialen Netzwerken. Hier kann der Nutzer unbeschränkt über die eigene Person oder über andere Informationen erstellen. Diese werden nicht nur veröffentlicht, sondern auch für den eigenen Geschäftszweck des OBA ausgewertet.⁶⁶⁶ Anders gewendet verfolgt Facebook neben dem Zweck der Vermittlung von Kommunikation zwischen den Nutzern eigene Geschäftszwecke, die auf der Profilerstellung basieren.⁶⁶⁷ Die Datenverarbeitung ist also auch⁶⁶⁸ ein Hilfsmittel zur Erfüllung des Geschäftszwecks, profilbasierte Werbung zu schalten,⁶⁶⁹ so dass der Anwendungsbereich des § 28 BDSG insoweit eröffnet ist.⁶⁷⁰
bb) Vorgaben des § 28 I BDSG Im Rahmen des Kommunikations- und Interaktionszwecks Sozialer Netzwerke ist die Erhebung der auf der Plattform anfallenden Inhaltsdaten für die Durchführung des bestehenden rechtsgeschäftlichen Schuldverhältnisses⁶⁷¹ erforderlich und damit nach § 28 I Nr. 1 BDSG erlaubt.⁶⁷² Etwas anderes gilt für sensible Daten i.S.d. § 3 IX BDSG. Sie dürfen, soweit keiner der eng begrenzten Ausnahmefälle des § 28 VI-IX BDSG eingreift, nur mit Einwilligung des Betroffenen erhoben werden. Soziale Netzwerke müssen bei sensiblen Daten in den Online-Formularen eine gesonderte Einwilligung der Nutzer einholen.⁶⁷³ Zur Rechtfertigung der Datenerhebung über Third-Party-Tools kann mangels Erforderlichkeit für die Vertragsdurchführung § 28 I 1 Nr. 1 BDSG nicht herangezogen werden, sofern nicht mit einem Social Plugin interagiert wird. Ebenso wenig kann § 28 I 1 Nr. 2 BDSG herangezogen werden, da das schutzwürdige Interesse des
Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?. Bauer/Greve/Hopf, Online Targeting, S. ; Karg/Fahl, K&R , , ; Jandt/Roßnagel, ZD , , . Nach der h.M. können §§ , BDSG nebeneinander für den gleichen Datensatz zur Anwendung kommen, s. Simitis-ders., § Rn. ; Gola/Schomerus, § Rn. a, § Rn. ; Taeger/ Gabel-Taeger, § BDSG Rn. ; Eßer/Kramer/v. Lewinski-Kramer, § BDSG Rn. . A.A. Plathders., § BDSG Rn. . Karg/Thomsen, DuD , , . Lerch et al., MMR , , ; Bauer/Greve/Hopf, Online Targeting, S. ; Taeger/GabelTaeger, § BDSG Rn. ; Himmels, Behavioural Targeting, S. ; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. . Siehe oben: Teil , Kap. , C., I., ., a), aa). Zur Problematik des Vertragsschlusses mit Minderjährigen siebe oben: Teil , Kap. , C., II., ., b), aa), (). Hornung/Müller-Terpitz-Hornung, Social Media, S. f. Rn. . Die ansonsten problematische Konstellation, dass ein Mitglied Daten über ein Nicht-Mitglied einstellt, ist in der vorliegenden Konstellation nicht relevant, da laut Facebook von Nicht-Mitgliedern keine Profile erstellt werden. Art. WP, WP , S. .
160
Kapitel 3 Deutschland
Betroffenen an einer nicht protokollierten Internetnutzung der Erhebung entgegensteht.⁶⁷⁴ Da es sich auch nicht um öffentlich zugängliche Daten handelt, scheidet auch § 28 I 1 Nr. 3 BDSG als Rechtfertigungstatbestand aus. Die Datenerhebung über Social Plugins ohne Interaktion ist also auch bei der Anwendung des BDSG nur mit der Einwilligung des Betroffenen rechtmäßig.
c) Rechtmäßigkeit der Datenverwendung zu Werbezwecken Für die Verarbeitung oder Nutzung personenbezogener Daten für Werbezwecke enthält § 28 III BDSG nach h.M. eine abschließende Spezialregelung, d. h. auf andere Erlaubnistatbestände des § 28 BDSG darf bei der Verwendung der Daten für Werbung nicht zurückgegriffen werden.⁶⁷⁵ Das in § 28 III 2 BDSG normierte Listenprivileg erlaubt die Datenverarbeitung zu Werbezwecken beschränkt auf listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken. Da die Profile Sozialer Netzwerke, die zu Werbezwecken verwendet werden, weit darüber hinausgehen, bleibt nach § 28 III 1 BDSG nur eine Legitimation über die Einwilligung des Betroffenen.⁶⁷⁶ Wie bereits beschrieben,⁶⁷⁷ sieht die DS-GVO für die Datenerhebung und ‐nutzung zu Direktwerbezwecken eine Abwägungsentscheidung sowie eine Widerspruchsmöglichkeit vor.
d) Rechtmäßigkeit der Datenverwendung zu sonstigen Zwecken Fraglich ist, ob eine auf Inhaltsdaten beschränkte Profilbildung für andere Zwecke als Werbung auch ohne die Einwilligung des Betroffenen rechtmäßig wäre.
aa) Sicherheit und Diensteoptimierung Möglicherweise könnte die Profilbildung zur Optimierung des Dienstes und zum Schutz der Sicherheit als für die Vertragsdurchführung erforderlich qualifiziert
Piltz, CR , , . Gola/Schomerus, § Rn. ; Plath-ders., § BDSG Rn. . Eine Interessenabwägung im Rahmen des § I Nr. BDSG, wie sie vor Einführung des § III BDSG durchgeführt wurde, ist jetzt ausgeschlossen. Bauer/Greve/Hopf, Online Targeting, S. ; Achtruth, Social Networks, S. . Siehe oben: Teil , Kap. , C., II., ., b), gg).
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
161
werden. Der Begriff der Erforderlichkeit ist nicht im Sinne einer zwingenden Notwendigkeit zu verstehen, sondern ist bereits anzunehmen, wenn die berechtigten Interessen nicht auf andere Weise in angemessener Form wahrgenommen werden können. Die Durchführung nur unterstützender Verarbeitungen fällt nicht unter § 28 I 1 Nr. 1 BDSG.⁶⁷⁸ Für den Schutz von Accounts wird allerdings eine Analyse der Nutzungsdaten als ausreichend angesehen.⁶⁷⁹ Fraglich ist, ob die Diensteoptimierung als Rechtfertigung für eine Profilbildung tragbar ist. Die Verbesserung der Qualität eines Dienstes erhöht zwar dessen Attraktivität für den Nutzer und verändert den Vertragsgegenstand, sie ist aber nicht erforderlich für die Durchführung des Vertrags an sich.⁶⁸⁰ Sofern vertragliche Schutzpflichten nicht verletzt werden, kann neben § 28 I 1 Nr. 1 BDSG auch § 28 I 1 Nr. 2 BDSG zur Anwendung kommen.⁶⁸¹ Danach ist eine Datenverarbeitung zulässig, soweit sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Bei der Auswertung von Kommunikationsinhalten steht das berechtigte Interesse des Betroffenen an der Vertraulichkeit der Kommunikation dem Interesse des Betreibers an der Verbesserung des Dienstes entgegen.⁶⁸² Das Interesse der Mitglieder an der Vertraulichkeit ihrer Kommunikation ist auch gegenüber dem Betreiber berechtigt, da durch die verschiedenen Einstellungsmöglichkeiten zum Empfängerkreis einer Nachricht der Eindruck erweckt wird, der Nutzer habe es selbst in der Hand, wer den Kommunikationsinhalt wahrnehmen kann.⁶⁸³ Daran muss sich auch der Betreiber der Plattform festhalten lassen.⁶⁸⁴ Für die Interessenabwägung muss der Betreiber Art, Inhalt und Aussagekraft der Daten an den Zwecken der Verarbeitung messen, sofern die Datenverarbeitung für die berechtigten Interessen erforderlich ist. Fraglich ist bereits, ob sich eine Erforderlichkeit begründen lässt.Vor dem Hintergrund der möglichen Sensibilität und starken Aussagekraft der Daten einer Kommunikation zwischen Freunden⁶⁸⁵ überwiegt aber in der Regel das Interesse des Betroffenen.
Gola/Schomerus, § Rn. ; Plath-ders., § BDSG Rn. . IDPC, Facebook Audit, S. . Taeger/Gabel-Taeger, § BDSG Rn. ; a.A. Plath-ders., § BDSG Rn. . Gola/Schomerus, § Rn. ; Eßer/Kramer/v. Lewinski-Kramer, § BDSG Rn. . Achtruth, Social Networks, S. . FTC, Facebook Complaint, Count , S. . Achtruth, Social Networks, S. . Siehe oben: Teil , Kap. , C., II., .
162
Kapitel 3 Deutschland
Anders stellt sich die Schutzwürdigkeit bei Informationen dar, die als öffentlich eingestellt werden und damit von jedem Mitglied eingesehen werden können. Da sich jedermann ab Vollendung des 13. Lebensjahrs bei Facebook anmelden kann, sind diese Daten für einen nicht individuell bestimmbaren Personenkreis einsehbar und damit allgemein zugänglich i.S.d. § 28 I 1 Nr. 3 BDSG. Die Verwendung allgemein zugänglicher Daten zu anderen Zwecken als der Werbung ist nur rechtfertigungsbedürftig, wenn das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Die Schutzwürdigkeit der Interessen der Betroffenen ist bei Sozialen Netzwerken äußert schwierig zu beurteilen, weil die Voreinstellung für die Veröffentlichung von Posts auf Facebook so gewählt ist, dass sie grundsätzlich öffentlich erfolgen. Deshalb kann nicht ohne weiteres davon ausgegangen werden, dass der tatsächliche Adressatenkreis dem Betroffenen auch bewusst ist. Die Abwägungsentscheidung, die sich an der Art der betroffenen Daten und der Transparenz der Prozesse zu orientieren hat, ist für den Betreiber eines Sozialen Netzwerks in der Praxis schwierig zu treffen. Sie erfordert eine Übersicht über die betroffenen Interessen und macht zudem einen Beteiligten zum Entscheidungsbefugten.⁶⁸⁶ Dass jedenfalls eine Verarbeitung besonderer personenbezogener Daten dadurch nicht gerechtfertigt werden kann, ergibt sich bereits aus den Sonderregelungen der Absätze 6 bis 9. Sie begrenzen die Möglichkeiten der Datenverarbeitung besonderer personenbezogener Daten ohne die Einwilligung des Betroffenen auf abschließend normierte Ausnahmefälle, zu denen die Diensteoptimierung nicht zählt. Auch zum Schutz lebenswichtiger Interessen kann gem. § 28 VI Nr. 1 BDSG eine Datenverarbeitung besonderer personenbezogener Daten nur gerechtfertigt werden, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, so dass die Analyse von Posts zum Schutz gegen Selbstmord⁶⁸⁷ grundsätzlich nicht ohne die Einwilligung des Nutzers rechtmäßig ist.
bb) Weitere Geschäftsmodelle Ein zukünftiges Geschäftsmodell Sozialer Netzwerke könnte die Rolle als Auskunftei etwa für Versicherungen oder Arbeitgeber, aber auch als Recherchequelle Roosendaal, Digital Personae, S. ; v. Lewinski, RDV , , . Facebooks Sicherheitschef Joe Sullivan erklärte gegenüber Reuters, dass auch private Nachrichten wie Chats für bestimmte Zwecke ausgewertet werden, etwa zur Aufdeckung von Sexualstraftaten, s. Hodel, Reuters ...
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
163
für Journalisten sein.⁶⁸⁸ Sofern keine Spezialregelungen wie zum Beispiel zum Scoring gem. § 28b BDSG oder zur geschäftsmäßigen Datenerhebung und ‐speicherung zu Zwecken der Markt- und Meinungsforschung gem. § 30a BDSG bestehen, kann sich eine Erlaubnis für künftige Nutzungen dafür nur aus § 29 I, II BDSG ergeben.
(1) Datenübermittlung Eine Übermittlung ist möglich, wenn der Dritte ein berechtigtes Interesse an der Kenntnis glaubhaft darlegt, § 29 II 1 Nr. 1 BDSG, und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat, § 29 II 1 Nr. 2 BDSG. Als berechtigt gilt jedes rechtlich gebilligte Interesse,⁶⁸⁹ also etwa die Möglichkeit für Versicherungen, das Versicherungsrisiko ihrer Mitglieder besser einschätzen zu können. Ebenso wie die Abwägungsentscheidung im Rahmen des § 28 I 1 Nr. 1 und 2 BDSG, erfordert sie eine Übersicht über die betroffenen Interessen und macht mit dem Betreiber des Sozialen Netzwerks einen Beteiligten zum Entscheidungsbefugten.⁶⁹⁰ Zu beachten ist der Grundsatz der Zweckbindung, wonach die Daten nur für die Zwecke verwendet werden dürfen, für die sie erhoben wurden.⁶⁹¹ Eine darüber hinausgehende Nutzung bedarf einer Rechtfertigung. Unzulässig ist es daher, bereits bestehende Datensätze, die noch nicht zum Zwecke der Übermittlung erhoben wurden, Dritten zugänglich zu machen. Nach Art. 5 I lit. b und 6 IV DS-GVO wird der Zweckbindungsgrundsatz weiter gefasst: Personenbezogene Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit den Zwecken für welche sie erhoben wurden, nicht zu vereinbaren ist. Dies kann gegenüber dem Zweckbindungsgrundsatz nach deutschem Datenschutzrecht⁶⁹² einen deutlich abgeschwächten Schutz bedeuten.⁶⁹³
(2) Automatisierte Entscheidung und Profiling Von den Kunden, die Datensätze von Facebook nutzen wollen, wird zudem insbesondere das Verbot der automatisierten Entscheidung gem. § 6a BDSG, Art. 15
Siehe oben: Teil , Kap. , C., III., . Gierschmann/Saeugling-Kuhlmann, § Rn. ; v. Lewinski, RDV , , ; Taeger/ Gabel-Taeger, § BDSG Rn. . Siehe oben: Teil , Kap. , C., II., ., d), aa). Kühling/Seidel/Sivridis, Datenschutzrecht, S. . Siehe oben: Teil , Kap. , C., II., ., d), bb). DSK, Trilog, S. ; Buchner, DuD , , .
164
Kapitel 3 Deutschland
DSRL, Art. 22 I DS-GVO zu beachten sein. Die Regelung setzt die Rechtmäßigkeit der vorausgegangenen Datenerhebung voraus⁶⁹⁴ und soll ausschließen, dass Entscheidungen mit rechtlichen Folgen aufgrund von automatisiert erstellten Persönlichkeitsprofilen getroffen werden, ohne dass ein Mensch den Sachverhalt prüft.⁶⁹⁵ Sofern durch die automatisierte Verarbeitung lediglich Vorschläge für eine letztlich von einem Menschen zu treffende und zu verantwortende Entscheidung produziert werden, greift § 6a BDSG nicht. Die Norm betrifft zudem nur solche Entscheidungen, die eine rechtliche Konsequenz für den Betroffenen nach sich ziehen oder ihn erheblich beeinträchtigen.⁶⁹⁶ Dies ist zum Beispiel der Fall, wenn auf der Grundlage dieser Informationen ein Betroffener nicht zu einem Vorstellungsgespräch eingeladen wird oder einen bestimmten Versicherungstarif nicht angeboten bekommt. Art. 22 I DS-GVO statuiert – vergleichbar mit § 6a I BDSG – das grundsätzliche Verbot von Entscheidungen, die ausschließlich auf automatisierter Datenverwendung – einschließlich Profiling – basieren und rechtliche Auswirkungen auf den Betroffenen haben oder ihn erheblich beeinträchtigen. Ausnahmen von diesem Grundsatz sind abschließend normiert, eine Einwilligung möglich. Einschränkungen gelten für besondere personenbezogene Daten. Art. 4 Nr. 4 DS-GVO definiert Profiling als eine automatisierte Verarbeitung personenbezogener Daten, die darin besteht bzw. zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte, die einen Bezug zu einer natürlichen Person haben, zu bewerten, zu analysieren oder insbesondere die Leistungen der betreffenden Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten vorauszusagen. Art. 21 I DS-GVO statuiert für die dort genannten Fälle des Profilings eine Widerspruchsmöglichkeit.
e) Berichtigung und Löschpflicht, § 35 BDSG Gem. Art. 35 I 1 BDSG⁶⁹⁷ sind personenbezogene Daten zu berichtigen, wenn sie unrichtig sind. Die Vorschrift findet jedoch keine Anwendung auf Werturteile und Wahrscheinlichkeitswerte.⁶⁹⁸ Geschätzte Daten sind allerdings gem. § 35 I 2 BDSG deutlich als solche zu kennzeichnen.
Gola/Schomerus, § a Rn. . BT-Drs. /, S. . Roßnagel-Scholz, Hdb. Datenschutzrecht, . Rn. ; Roßnagel, ZD , , ; Hladjk, Online-Profiling, S. . Art. DSRL; Art. DS-GVO. Eßer/Kramer/v. Lewinski-Stollhoff, § BDSG Rn. ; Plath-Kamlah, § BDSG Rn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
165
Die Löschpflicht ist in § 35 II 2 BDSG normiert, der Art. 12 lit. b DSRL umsetzt. § 35 II 2 Nr. 3 BDSG verlangt die Löschung der Daten, die zu eigenen Zwecken erhoben wurden, sobald ihre Speicherung für die Erfüllung des Zwecks nicht mehr erforderlich ist.⁶⁹⁹ Wird der Zweck weit definiert, also etwa als Profilbildung zu Werbezwecken, würde dies zu einem Leerlaufen der Löschvorschrift und des Gebots der Datensparsamkeit führen. Da die Erstellung von umfassenden Persönlichkeitsprofilen rechtwidrig ist, ist insoweit auch die Datenspeicherung unzulässig, so dass sich die Löschpflicht aus § 35 II 2 Nr. 1 BDSG ergibt. Offen ist allerdings,was die Löschpflicht in diesem Fall bedeutet, ob also das gesamte Profil zu löschen oder ob eine Reduzierung auf ein gerade noch rechtmäßiges Maß vorzunehmen ist, was die Praxis vor ein kaum lösbares Problem stellen würde. Insoweit normiert auch Art. 17 DS-GVO keine abweichenden Vorgaben. Bei Sozialen Netzwerken besteht zudem die Besonderheit, dass Inhaltsdaten sowohl für Kommunikationszwecke der Nutzer untereinander als auch für die Profilbildung durch den Betreiber verwendet werden. Der Kommunikationsinhalt soll für die Nutzer dauerhaft abrufbar sein, so dass eine Löschung meist nicht in Frage kommt. Das bedeutet jedoch nicht eine unbegrenzte Nutzungsmöglichkeit zu anderen Zwecken. § 35 III Nr. 1 BDSG erfordert insoweit die Sperrung der Daten, wodurch eine Verwendung für andere Zwecke als den Kommunikationszweck auszuschließen ist.
f) Ergebnis Sofern ein Social Plugin nicht angeklickt wurde, bedarf die Datenerhebung nach dem BDSG ebenso der Einwilligung der Betroffenen wie die Datenerhebung über Pixel-Tags. Auch die auf Inhaltsdaten basierende Profilbildung und ‐nutzung zu kommerziellen Zwecken ist nicht über die gesetzlichen Erlaubnistatbestände des BDSG gerechtfertigt, so dass sie nur mit der Einwilligung des Betroffenen erfolgen darf. Das Gleiche gilt, wenn Nutzungsdaten mit Inhaltsdaten zu einem Gesamtprofil kombiniert werden sollen.
Ebenso sieht Art. I lit. a DS-GVO eine Löschpflicht nach Zweckerreichung vor.
166
Kapitel 3 Deutschland
3. Unterrichtungs- und Benachrichtigungspflichten der Betreiber gegenüber Nutzern Auch wenn ein Erlaubnistatbestand erfüllt wird, ist eine Datenverwendung nur rechtmäßig, wenn für den Nutzer ausreichend Transparenz besteht.⁷⁰⁰ Deshalb muss der Diensteanbieter der Unterrichtungspflicht aus § 13 I TMG, § 4 III BDSG bzw. – wenn die Datenerhebung nicht direkt beim Betroffenen stattfindet – seiner Benachrichtigungspflicht aus § 12 III TMG i.V.m. § 33 BDSG nachkommen. Gem. § 13 I 1 TMG, § 4 III BDSG muss der Nutzer u. a. über Art, Umfang und Dauer der Datenspeicherung sowie über den Zweck der Erstellung von Nutzungsprofilen informiert werden.⁷⁰¹ Dies gilt auch nach Art. 13 DS-GVO. Facebook informiert in einer eigenen Rubrik der Datenrichtlinie darüber, welche Daten es erhebt. Allerdings sind die Formulierungen zu vage, um den Anforderungen der Unterrichtungspflicht zu genügen.⁷⁰² Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist gem. § 13 I 2 TMG der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Diese Normierung ist auf Cookies und andere Tracking-Tools zugeschnitten.⁷⁰³ Facebook informiert in seiner Datenrichtlinie über die Verwendung von Cookies und anderer Tracking-Mechanismen, jedoch nicht zu Beginn des Verfahrens. § 12 III TMG i.V.m. § 33 I 1 BDSG bestimmt, dass der Nutzer von der Speicherung, über die Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten ist, wenn die Daten erstmals ohne Kenntnis des Betroffenen gespeichert werden. Entsprechend sieht Art. 14 DS-GVO bestimmte Informationspflichten vor, wenn die verantwortliche Stelle Daten verarbeitet, die sie von Dritten erhalten hat. Facebook weist in seiner Datenrichtlinie darauf hin, dass es Daten auch von Dritten erhält, allerdings ohne die für die Übermittlung verantwortliche Stelle oder die betroffenen Datenkategorien näher zu bezeichnen.⁷⁰⁴ Nach IWGDPT, Standpunkt Online-Profile, Zif. soll die Unterrichtungspflicht auch für anonyme Profile gelten. Art. WP, WP , S. . Karg/Thomsen, DuD , Fn. ; Weichert, DuD , ; Schleipfer, DuD , , . Ein Bsp. aus der Datenrichtlinie von Facebook zu „Informationen von Drittpartnern“soll zur Verdeutlichung genügen: „Wir erhalten von Drittpartnern Informationen über dich und deine Aktivitäten auf und außerhalb von Facebook; beispielsweise von einem Partner, wenn wir gemeinsam Dienste anbieten, oder von einem Werbetreibenden über deine Erfahrungen oder Interaktionen mit ihm.“ Eßer/Kramer/v. Lewinski-Schreibauer, § TMG Rn. . Facebook, Datenrichtlinie, Welche Informationen sammeln wir?.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
167
Die Vorschrift des § 12 III TMG i.V.m. § 33 I 2, 3 BDSG, wonach der Betroffene über die erstmalige Übermittlung, die Art der übermittelten Daten sowie über die Empfänger zu benachrichtigen ist, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert werden, wird bei den zukünftigen Geschäftsmodellen der Betreiber Sozialer Netzwerke relevant werden. Im Ergebnis ist festzuhalten, dass das deutsche Datenschutzrecht weitgehende Transparenzpflichten normiert, diese jedoch von Facebook unzureichend umgesetzt sind.
4. Einwilligung in Profilbildung und -nutzung Da Daten, die einmal die Sphäre des Betroffenen verlassen haben, tatsächlich kaum zurückholbar sind und ein effektiver Schutz kaum mehr gewährleistet werden kann, sieht das Unionsdatenschutzrecht ein Einwilligungserfordernis vor.⁷⁰⁵ So soll dem Selbstbestimmungsrecht des Einzelnen Rechnung getragen werden, Art. 7 lit. a DSRL, § 12 I TMG, § 4 I BDSG.⁷⁰⁶ Dabei ist die vorherige Einverständniserklärung des Betroffenen erforderlich, eine nachträgliche Genehmigung scheidet aus, § 183 BGB. Ob Betreiber Sozialer Netzwerke über pseudonyme Nutzungsprofile hinaus personenbezogene Profile bilden dürfen, hängt damit von der Entscheidung des Betroffenen ab. Auch die Datenübermittlung in ein Drittland kann nach § 4c I 1 Nr. 1 BDSG unabhängig vom Schutzniveau des Empfängerlandes durch eine Einwilligung legitimiert werden. Für die Wirksamkeit datenschutzrechtlicher Einwilligungserklärungen von Minderjährigen kommt es auf die individuelle Einsichtsfähigkeit im Einzelfall an.⁷⁰⁷ Dies gilt im Ergebnis unabhängig von der Rechtsnatur der datenschutzrechtlichen Einwilligung, da auch die Stimmen in der Literatur, die vom rechtsgeschäftlichen Charakter der Einwilligung ausgehen, die §§ 104 ff. BGB nicht strikt anwenden, sondern ebenso wie die Vertreter der Ansicht, es handele sich bei der datenschutzrechtlichen Einwilligung um einen Realakt,⁷⁰⁸ auf die tatsächliche
Zscherpe, MMR , , ; Wolff/Brink-Kühling, § a BDSG Rn. ; Gola/Schomerus, § a Rn. ; Spindler/Schuster-Spindler/Nink, § a BDSG Rn. . Simitis-ders., § a Rn. ; Wolff/Brink-Kühling, § a BDSG Rn. ; Däubler et al.-Däubler, § a Rn. a. Beisenherz/Tinnefeld, DuD , , ; Maisch, Informationelle Selbstbestimmung, S. f.; Gola/Schomerus, § a Rn. a; Wolff/Brink-Kühling, § a BDSG Rn. . Gola/Schomerus, § a Rn. a; Spindler/Schuster-Spindler/Nink, § a BDSG Rn. .
168
Kapitel 3 Deutschland
Einsichtsfähigkeit des Minderjährigen abstellen.⁷⁰⁹ Nach Art. 8 I DS-GVO ist die Verarbeitung personenbezogener Daten eines Kindes, dem direkt Waren oder Dienstleistungen angeboten werden, bis zum vollendeten 16. Lebensjahr oder, sofern im Recht eines Mitgliedsstaats vorgesehen, bis zu einer niedrigeren Altersgrenze, die jedoch nicht unter dem vollendeten 13. Lebensjahr liegen darf, nur rechtmäßig, wenn und insoweit die Einwilligung hierzu von den Erziehungsberechtigten oder mit deren Zustimmung erteilt wird.
a) Einholung der Einwilligung Betreiber Sozialer Netzwerken weisen auf die Datenverarbeitung in der Regel in der Datenschutzrichtlinie des Unternehmens hin, bei Facebook derzeit Datenrichtlinie genannt. Bei der Registrierung muss der Nutzer den Nutzungsbedingungen zustimmen und zudem bestätigen, dass er die Datenrichtlinie sowie die Bestimmungen zur Verwendung von Cookies gelesen hat.⁷¹⁰ Auf diese Weise holt laut einer Studie knapp die Hälfte der Betreiber (44 Prozent) die Einwilligung der Nutzer ein, 41 Prozent erfordert das Setzen eines Häkchens in einer Checkbox.⁷¹¹ Ob allein das Betätigen der Registrierungsschaltfläche ausreicht, um damit eine datenschutzrechtliche Einwilligungserklärung abzugeben, ist umstritten.⁷¹² Durch den Hinweis auf die Datenrichtlinie und die Cookie-Bestimmungen wird dem Besucher deutlich, dass eine Datenverarbeitung vorgenommen wird,⁷¹³ so dass er damit rechnen muss, durch das Betätigen der Registrierungsschaltfläche auch eine datenschutzrechtlich relevante Erklärung abzugeben. Ob diese Einwilligungserklärung auch wirksam ist, ist eine davon zu trennende Frage und wird in Abschnitt b) behandelt. Entgegen der gängigen Praxis der Betreiber Sozialer Netzwerke ist für jede Änderung der Datenschutzrichtlinie oder der Nutzungsbedingungen, die mit der Datenverwendung personenbezogener Daten zusammenhängt, erneut die Ein-
Wolff/Brink-Kühling, § a BDSG Rn. ; Plath-ders., § a BDSG Rn. ; Simitis-ders., § a Rn. ; Zscherpe, MMR , , . S. Facebooks Registrierungseite: https://de-de.facebook.com/. Rogosch/Hohl, Data Protection, S. . HmbBfDI, Aufsichtsbehördliche Zuständigkeit, S. ; Härting, CR , , ; a.A. Piltz, Soziale Netzwerke, S. , f. A.A. LG Berlin CR , , – Freundefinder. Das LG vertritt die Ansicht, dass bei dem Link auf die Datenschutzbestimmungen im Rahmen des Registrierungsprozesses bei Facebook „jeder Hinweis darauf [fehle,] dass überhaupt Daten erhoben und verwendet werden, geschweige denn zu welchem Zweck dies erfolgen soll.“
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
169
willigung jedes Betroffenen einzuholen. Eine stillschweigende Einwilligung ist ausgeschlossen.⁷¹⁴ Bei der Datenerhebung auf Drittseiten ist zu beachten, dass die Einwilligung durch die für die Datenverarbeitung verantwortliche Stelle einzuholen ist – bei Facebooks Social Plugins und Pixel-Tags also von Facebook,⁷¹⁵ was jedoch nicht erfolgt.⁷¹⁶
b) Wirksamkeitsvoraussetzungen der Erklärung Die Voraussetzungen einer wirksamen Einwilligung ergeben sich aus § 4a BDSG, der über § 12 III TMG auch im TMG anwendbar ist, mit der Besonderheit, dass § 13 II TMG die Einwilligung auch in elektronischer Form unter bestimmten Voraussetzungen zulässt.⁷¹⁷ Für die Auslegung ist auf Art. 2 lit. h DSRL zurückzugreifen.⁷¹⁸
aa) Freiwillige Einwilligung, § 4a I 1 BDSG Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, § 4a I 1 BDSG, Art. 2 lit. h DSRL. Bei Sozialen Netzwerken kann ein faktischer Zwang gegeben sein, wenn es die Marktsituation dem Anbieter ermöglicht, die Leistungsgewährung von der Einwilligung in Datenverarbeitungen abhängig zu machen, die für die Vertragsdurchführung nicht erforderlich sind.⁷¹⁹ Zur Vermeidung derartiger Zwangslagen besteht das sog. Koppelungsverbot, das sich nach der Gesetzesbegründung als allgemeine Norm aus § 4a I 1 BDSG ergibt und damit auch über § 12 III TMG für das TMG gilt.⁷²⁰ In § 28 IIIb BDSG ist es zudem HmbBfDI, Aufsichtsbehördliche Zuständigkeit, S. ; Hoeren/Sieber/Holznagel-Helfrich, .. Rn. ; Taeger/Gabel-Taeger, § a BDSG Rn. ; Däubler et al.-Däubler, § a Rn. Rogosch, Einwilligung, S. . Ebenso: Art. Nr. DS-GVO und Erwägungsgrund . Siehe oben: Teil , Kap. , C., I., ., b), aa), (). A.A. KG Berlin NJW-RR , , . Das KG Berlin vertritt in seiner Entscheidung zum Like Button aus die Ansicht, die Datenerhebung erfolge durch den Seitenbetreiber, weshalb ihn die Pflichten des TMG träfen. Teil , Kap. , C., I., ., b). Taeger/Gabel-Moos, § TMG Rn. . Die DS-GVO übernimmt die Voraussetzungen des Art. lit. h DSRL und ergänzt sie durch das Erfordernis der eindeutigen Willensbekundung, Art. Nr. DS-GVO. Dazu Wolff/Brink-Kühling, § a BDSG Rn. . Gola/Schomerus, § a Rn. ; Schaar, Datenschutz, S. Rn. . BT-Drs. /, S. . Da es sich bei dem Koppelungsverbot um eine spezielle Ausprägung des allgemeinen Freiwilligkeitsgebots handelt, gilt dieses Prinzip auch ohne ausdrückliche gesetzliche Normierung auf unionaler Ebene. So auch Kipker/Voskamp, DuD , , . Für Cookies ergibt sich das Koppelungsverbot im Umkehrschluss aus Erwägungsgrund der E‐Privacy-RL, s. Art. WP, WP , .
170
Kapitel 3 Deutschland
gesondert für die Datenverarbeitung zu Werbezwecken normiert. Gem. Art. 7 IV DS-GVO ist für die Beurteilung der Freiweilligkeit der Umstand zu berücksichtigen, ob die Vertragsdurchführung von einer Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich ist. Nach dem Koppelungsverbot darf der Vertragsabschluss nicht von einer Einwilligung des Betroffenen in die nicht anderweitig erlaubte Datenverarbeitung abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Da die Einwilligung in sonst nicht erlaubte Datenverarbeitungen Voraussetzungen für die unbeschränkte Mitgliedschaft bei 85 Prozent der Sozialen Netzwerke ist,⁷²¹ stellt sich die Frage, ob der Betroffene hier in einer unzumutbaren Take it or leave it-Situation befangen ist.⁷²² Es besteht keine Einigkeit darüber, wann von einer freiwilligen Entscheidung nicht mehr gesprochen werden kann. Nach einer Ansicht befindet sich der Betroffene in einer Zwangslage, wenn er die Leistung nicht in gleichwertiger Weise bei einem anderen Anbieter in Anspruch nehmen kann. Ziel des Koppelungsverbots ist es, danach die Ausnutzung von Marktmacht bzw. einer Monopolstellung zu verhindern.⁷²³ Nach anderer Ansicht kann von einer Zwangslage nur gesprochen werden, wenn der Betroffene existentiell auf die Dienstleistung angewiesen ist,⁷²⁴ wie etwa bei Strom,Wohnung und Versicherung.⁷²⁵ Nach jüngsten Studien sind 92 Prozent der 14- bis 29-Jährigen Mitglied eines Sozialen Netzwerks.⁷²⁶ Davon sind 85 Prozent tatsächlich dort aktiv und wickeln ihre tägliche Kommunikation über das Soziale Netzwerk ab.⁷²⁷ 51 Prozent der 14bis 29-Jährigen können sich ein Leben ohne Soziale Netzwerke nicht mehr vorstellen.⁷²⁸ Aufgrund dieser enormen Bedeutung Sozialer Netzwerke bei Jugendlichen und dem damit einhergehenden sozialen Druck, scheint es fraglich, ob
Rogosch/Hohl, Data Protection, S. . Buchner, DuD , , . OLG Brandenburg MMR , , – Internetauktionshaus; Hladjk, Online-Profiling, S. ; v. Lewinski, DuD , , ; Rogosch, Einwilligung, S. ; Schaar, Datenschutz, S. f. Rn. ; Zscherpe, MMR , , . Buchner, DuD , , . Verneinend: Buchner, DuD , , .Wohl bejahend:Verbraucherkommission BW, Soziale Netzwerke, S. . BITKOM, Soziale Netzwerke , S. . BITKOM, Soziale Netzwerke , S. . IfD Allensbach, Mitglieder, S. ; LfD BW, . TB, S. f.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
171
Jugendliche ohne die Teilnahme an Sozialen Netzwerken ein normales Sozialleben führen können.⁷²⁹ Die Frage, ob insoweit von einem existentiellen Angewiesensein tatsächlich gesprochen werden kann, muss jedoch vorliegend nicht beantwortet werden, da es ausweislich der Gesetzesbegründung für das Eingreifen des Koppelungsverbots nicht zwingend vorausgesetzt wird.⁷³⁰ Diese Auslegung entspricht auch dem Wortlaut des § 28 IIIb HS 2 BDSG, wonach es darauf ankommt, ob ein anderer Zugang zu einer gleichwertigen vertraglichen Leistung besteht. Zu prüfen ist deshalb nur, ob die Einwilligung den Betroffenen quasi abgepresst wird, etwa weil eine Wahlmöglichkeit wegen einer Monopolbildung nicht gegeben ist,⁷³¹ oder weil die Leistung marktweit nur mit der Erteilung einer Einwilligung zu Datenverarbeitung zu erlangen ist.⁷³² Entscheidend ist also – und zwar unabhängig davon, ob ein Monopol vorliegt⁷³³ – ob es auf dem Markt ein Soziales Netzwerk gibt, bei dem der Dienst auch ohne die Einwilligung in die Datenverarbeitung möglich ist und ob dessen angebotene Leistung mit der des Wunsch-Netzwerks gleichwertig ist. Dabei sind die Leistungsmerkmale des konkreten Leistungsangebots aus der subjektiven Perspektive eines verständigen Nutzers maßgeblich.⁷³⁴ Das Soziale Netzwerk Diaspora bietet seinen Dienst auch ohne eine Einwilligung seiner Nutzer zu einer Datenverarbeitung zu Werbezwecken an.⁷³⁵ Das besondere Problem bei Sozialen Netzwerken ist jedoch, dass die Betroffenen auch bei einem inhaltlich gleichwertigen Angebot andere Netzwerke nicht als ernstzunehmende Alternative betrachten, da der entscheidende Erfolgsfaktor einer Sozialen Netzwerkseite von den sozialen Netzwerkeffekten abhängt.⁷³⁶ Kurz gesagt, wird eine Soziale Netzwerkseite mit dem inhaltlich und technisch gleichen Angebot für einen Nutzer keine gleichwertige Leistung sein, solange seine
Art. WP, WP , S. ; Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit, S. Fn. ; Spiecker, K&R , , . BT-Drs. /, S. . Ein tatsächliches Monopol wird nur in Ausnahmefällen anzunehmen sein. Das OLG Brandenburg lässt einen -prozentigen Marktanteil des Auktionshauses eBay nicht als Monopolstellung genügen, s. OLG Brandenburg MMR , , – Internetauktionshaus; Wolff/BrinkKühling, § a BDSG Rn. . BT-Drs. /, S. ; Achtruth, Social Networks, S. . BT-Drs. /, S. . Hladjk, Online-Profiling, S. ; Wolff/Brink-Kühling, § a BDSG Rn. . S. Webseite von Diaspora: https://joindiaspora.com/. Studien belegen, dass das Aufrechterhalten von Freundschaften und Bekanntschaften als größter Vorteil Sozialer Netzwerke angesehen wird, s. BITKOM, Soziale Netzwerke , S. ; Fuchs, DuD , , .
172
Kapitel 3 Deutschland
„Freunde“ bzw. sozialen Kontakte bei einer anderen Sozialen Netzwerkseite sind. Auch aufgrund der fehlenden Möglichkeit der Datenportabilität⁷³⁷ besteht kaum eine Wahl- oder Wechselmöglichkeit.⁷³⁸ Daraus muss geschlussfolgert werden, dass besonders beliebte Soziale Netzwerke mangels Gleichwertigkeit anderer Angebote gegen das Koppelungsverbot verstoßen mit der Folge, dass eine wirksame Einwilligung in die Datenverarbeitung nicht angenommen werden kann. Das bedeutet, dass diese Sozialen Netzwerke die Mitgliedschaft nicht von einer Einwilligung in die Datenverarbeitung abhängig machen können.
bb) Informierte Einwilligung, § 4a I 2 BDSG Nach Art. 2 lit. h DSRL ist eine Willensbekundung der betroffenen Person erforderlich, die für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Eine pauschale Erklärung, mit jeder weiteren Form der Datenverarbeitung einverstanden zu sein, ist daher nicht ausreichend.⁷³⁹ Das Maß der erforderlichen Bestimmtheit ist umso größer, je stärker der Persönlichkeitsschutz betroffen ist.⁷⁴⁰ Da sich der Wert einer Information und damit ihre persönlichkeitsrechtliche Relevanz aus ihrem Kontext ergeben, muss der Betroffene wissen, was mit den Daten geschieht. Er ist deshalb über die Zwecke⁷⁴¹ der Datenverwendung aufzuklären, §§ 4a I 2 BDSG, 12 III TMG.⁷⁴² Sie bestimmen die Grenzen der Zulässigkeit der Datenverarbeitung.⁷⁴³ Wie bei Sozialen Netzwerken eine informierte Einwilligung ermöglicht werden soll, wird nachfolgend hinsichtlich der Qualität der Informationen sowie in Bezug auf den Zugang und die Sichtbarkeit untersucht.⁷⁴⁴
Die Datenschutzgrundverordnung sieht die Möglichkeit der Datenportabilität vor, Art. DSGVO. Sie soll es dem Nutzer erleichtern, von einem Sozialen Netzwerk zu einem anderen zu wechseln, ohne seine Daten zu verlieren. Spiecker, K&R , , ; Verbraucherkommission BW, Soziale Netzwerke, S. ; Rogosch, Einwilligung, S. . BGHZ , , ff.; BGHZ , , ; Gola/Schomerus, § a Rn. ; Wolff/BrinkKühling, § a BDSG Rn. ; ULD, Reichweitenanalyse, S. ; WD BT, Fanpages, S. ; Zscherpe, MMR , , . Wolff/Brink-Kühling, § a BDSG Rn. ; Roßnagel-Holznagel/Sonntag, Hdb. Datenschutzrecht, . Rn. . Eine mehrfache Zwecknennung ist möglich, solange sie hinreichend konkret bleibt, s. Hladjk, Online-Profiling, S. . Düsseldorfer Kreis, Beschluss . . , S. . Grundlegend BVerfGE , , f. – Volkszählungsurteil; Beisenherz/Tinnefeld, DuD , , ; Hladjk, Online-Profiling, S. . Art. WP, WP , S. , ; EC, Gesamtkonzept, S. ; Rogosch, Einwilligung, S. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
173
(1) Qualität der Informationen Zweck der Hinweispflicht ist es, den Nutzer in eine Position zu versetzen, in der er das Für und Wider einer Einwilligung abschätzen kann.⁷⁴⁵ Dabei ist es ein Balanceakt, das richtige Maß zu finden – zwischen zu viel oder zu wenig Informationen, zwischen einer zu technisch und juristisch geprägten Sprache und einer zu oberflächlichen und vereinfachenden sowie zwischen dem Wunsch, eine bewusste und überdachte Entscheidung herbeizuführen, und dem Wunsch der schnellen und einfachen Handhabung des Internets.⁷⁴⁶ Der Betroffenen muss Anlass, Ziel und Folgen der Verarbeitung abschätzen können.⁷⁴⁷ Dazu muss er vollständig und am durchschnittlichen Empfängerhorizont orientiert verständlich über die gespeicherten Datenarten, die Verarbeitungsbedingungen, ‐schritte und ‐zwecke sowie die potentiellen Empfänger der Informationen unterrichtet sein.⁷⁴⁸ Auch wenn es in Folge des irischen Datenschutzaudits erhebliche Verbesserungen hinsichtlich der Transparenz und Übersichtlichkeit der Datenschutzbestimmungen bei Facebook gegeben hat,⁷⁴⁹ sind die Informationen über die Datenerhebung und Verwendung in Sozialen Netzwerken im Allgemeinen⁷⁵⁰ und auch nach wie vor bei Facebook im Besonderen gegenwärtig zu ungenau und unklar formuliert⁷⁵¹ sowie unübersichtlich und oftmals inhaltlich unverständlich.⁷⁵² Einige Informationen fehlen vollständig,⁷⁵³ andere sind unvollständig⁷⁵⁴
Hoffmann-Riem, JZ , , ; Roßnagel-Holznagel/Sonntag, Hdb. Datenschutzrecht, . Rn. ; Rogosch, Einwilligung, S. f. Menzel, DuD , , f.; Piltz, Soziale Netzwerke, S. ; Rogosch, Einwilligung, S. . Roßnagel-Sonntag, Hdb. Datenschutzrecht, . Rn. ; Rogosch, Einwilligung, S. f. Weitnauer-Missling, S. ; v. Lewinski, DuD , , ; Taeger/Gabel-Taeger, § a BDSG Rn. ; Schaar, MMR , , ; Zscherpe, MMR , , . IDPC, Facebook Re-Audit, S. f.; BfDI, . TB, S. . Beispiele anderer Anbieter finden sich bei Härting, CR , , ff.; Piltz, Soziale Netzwerke, S. ff. Vergleichbar: LG Berlin ZD , – Apple. Die von Rogosch/Hohl durchgeführte Studie zieht in Zweifel, dass die einfache Sprache und Unterteilung mit Gliederungsebenen tatsächlich eine Informiertheit der Betroffenen herbeiführt, s. Rogosch/Hohl, Data Protection, S. . Bsp. aus Facebooks Datenrichtlinie zu Informationen von Drittpartnern siehe oben S. Fn. . Als in ihrer Unbestimmtheit unübertroffen charakterisiert Erd Facebooks Datenschutzrichtlinie, s. Erd, NVwZ , , ; Erd, in: Taeger, Digitale Evolution, S. ff. Unklar bleibt beispielsweise, welche Daten tatsächlich für Werbezwecke herangezogen werden, s. LG Berlin CR , , – Freundefinder. Informationen zur Art und Weise der Datenanalyse fehlen vollständig. Laut der Entscheidung des LG Berlin ZD , , f. erfolgt bei Spiele-Apps auf der Facebook-Website keine ausreichende Information darüber, zu welchen Zwecken die Datenübermittlung erfolgt und was mit den Daten beim Spiele-Anbieter passiert.
174
Kapitel 3 Deutschland
oder lediglich beispielhaft beschrieben⁷⁵⁵ mit der Folge, dass der Betroffene sich kein umfassendes und zutreffendes Bild von der Datenerhebung und -verarbeitung durch Facebook machen kann. Abgesehen von den konkreten Umsetzungsmängeln ist es zudem allgemein sehr problematisch, wie nach den gesetzlichen Vorgaben korrekt über die Profilbildung zu informieren ist. Der Einzelne muss zumindest realisieren, dass er „psychografisch strukturiert und kategorisiert“ wird.⁷⁵⁶ Darüber hinaus gehört es aber gerade zum Wesen des KDD-Verfahrens, nicht vorhersagen zu können, welche Korrelationen und Muster entdeckt und damit welche Daten gewonnen werden. Deshalb gehen einige Meinungen davon aus, dass bei der Profilbildung letztlich keine informierte Einwilligung denkbar ist.⁷⁵⁷ Deshalb solle die Möglichkeit, fehlende Daten durch Recherche oder Analyse zu erfahren, ausscheiden, da sonst das Selbstbestimmungsrecht des Betroffenen unterlaufen werde.⁷⁵⁸ Denkbar ist aber eine Aufklärung dahingehend, welche Datenarten durch die Anwendung welcher Analyseverfahren aufgedeckt werden können⁷⁵⁹ und dass dazu auch sensible Daten über den Nutzer gehören können, § 4a III BDSG. Weiterhin muss der Verwendungsweck der neu gewonnenen Daten genau beschrieben werden, etwa durch eine listenmäßige Aufzählung.⁷⁶⁰ Art. 13 II lit. f und 14 II lit. g DS-GVO normieren, dass der Einzelne über die Bedeutung sowie mögliche Konsequenzen der Verarbeitung des Profiling informiert werden muss. Ziel der Information des Nutzers soll es sein, dass er eine wohlüberlegte, verständige Entscheidung in Kenntnis der möglichen Folgen seines Handelns treffen kann. Schwierigkeiten können sich hier aber in mehrfacher Hinsicht ergeben. Zum einen ist es nahezu unmöglich, die Analyseverfahren in einer Weise zu beschreiben, die es für den Nutzer nachvollziehbar macht, ob die gewonnenen Er-
S. das Bsp. zu Informationen von Drittpartnern, siehe oben S. Fn. . Podlech/Pfeifer, RDV , , . Baeriswyl, RDV , , ; Crawford/Schultz, B.C. L. Rev. – (); Custers et al., in: Custers et al., Discrimination, S. f.; Hildebrandt, in: Gutwirth et al., Reinventing, S. ; Iraschko-Luscher, DuD , , ; Roßnagel-Scholz, Hdb. Datenschutzrecht, . Rn. ff.; Vesting, in: Ladeur, Regulierung des Internet, S. , . Iraschko-Luscher, DuD , , . Helbing, K&R , , . Fröhle, Web Advertising, S. ; Hladjk, Online-Profiling, S. , Fn. ; Podlech/Pfeifer fordern, der Betroffene müsse im Hinblick auf die Profilbildung und -nutzung tatsächlich realisieren, „in Zukunft psychographisch strukturiert und kategorisiert als Objekt der unterschiedlichsten Absatzinteressen von Firmen angesprochen zu werden und mit den unterschiedlichsten Produkten und Dienstleistungen jederzeit auch in einem nicht absehbaren Ausmaß konfrontiert zu werden.“, Podlech/Pfeifer, RDV , .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
175
kenntnisse auch der Realität entsprechen werden. Dies ist eine Frage, die verständig nur Informatiker durch Auswertung des Analysealgorithmus, beurteilen können. Um die Validität der über ihn vorhandenen Informationen überprüfen zu können, müsste der Einzelne also regelmäßig von seinem Auskunftsanspruch Gebrauch machen. Zum anderen stellt es eine erhebliche Schwierigkeit dar, dem Nutzer das Bewusstsein für die Gefahren der Profilbildung zu vermitteln, das für eine korrekte Risikoabschätzung erforderlich ist.⁷⁶¹
(2) Zugang und Sichtbarkeit der Informationen Die konkrete Form und Gestaltung der Aufklärung liegt, mangels anderer Angaben, im Ermessen des Diensteanbieters. § 13 II Nr. 3 TMG bestimmt lediglich, dass der Inhalt der Einwilligung jederzeit abrufbar sein muss. Datenschutzbestimmungen Sozialer Netzwerke entsprechen grundsätzlich diesen Anforderungen,⁷⁶² wenn sie durch eine leicht auffindbare Verlinkung auf der Startseite eingebunden sind.⁷⁶³
cc) Form der Einwilligung, § 13 II TMG, § 4a I 3 BDSG Formerfordernissen wird eine Warn- und Hinweisfunktion zugedacht, die dazu führen soll, dass der Betroffene eine bewusste und überdachte Entscheidung trifft.⁷⁶⁴ Die diesbezüglichen Vorgaben spielen deshalb eine wichtige Rolle bei der Bewertung der Effektivität des Einwilligungserfordernisses im deutschen und unionalen Datenschutzrecht.
(1) § 13 II Nr. 1 TMG § 13 II TMG ermöglicht eine elektronische Einwilligung unter bestimmten Voraussetzungen. Bei Sozialen Netzwerken ist lediglich das Anklicken der Registrieren-Schaltfläche verbunden mit dem Hinweis auf die Datenschutzerklärung und Nutzungsbedingungen als Einwilligungserklärung vorgesehen.
Hladjk, Online-Profiling, S. . LfD BW, . TB S. ; Hladjk, Online-Profiling, S. ; v. Lewinski, DuD , , f.; Buxel, DuD , ff.; Spindler/Schuster-dies., § TMG Rn. . LfD BW, . TB, S. ; Härting, Internetrecht, S. Rn. ; Hladjk, Online-Profiling, S. ;. v. Lewinski, DuD , , ; Spindler/Schuster-dies., § TMG Rn. ; Plath-Hullen/Roggenkamp, § TMG Rn. . Spindler/Schuster-Spindler/Nink, § a BDSG Rn. ; Spindler/Schuster-Spindler, § BGB Rn. .
176
Kapitel 3 Deutschland
Nach einer Ansicht soll dies grundsätzlich ausreichen. Zur Begründung wird das zur Einwilligung in papiergebundener Form nach § 4a BDSG ergangene Payback-Urteil des BGH⁷⁶⁵ herangezogen.⁷⁶⁶ Danach kann auch bei einem bereits vorangekreuzten Einwilligungskästchen eine wirksame Einwilligung vorliegen.⁷⁶⁷ Diese passive Variante der Einwilligung wird im als Opt-out bezeichnet, die aktive als Opt-in.⁷⁶⁸ Im US-Recht dienen die Begriffe dahingegen zur Abgrenzung zwischen Einwilligung und Widerspruch.⁷⁶⁹ Gegen die Übertragung dieser Rechtsprechung auf Internetsachverhalte spricht, dass § 13 II TMG die Einwilligungsvoraussetzungen gegenüber § 4a I BDSG verschärft. Gerade bei vereinfachter Form muss strikter sichergestellt werden, dass die Information auch tatsächlich wahrgenommen wurde, § 13 II Nr. 1 TMG. Bei der Opt-out-Lösung, bei der das Häkchen in der Box gesetzt ist und der Nutzer es entfernen muss, wenn er nicht zustimmen möchte, kann nicht ausgeschlossen werden, dass das Häkchen nur gesetzt bleibt, weil der Nutzer die Bedingungen nicht gelesen hat. Damit kann nicht sichergestellt werden, dass die Einwilligung bewusst und eindeutig erteilt wurde.⁷⁷⁰ Gegen die Zulässigkeit eines Opt-out-Verfahrens spricht zudem Art. 7 lit. a DSRL, der vorsieht, dass der Betroffene seine Einwilligung ohne jeden Zweifel erteilt haben muss und zwar unabhängig davon, ob es sich um Nutzungs- oder Inhaltsdaten handelt. Danach ist eine passive Einwilligung nicht ausreichend.⁷⁷¹ Gem. Art. 4 Nr. 11 DS-GVO i.V.m. Erwägungsgrund 32 DS-GVO ist eine eindeutige Handlung notwendig und eine stillschweigende Einwilligung ausgeschlossen. Ein Opt-out scheidet danach aus.⁷⁷² Erforderlich ist deshalb ein aktives Tätigwerden des Betroffenen. Als ausreichend anerkannt ist das Setzen eines Häkchens in einer Checkbox⁷⁷³ und das
BGHZ , , = BGH NJW , , – Payback. Bestätigt durch BGH NJW , , – Happy Digits. Piltz, Soziale Netzwerke, S. f.; Spindler/Schuster-dies., § TMG Rn. . BGHZ , , = BGH NJW , , – Payback; BGH NJW , , – Happy Digits. Rogosch, Einwilligung, S. ; Hanloser, CR , , . Vgl. bspw. Sovern, Wash. L. Rev. , (). Art. WP,WP , S. ; DSK, Orientierungshilfe „Soziale Netzwerke“, S. ; Buchner, DuD , , f. Art. WP, WP , S. f. und im Hinblick auf Cookies Art. WP, WP , S. . Ausführlich: Rogosch, Einwilligung, S. ff.; fsm, Kodex Report, S. ; a.A.: Härting, Internetrecht, S. Rn. . Buchner, DuD , , ; Rogosch, Einwilligung, S. f. Erwägungsgrund ECRL.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
177
anschließende Betätigen einer Einwilligungs-Schaltfläche als Bestätigung des Übermittlungsbefehls.⁷⁷⁴
(2) Besondere Umstände, § 4a I 3 HS 2 BDSG Nach Auffassung der Aufsichtsbehörden für den Datenschutz genügt allein der Umstand, dass der Vertragsschluss im Internet stattfindet, nicht für die Annahme besonderer Umstände i.S.d. § 4a I 3 HS 2 BDSG. Eine entsprechende Änderung hätte der Gesetzgeber sonst bei der BDSG-Novellierung 2011 vornehmen können.⁷⁷⁵ Entscheidend für das Vorliegen besonderer Umstände sind die Sensibilität der Daten, die Eilbedürftigkeit sowie die Folgen für den Betroffenen.⁷⁷⁶ Da auch durch Nutzungsdaten auf sensible Daten geschlossen werden kann, besteht keine unterschiedliche Grundrechtsbetroffenheit im Vergleich zu Inhaltsdaten. Fallen aber bei einem Telemedium im Zuge ein- und desselben Nutzungsvorgangs neben den Nutzungsdaten auch Inhaltsdaten an, die in ihren potentiellen Auswirkungen auf den Betroffenen identisch sind, so wäre es widersinnig, für die Daten unterschiedliche Formen der Einwilligung zu fordern.⁷⁷⁷ Deshalb kann auch im Online-Bereich die elektronische Einwilligung als ausreichend angesehen werden.⁷⁷⁸ Dieses Auslegungsergebnis stimmt auch mit der unionsrechtlichen Wertung überein, die kein allgemeines Schriftformerfordernis vorsieht, Art. 2 lit. h, 7 lit. a DSRL.⁷⁷⁹ In der Praxis wird eine schriftliche Einwilligung nicht eingefordert.
(3) Formerfordernis bei Cookies, Art. 5 III DSRL Zwar sieht Erwägungsgrund 66 der RL 2009/136/EG vor, dass die Einwilligung auch mittels entsprechender Browsereinstellungen erteilt werden kann. Gleichzeitig wird aber darauf verwiesen, dass auch die Voraussetzungen der DSRL
OLG Brandenburg MMR , , – Internetauktionshaus; BT-Drs. /, S. ; Plath-Hullen/Roggenkamp, § TMG Rn. ; Taeger/Gabel-Moos, § TMG Rn. f.; Fröhle, Web Advertising, S. ; Piltz, Soziale Netzwerke, S. ; Zscherpe, MMR , , . Schaar, MMR , , . Schaar, Datenschutz, S. f. Rn. ; Spindler/Schuster-Spindler/Nink, § a BDSG Rn. . Hladjk, Online-Profiling, S. ; Piltz, Soziale Netzwerke, S. ff., insb. Fn. . Achtruth, Social Networks, S. f.; Taeger/Gabel-Taeger, § a BDSG Rn. ; Wolff/BrinkKühling, § a BDSG Rn. ; Simitis-ders., § a Rn. . Art. WP, WP , S. . Je nach Sensibilität und Zweck der Verarbeitung kann auch die elektronische Form genügen.
178
Kapitel 3 Deutschland
eingehalten werden sollen. Insoweit gilt das oben Gesagte hier ebenfalls. Das Nichtverändern der Browservoreinstellungen kann nicht hinreichend sicherstellen, dass der Nutzer tatsächlich mit dem Setzen der Cookies einverstanden ist.⁷⁸⁰ Nach den Best Practice-Empfehlungen der Artikel-29-Datenschutzgruppe zur verhaltensorientierten Online-Werbung kann die Einwilligung für Cookies neben der Pop-up-Lösung etwa durch statische Informationsbanner mit Einwilligungsschaltfläche eingeholt werden.⁷⁸¹
dd) Hervorhebungsgebot bei AGB, § 4a I 4 BDSG Nach § 4a I 4 BDSG muss die Einwilligung, wenn sie mit anderen Erklärungen zusammen schriftlich erteilt werden soll, besonders hervorgehoben werden. Mit dem Hervorhebungsgebot soll sichergestellt werden, dass der Betroffene nicht übersieht, dass er eine Erklärung im Hinblick auf die Verarbeitung seiner Daten abgibt.⁷⁸² Damit die Warnfunktion erfüllt werden kann und der Nutzer die Tragweite seiner Erklärung überblickt, darf eine Einwilligungserklärung nicht ohne Weiteres im Fließtext von AGB untergebracht werden, sondern muss hervorstechen, etwa durch eine drucktechnische Hervorhebung – wie sie in § 28 IIIa 2 BDSG konkretisierend gefordert ist – mittels auffälliger typographischer Gestaltung (größere Schrifttype, Fettdruck, Umrahmung).⁷⁸³ Diese Anforderung muss auch für die elektronische Einwilligung gelten, da durch die vereinfachte Form keine Absenkung des Schutzniveaus gewollt ist.⁷⁸⁴ An einer solchen Hervorhebung fehlt es bei Facebooks Datenschutzbestimmungen, so dass auch insoweit Nachbesserungsbedarf besteht.⁷⁸⁵ Ideal ist die Darstellung der unterschiedlichen Datenkategorien, Verarbeitungsschritte und -zwecke sowie eine Auflistung der Empfänger mit der jeweiligen Möglichkeit, durch Ankreuzen die Einwilligung gezielt zu erteilen.⁷⁸⁶
Art. WP,WP , S. ; Himmels, Behavioural Targeting, S. f.; Piltz, Soziale Netzwerke, S. f. Zu Flash-Cookies s. Schröder, ZD , , ff.; Ott, K&R , , . Art. WP, WP , S. . BGHZ , , = BGH NJW , , – Payback. BT-Drs. /, S. ; HmbBfDI, Aufsichtsbehördliche Zuständigkeit, S. ; Zscherpe, MMR , , f. HmbBfDI, Aufsichtsbehördliche Zuständigkeit, S. ; Hladjk, Online-Profiling, S. ; Hoeren/Sieber/Holznagel-Schmitz, .. Rn. . LG Berlin CR , , – Freundefinder (bezugnehmend auf die Hinweispflicht, § a I BDSG); HmbBfDI, Aufsichtsbehördliche Zuständigkeit, S. ; Dietrich/Ziegelmayer, CR , , ; Härting, CR , , mit gleichem Ergebnis für Google- und Apple-Nutzungsbedingungen. Hladjk, Online-Profiling, S. ; Roßnagel/Pfitzmann/Garstka, Modernisierung, S. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
179
Allerdings sieht die DSRL kein Hervorhebungsgebot vor und auch Art. 7 II DSGVO normiert dieses Prinzip nur im Fall einer schriftlichen Erklärung, so dass die Handhabung durch Facebook aus der Perspektive des EU-Datenschutzrechts nicht zu kritisieren ist.
ee) Widerruflichkeit Die Widerruflichkeit der Einwilligung ist in § 13 II Nr. 4 TMG, § 28 IIIa BDSG ausdrücklich normiert; sie ist aber für die datenschutzrechtliche Einwilligung im Grundsatz allgemein anerkannt.⁷⁸⁷ Auf die Möglichkeit, die Einwilligung zu widerrufen muss gem. § 13 III TMG hingewiesen werden. In der Praxis wird die Erfüllung der Hinweis- und der Unterrichtspflicht meist gemeinsam in einem Schritt zusammengefasst.⁷⁸⁸ Ein solcher Hinweis fehlt derzeit bei Facebook.⁷⁸⁹
c) Ergebnis Für die nicht über einen Erlaubnistatbestand legitimierten Tatbestände der Datenerhebung und ‐nutzung kann eine Einwilligung nur unter den oben geschilderten Voraussetzungen wirksam werden. Derzeit werden die Anforderungen jedoch von den Betreibern Sozialer Netzwerke, insbesondere vom Marktführer Facebook, in mehrfacher Hinsicht nicht erfüllt. Die Informationen sind in der Regel zu vage, über das Ausmaß der Datenanalyse und Profilbildung wird nicht informiert. Bei Social Plugins genügt ein Hinweis in der Datenrichtlinie des Sozialen Netzwerks nicht. Erforderlich ist vielmehr die Einholung der Einwilligung auf der Drittseite wie bei der 2-Klick-Lösung von Heise.⁷⁹⁰
5. Rechtsansprüche des Betroffenen Für die Frage der Effektivität des Schutzes gegen Risiken der Profilbildung nach deutschem bzw. unionalem Datenschutzrecht sind die Selbstschutzmöglichkeiten der Betroffenen und ihre Ausgestaltung zu beachten. So werden die gesetzlichen Vorgaben zur Rechtmäßigkeit von Profilen durch Rechtsansprüche des Betroffe-
Simitis-ders., § a Rn. ; Plath-ders., § a BDSG Rn. . Spindler/Schuster-dies., § TMG Rn. ; Hladjk, Online-Profiling, S. f., ; Härting, CR , ff. Härting, CR , , . Dazu bereits oben: Teil , Kap. , C., II., ., b), bb); Heise, Klicks. Diese Lösung wird auch vom BfDI als datenschutzgerecht angesehen, s. BfDI, . TB (/), S. .
180
Kapitel 3 Deutschland
nen aus § 12 III TMG i.V.m. §§ 33 ff. BDSG flankiert, die Art. 12 DSRL umsetzen.⁷⁹¹ Dem von einer Datenverarbeitung Betroffenen stehen Auskunfts-, Widerspruchsund Berichtigungsrechte zu, die bei einer rechtswidrigen Datenverarbeitung durch Lösch- und Schadensersatzansprüche ergänzt werden. Aufgrund ihrer Bedeutung für das Recht auf informationelle Selbstbestimmung sind sie gem. § 6 BDSG indisponibel. Da die in § 35 BDSG normierten Vorgaben zur Löschung, Sperrung und Berichtigung nicht nur Rechte des Betroffenen sind, sondern auch ohne die Geltendmachung durch die Betroffenen von der datenverarbeitenden Stelle einzuhalten sind,⁷⁹² sei insoweit auf die bereits oben erfolgte Darstellung verwiesen. Darüber hinausgehend ermöglicht § 35 V BDSG dem Betroffenen, Widerspruch gegen eine rechtmäßige Datenverarbeitung einzulegen, wenn wegen seiner speziellen schutzwürdigen Situation sein schutzwürdiges Interesse das der datenverarbeitenden Stelle überwiegt. Die Vorschrift ermöglicht die Berücksichtigung von Sondersituationen im Einzelfall.⁷⁹³
a) Auskunftsrecht, § 34 BDSG Das Auskunftsrecht aus § 34 I 1 BDSG konkretisiert die Kernaussage des BVerfG, dass der Bürger wissen muss, wer wann was über ihn weiß, und bildet die Grundlage für die weiteren Kontrollrechte.⁷⁹⁴ Dem Betroffenen ist auf Antrag Auskunft zu erteilen über die zu seiner Person gespeicherten Daten, ihre Herkunft, die Empfänger oder Kategorien von Empfängern, an welche die Daten weitergegeben werden, und den Zweck der Speicherung. Auch die DS-GVO gewährt Betroffenen Einsichtsrechte. Gem. Art. 15 I lit. h DS-GVO kann ein Betroffener ähnlich wie im Rahmen des § 34 II, IV BDSG im Fall der automatisierten Entscheidung, die das Profiling beinhaltet, Auskunft verlangen über die der automatisierten Verarbeitung zugrundeliegende Logik und die Bedeutung sowie mögliche Konsequenzen der Verarbeitung.⁷⁹⁵ Dadurch soll die Transparenz gegenüber den Betroffenen verbessert werden. Diese Vorschriften spielen insbesondere für Auskunfteien eine Rolle, sind also für mögliche zukünftige Geschäftsmodelle der Betreiber Sozialer Netzwerke relevant.
Plath-Becker, § BDSG Rn. Fn. . Eßer/Kramer/v. Lewinski-Stollhoff, § BDSG Rn. . Plath-Kamlah, § BDSG Rn. ; Eßer/Kramer/v. Lewinski-Stollhoff, § BDSG Rn. . Plath-Kamlah, § BDSG Rn. . Zur Reichweite des Auskunftsanspruchs nach § IV BDSG s. BGHZ , , f. = NJW , , – Schufa.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
181
b) Schadensersatzanspruch, § 7 BDSG Dem Einzelnen steht gem. dem auf Art. 23 DSRL beruhenden § 7 BDSG ein Schadensersatzanspruch bei unbefugter Datenverarbeitung zu, der von dem Auskunftsanspruch aus § 34 I BDSG flankiert wird und den er gerichtlich geltend machen kann. Die Schadensersatzpflicht besteht nicht, wenn die verantwortliche Stelle die gebotene Sorgfalt beachtet hat.⁷⁹⁶ Für den Ersatz immaterieller Schäden bietet § 7 BDSG keine Anspruchsgrundlage.⁷⁹⁷ Nach dem Rote Linie-Gesetzentwurf der Bundesregierung von 2010 sollte im BDSG ein Schmerzensgeldanspruch für schwerwiegende Persönlichkeitsbeeinträchtigungen geschaffen werden, die nach einem neu einzuführenden § 38b S. 2 Nr. 1 TMG u. a. bei der Veröffentlichung von umfangreichen Persönlichkeits- oder Bewegungsprofilen vorliegt.⁷⁹⁸ Allerdings ist der Entwurf bislang nicht über die Ressortabstimmung hinausgekommen und wird offenbar auch nicht weiter verfolgt. Art. 82 I DS-GVO normiert einen immateriellen Schadensersatzanspruch.
6. Rechtmäßigkeit der Datenübermittlung in die USA Ausweislich der Nutzungsbedingungen von Facebook werden auch die Daten europäischer Mitglieder in die USA transferiert.⁷⁹⁹ Zusätzlich zu den oben dargestellten Rechtfertigungstatbeständen müssen für die Rechtmäßigkeit eines Datentransfers ins Ausland weitere Voraussetzungen erfüllt sein. § 4b II 2 BDSG bestimmt, dass eine Datenübermittlung in einen Drittstaat, also einen Staat außerhalb der EU bzw. des EWR, zu unterbleiben hat, wenn dort ein angemessenes Datenschutzniveau nicht gewährleistet ist. Auf Grundlage des Art. 25 VI DSRL kann die EU-Kommission die Angemessenheit des Datenschutzes in einem Drittland feststellen, wenn dieses aufgrund einer Vereinbarung bestimmte Anforderungen erfüllt.⁸⁰⁰ Zur Angemessenheit des Datenschutzniveaus in den USA traf die EU-Kommission nach Verhandlungen mit den Vereinigten Staaten 2000 die Safe HarborEntscheidung,⁸⁰¹ mit der sie anerkannte, dass die vom US-Handelsministerium
Schaar, Datenschutz, S. . Plath-Becker, § BDSG Rn. ;Taeger/Gabel-Gabel, § BDSG Rn. ; Däubler et al.-Däubler, § Rn. f. BMI, Rote Linie-GesetzE, S. , . Facebook, Nutzungsbedingungen, , Nr. . Ebenso Art. DS-GVO. Entscheidung der Kommission vom . . gemäß der Richtlinie //EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des
182
Kapitel 3 Deutschland
herausgegebenen „Grundsätze des ,sicheren Hafens‘ zum Datenschutz“ (kurz: Grundsätze) und „Häufig gestellten Fragen“ (kurz: FAQ) ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten aus der EU gewährleisten. Nach einer vorherigen Überprüfung, ob es sich bei dem Datenempfänger um eine Safe Harbor-zertifizierte Stelle handelt, war eine Datenübermittlung in die USA auf dieser Grundlage möglich.⁸⁰² Vor dem Hintergrund des unbegrenzten Zugriffs des US-amerikanischen Geheimdiensts auf in die USA übermittelte Daten von EU-Bürgern erklärte der EuGH die EU-US Safe Harbor-Entscheidung jedoch am 06.10. 2015 für ungültig.⁸⁰³ Die Entscheidung und ihre Konsequenzen für die Rechtmäßigkeit der Datenübermittlung in die USA stellt der nachfolgende Abschnitt dar. Außerdem wird erläutert, welche weiteren Kritikpunkte bei der Neuverhandlung zu berücksichtigen waren.
a) Ungültigkeit der Safe Harbor-Entscheidung nach dem EuGH-Urteil vom 06. 10. 2015 Die Safe Harbor-Entscheidung erlaubt – beim Vorliegen der übrigen Voraussetzungen des BDSG und TMG – die Übermittlung personenbezogener Informationen aus EU-Mitgliedsstaaten an zertifizierte Unternehmen in den USA.⁸⁰⁴ Um als Unternehmen einen transatlantischen Datentransfer im Rahmen der Safe Harbor-Entscheidung vornehmen zu können, muss es zum einen in seinen öffentlich zugänglichen Datenschutzbestimmungen angeben, dass es die Safe Harbor-Grundsätze anerkennt und einhält, und zum anderen gegenüber dem USamerikanischen Handelsministerium erklären, dass es nach diesen Grundsätzen handelt (Selbstzertifizierung).⁸⁰⁵ Eine offizielle Vorabprüfung, ob dies der Wahrheit entspricht, erfolgt nicht.⁸⁰⁶ Die Selbstzertifizierungserklärung ist jedes Jahr erneut zu übermitteln.⁸⁰⁷ Die Safe Harbor-Grundsätze umfassen Bestimmungen zum Schutz personenbezogener Daten (Datenintegrität, Sicherheit, Wahlmög-
„sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (Bekannt gegeben unter Aktenzeichen K() ) – Entscheidung //EG (kurz: Safe Harbor-Entscheidung). Gola/Schomerus, § b Rn. . EuGH . . , Rs. C-/, Slg. unv. – Safe Harbor. EC, Mitteilung Safe Harbor , S. . Entscheidung //EG, Anhang II, FAQ und Erwägungsgrund ; EC, Mitteilung Safe Harbor , S. f. Entscheidung //EG, Art. III. Entscheidung //EG, Anhang II, FAQ .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
183
lichkeit und Weitergabe) sowie Verfahrensrechte betroffener Personen (Informationspflicht, Auskunftsrecht und Durchsetzung).⁸⁰⁸
aa) Ausgangsverfahren und Vorlagefragen Dem Ausgangsverfahren lag eine Klage des österreichischen Staatsbürgers Schrems gegen die irische Datenschutzbehörde (Data Protection Commissioner, DPC) vor dem irischen High Court zugrunde, die sich gegen die Entscheidung der DPC richtete, die Rechtmäßigkeit der Datenweitergabe durch Facebook Irland an die Muttergesellschaft in den USA nicht zu überprüfen.⁸⁰⁹ Schrems machte in seiner Beschwerde gegenüber der DPC geltend, dass die USA keinen ausreichenden Schutz der dort gespeicherten Daten vor der Überwachungstätigkeit der National Security Agency (NSA) biete.⁸¹⁰ Die Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Snowden ⁸¹¹ haben offengelegt, dass US-Sicherheitsbehörden mit dem Programm PRISM (Planning Tool for Resource Integration, Synchronization, and Management) systematisch und massenhaft auf in die USA übermittelte personenbezogene Daten zugreifen⁸¹² und einige USUnternehmen, darunter auch Facebook, ihre Server für Zugriffe der NSA freigegeben haben.⁸¹³ In den USA ist eine solche anlasslose, flächendeckende Überwachung von Nicht-US-Bürgern nach dem Foreign Intelligence Surveillance Act (FISA) Amendments Act von 2008,⁸¹⁴ 50 U.S.C. § 1881a erlaubt.⁸¹⁵ Daran hat auch die Reform der US-Geheimdienste, die im Juni 2015 verabschiedet wurde und Teile des USA Patriot Act ⁸¹⁶ durch den USA Freedom Act ersetzt, nichts geändert, da mit ihr lediglich die Überwachung von Telefonmetadaten in den USA beschränkt wurde, das PRISM-Programm aber unberührt lässt.⁸¹⁷ Die DPC lehnte eine Überprüfung der Rechtmäßigkeit der Übermittlung von Daten europäischer Facebook-Nutzer durch die irische Ltd. an Facebook Inc. in den USA mit der Begründung ab, dass es sich bei Facebook Inc. um ein Safe
Entscheidung //EG, Anhang I; EC, Mitteilung Safe Harbor , S. . Irish High Court No. JR. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. Greenwald/MacAskill/Poitras, Guardian . . . Gellman/Poitras, Washington Post . . . Gellman/Poitras, Washington Post . . . FISA Amendments Act von , § , Pub.L. – , Stat. = U.S.C. § a. Gärditz/Stuckenberg, JZ , , ; Maisch, Informationelle Selbstbestimmung, S. . Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA Patriot Act) Act of , H.R..ENR. Kaplan, Slate . . ; SZ.de, . . .
184
Kapitel 3 Deutschland
Harbor-zertifiziertes Unternehmen handelt⁸¹⁸ und die Datenschutzbehörde durch die Safe Harbor-Entscheidung der Kommission gebunden sei. Gegen diese Entscheidung wandte sich Schrems mit einer Klage vor dem irischen High Court, der daraufhin dem EuGH im Juni 2014 die Fragen vorlegte, ob nationale Aufsichtsbehörden angesichts der bekannt gewordenen Praktiken der NSA die Frage der Angemessenheit des Datenschutzniveaus bei Datenübermittlungen an Safe Harbor-zertifizierte Unternehmen überprüfen dürfen oder dies sogar müssen.⁸¹⁹
bb) Entscheidungsinhalt und -begründung Der EuGH stellte in seiner Entscheidung fest, dass Datenschutzbehörden durch die Entscheidung der Kommission zur Angemessenheit des Schutzniveaus in einem Drittland nach Art. 25 VI DSRL nicht darin gehindert werden, eine Eingabe eines Betroffenen zu prüfen, die sich gegen die Datenübermittlung in dieses Drittland wendet.⁸²⁰ Die Eingabe sei so zu verstehen, dass sie sich der Sache nach gegen die Vereinbarkeit der Kommissionsentscheidung mit dem Schutz der Privatsphäre sowie den Freiheiten und Grundrechten wendet.⁸²¹ Zur Feststellung der Ungültigkeit einer Kommissionsentscheidung sei aber allein der EuGH befugt.⁸²² Die in diesem Verfahren in Rede stehende Safe Harbor-Entscheidung erklärte der EuGH für ungültig.⁸²³
(1) Kompetenzen der Aufsichtsbehörden Der EuGH nahm nicht nur zur Kompetenz von nationalen Aufsichtsbehörden Stellung, die Angemessenheit des Schutzniveaus eines Drittlandes zu überprüfen, sondern auch zur Möglichkeit der Behörden die Datenübermittlung in Einzelfällen auszusetzen.
Siehe Liste der zertifizierten Unternehmen des DOC, abrufbar unter: https://safeharbor.ex port.gov/list.aspx. Irish High Court, Beschluss über die Vorlage an den EuGH, . . , abrufbar unter: http://www.europe-v-facebook.org/Order_ADJ.pdf. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
185
(a) Unabhängige Überprüfung des Schutzniveaus Die Safe Harbor-Entscheidung der EU-Kommission ist als Teil des EU-Rechts von den Datenschutzbehörden der EU-Mitgliedsstaaten anzuwenden.⁸²⁴ Nationale Datenschutzbehörden können nach Ansicht des EuGH dennoch unabhängig von der Kommissionsentscheidung die Voraussetzungen der Datenübermittlung in ein Drittland im Einzelfall prüfen. Andernfalls würde Betroffenen ihr Recht aus Art. 8 I und III GRCh, Eingaben zum Schutz ihrer Grundrechte machen zu können, vorenthalten.⁸²⁵ Außerdem sehe Art. 28 DSRL, der dieses Recht in der DSRL festschreibt, keine Ausnahme für Kommissionsentscheidungen vor.⁸²⁶
(b) Aussetzung der Datenübermittlung im Einzelfall Art. 3 der Safe Harbor-Entscheidung sieht vor, dass nationale Datenschutzbehörden die Datenübermittlung an Safe Harbor-zertifizierte Unternehmen u. a. dann aussetzen können, wenn eine hohe Wahrscheinlichkeit besteht, dass die Safe Harbor-Grundsätze verletzt werden und Grund zur Annahme besteht, dass die Durchsetzungsinstanz nicht rechtzeitig angemessene Maßnahmen ergreift.⁸²⁷ Die Regelung erklärte der EuGH für ungültig,⁸²⁸ weil sie gegenüber Art. 25 DSRL für Datenschutzbehörden erhöhte Eingriffserfordernisse schafft und ihnen die Möglichkeit nimmt, Maßnahmen zur Einhaltung von Art. 25 DSRL zu ergreifen.⁸²⁹ Der Kommission fehlt die Kompetenz, eine solche Einschränkung der Befugnisse nationaler Datenschutzbehörden vorzunehmen, weshalb Art. 3 der Safe Harbor-Entscheidung ungültig ist.⁸³⁰
(2) Ungültigkeit der Safe Harbor-Entscheidung Art. 25 I DSRL verbietet die Datenübermittlung in ein Drittland, das kein angemessenes Datenschutzniveau gewährleistet. Nach Art. 25 VI DSRL kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte ein angemessenes Schutzniveau gewährleistet.
EC, Mitteilung Safe Harbor , S. ; Dix, Safe Harbor am Ende?, S. . EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EC, Mitteilung Safe Harbor , S. . EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor.
186
Kapitel 3 Deutschland
Der EuGH führt aus, dass die Kommissionsentscheidung damit feststellen müsse, dass das tatsächliche Schutzniveau der Privatsphäre ebenso wie der Freiheiten und Grundrechte im Drittland der Sache nach dem unionsrechtlich garantierten Niveau gleichwertig ist.⁸³¹ Zur Beurteilung seien neben den innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen auch die Regeln zur Gewährleistung der Einhaltung zu berücksichtigen.⁸³² Außerdem sei eine regelmäßige sowie anlassbezogene Überprüfung der Feststellung erforderlich.⁸³³ Der Wertungsspielraum sei aufgrund der besonderen Bedeutung des Schutzes personenbezogener Daten sowie der großen Anzahl betroffener Personen eingeschränkt und einer strikten Kontrolle unterworfen.⁸³⁴ Die Safe HarborEntscheidung verstoße in mehrfacher Hinsicht gegen diese Vorgaben. So fehlt es in der Kommissionsentscheidung an einer hinreichenden Feststellung zum Bestehen von Maßnahmen, welche die Einhaltung eines angemessenen Schutzniveaus in der Praxis gewährleisten. Eine Selbstzertifizierung, wie sie Art. 1 II, III und Anhang II, FAQ 6 der Safe Harbor-Entscheidung vorsehen,⁸³⁵ ist zwar nicht grundsätzlich zur Gewährleistung des Schutzniveaus ungeeignet. Die Zuverlässigkeit eines solchen Systems hängt aber entscheidend von wirksamen Überwachungs- und Kontrollmechanismen ab.⁸³⁶ Die Safe Harbor-Entscheidung stellt nicht hinreichend fest, dass die Einhaltung der Regeln solchermaßen gewährleistet wird.⁸³⁷ Darüber hinaus wird die Safe Harbor-Regelung nicht angewendet, wenn Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss.⁸³⁸ Auf diese Erfordernisse gestützt ist es in den USA möglich, in die Grundrechte von Unionsbürgern aus Art. 7 und 8 GRCh einzugreifen, ohne dass die Kommission eine Feststellung darüber getroffen hätte, ob in den USA Regelungen bestehen, die Grundrechtseingriffe begrenzen.⁸³⁹ Die von der NSA durchgeführte und nach dem US-Recht rechtmäßige massenhafte, anlasslose, flächendeckende und unbegrenzte Überwachung stellt nach unionsrechtlichem Verständnis eine systematische Verletzung des Wesensgehalts
EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. Siehe oben: Teil , Kap. , C., II., ., a). EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. Entscheidung //EG, Anhang I, Einl., Abs. . EuGH . . , Rs. C-/, Slg. unv. Tz. – – Safe Harbor.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
187
des durch Art. 7 GRCh geschützten Grundrechts auf Achtung des Privatlebens dar.⁸⁴⁰ Sicherheitsbehörden dürfen danach nur anlassbezogen und in verhältnismäßigem Umfang in Grundrechte eingreifen.⁸⁴¹ Hinzu kommt, dass es weder für EU- noch für US-Bürger die Möglichkeit gibt, Auskunft über ihre Daten, deren Berichtigung oder Löschung zu erwirken, die im Rahmen der US-Überwachungsprogramme erhoben werden. Ebenso wenig stehen gerichtliche Rechtsbehelfe zur Verfügung.⁸⁴² Der den US-Bürgern zuteilwerdende Schutz der US-Verfassung, insbesondere des Fourth Amendment, gilt nicht für EUBürger.⁸⁴³ Dadurch wird das Unionsgrundrecht auf wirksamen gerichtlichen Schutz aus Art. 47 I GRCh verletzt.⁸⁴⁴ Damit bleiben der Schutz der Privatsphäre sowie der Freiheiten und Grundrechte in den USA in mehrfacher Hinsicht hinter dem unionalen Schutzniveau zurück. Da die Kommission in ihrer Safe Harbor-Entscheidung die Gewährleistung eines adäquaten Schutzniveaus nicht hinreichend festgestellt hat, verstößt sie gegen Art. 25 VI DSRL und ist aus diesem Grund ungültig.⁸⁴⁵
b) Konsequenzen für die Datenübermittlung an Facebook Inc. Zu klären ist, welche Auswirkungen das Urteil des EuGH auf die Rechtmäßigkeit der Übermittlung von Daten der in der EU wohnhaften Facebook-Mitglieder hat.
aa) Prüfung der Angemessenheit des Datenschutzniveaus durch Behörden Eine Safe Harbor-Zertifizierung begründete die Vermutung, dass die Verarbeitung der aus der EU übermittelten personenbezogenen Daten in den USA in Übereinstimmung mit dem EU-Datenschutzrecht erfolgt.⁸⁴⁶ Diese Vermutung gilt seit dem Urteil des EuGH nicht mehr.⁸⁴⁷
EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. Ebenso EP, Entschließung zur NSA, Paragraph ; Dix, Safe Harbor am Ende?, S. f.; DSK, Safe Harbor; EC, Mitteilung Safe Harbor , S. ; Art. WP, WP , S. . EuGH . . , Rs. C-/, Slg. unv. Tz. f. – Safe Harbor. Ebenso DSK, Safe Harbor; EC, Mitteilung Safe Harbor , S. ; Dix, Safe Harbor am Ende?, S. f.; Art. WP, WP , S. f.; EC, Mitteilung Safe Harbor , S. f. EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. Ebenso EC, Mitteilung Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. ; Böhm, Adequacy Safe Harbor Decision, S. . EuGH . . , Rs. C-/, Slg. unv. Tz. – Safe Harbor. EuGH . . , Rs. C-/, Slg. unv. Tz. f. – Safe Harbor. Schaar, EAID . . ; Eßer/Kramer/v. Lewinski/Thomale, § b BDSG Rn. . Schaar, EAID . . .
188
Kapitel 3 Deutschland
Die zuständige Datenschutzaufsichtsbehörde in Irland wird Facebook Ltd. deshalb die Datenübermittlung in die USA untersagen, wenn Facebook Inc. kein angemessenes Datenschutzniveau gewährleisten kann.⁸⁴⁸
bb) Alternativen zu Safe Harbor? Ein angemessenes Datenschutzniveau kann grundsätzlich durch verbindliche Unternehmensregeln, sog. Binding Corporate Rules (BCR) gem. § 4c II BDSG oder mit von der Kommission verabschiedeten Standardvertragsklauseln⁸⁴⁹ erreicht werden.⁸⁵⁰ Es ist umstritten, ob diese Instrumente auch nach dem Urteil des EuGH für Datenübermittlungen in die USA als Ersatz für Safe Harbor geeignet sind.⁸⁵¹ Da die Vorgaben für die Beurteilung der Angemessenheit für alle Instrumente in gleicher Weise gelten, müssen auch Standardvertragsklauseln und BCR die vom EuGH formulierten Anforderungen erfüllen.⁸⁵² Da auch die alternativen Instrumente ebenso wenig vor staatlicher Überwachung schützen wie die Safe Harbor-Entscheidung,⁸⁵³ können auch sie kein angemessenes Schutzniveau gewährleisten.⁸⁵⁴ Denkbar wäre auch die Einholung einer Einwilligung der Mitglieder in die Datenübermittlung in die USA. Ob eine Einwilligung in eine unbegrenzte Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und Auskunftsrechte, wirksam möglich ist, erscheint aufgrund der erhöhten Anforderungen an Transparenz, Zweckbindung und Freiwilligkeit, die der Tragweite und Bedeutung der Entscheidung Rechnung tragen müssen, als sehr fraglich.⁸⁵⁵ Derzeit bestehen demnach außerhalb der Erfüllung vertraglicher Pflichten i.S.d. § 4c I Nr. 2 und 3 BDSG keine rechtlichen Instrumente, die eine Datenübermittlung in die USA rechtssicher ermöglichen.
Schaar, EAID . . ; EuGH, Pressemitteilung v. . . , S. , abrufbar unter: http://curia.europa.eu/jcms/upload/docs/application/pdf/ – /cpde.pdf. Entscheidung der Kommission vom . Juni hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie //EG (/ /EG). Gola/Schomerus, § b Rn. . In diesem Sinne EC, Press conference on Safe Harbor ruling . . . Dagegen: Schaar, EAID . . . Schaar, EAID . . . Art. WP, Statement . . , S. . Schaar, EAID . . ; ULD, Positionspapier . . , S. . Schaar, EAID . . ; ULD, Positionspapier . . , S. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
189
c) Neuverhandlung von Safe Harbor Die EU-Kommission verhandelte bereits seit Herbst 2013 mit dem US-Handelsministerium über die Ausgestaltung und Durchsetzung von Safe Harbor. Das Urteil des EuGH hat die Verhandlungsposition der Kommission deutlich gestärkt, sorgte aber gleichzeitig für neuen Verhandlungsbedarf.⁸⁵⁶ Am 29.02. 2016 veröffentlichte die EU-Kommission schließlich den Entwurf eines neuen transatlantischen Datenschutzabkommens mit dem Titel EU-U.S. Privacy Shield.⁸⁵⁷ Nachfolgend werden die kritischen Verhandlungspunkte sowie das bisherige Ergebnis überblicksweise dargestellt.
aa) Weitere Kritikpunkte an der bisherigen Safe Harbor-Entscheidung Bereits vor dem Safe Harbor-Urteil des EuGH ist die Regelung aus verschiedenen Gründen in die Kritik geraten. Sowohl von der Politik⁸⁵⁸ als auch von Datenschutzbehörden⁸⁵⁹ werden weitere Kritikpunkte geäußert, die für eine Neuregelung zu beachten sind.
(1) Mangelnde Überprüfung der Einhaltung Die Angemessenheit des Datenschutzniveaus bei den zertifizierten US-Unternehmen wurde bereits 2004⁸⁶⁰ und 2008⁸⁶¹ durch Untersuchungen kritisch beurteilt. Eine australische Galexia-Studie von 2008 untersuchte die Umsetzung der sieben Grundsätze des Abkommens bei allen 1.597 Unternehmen, die in der Liste des Department of Commerce (DOC) als Safe Harbor-zertifiziert aufgeführt waren. Danach verfügten nur 1.109 Zertifizierte tatsächlich über eine aktuelle Zertifizierung und lediglich 348 entsprachen den grundlegenden Safe Harbor-Anforderungen.⁸⁶² Auch 2013 haben noch bis zu 10 Prozent der zertifizierten Unternehmen keine Datenschutzbestimmung oder keine Verpflichtungserklärung zur Einhaltung der Safe Harbor-Grundsätze auf ihrer Webseite veröffentlicht.⁸⁶³ Bei den EC, Press conference on Safe Harbor ruling . . . EC, Commission Implementing Decision of XXX pursuant to Directive //EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield (kurz: EU-U.S. Privacy Shield), abrufbar unter: http://ec.europa.eu/justice/data-pro tection/files/privacy-shield-adequacy-decision_en.pdf. Heise, . . ; EC, Mitteilung Safe Harbor , S. . Dix, Safe Harbor am Ende?, S. ; DSK, Safe Harbor. EC, Mitteilung Safe Harbor . Galexia, Safe Harbor . Galexia, Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. .
190
Kapitel 3 Deutschland
Webseiten mit öffentlicher Datenschutzbestimmung ist diese oft fehlerhaft, unklar formuliert oder unzureichend. Mehr als 30 Prozent der zertifizierten Stellen haben die Safe Harbor-Grundsätze nicht korrekt in ihre Privacy Policy übernommen. So fehlt etwa die erforderliche Angabe der zuständigen Stelle zur alternativen Streitbeilegung (Alternative Dispute Resolution, ADR).⁸⁶⁴ Außerdem bleibt es vielfach unklar, zu welchem Zweck Daten erhoben werden und ob Betroffene eine Wahlmöglichkeit bzgl. der Datenweitergabe an Dritte haben.⁸⁶⁵ Der Grund für diese Abweichungen von den Safe Harbor-Vorgaben wird darin gesehen, dass das US-Handelsministerium die Übernahme der Safe HarborGrundsätze in die Datenschutzbestimmungen nicht aktiv prüft, sondern nur auf Beschwerden Betroffener hin tätig wird.⁸⁶⁶ In Deutschland stellte der Düsseldorfer Kreis als Folge klar, dass sich ein deutscher Datenexporteur vom Importeur nachweisen lassen muss, dass die Zertifizierung aktuell ist und wie das US-Unternehmen seinen Informationspflichten gegenüber Betroffenen nachkommt.⁸⁶⁷
(2) Mangelnde Durchsetzung Zum einen unterliegen Safe Harbor-zertifizierte Unternehmen der Aufsicht der FTC.⁸⁶⁸ Zum anderen müssen selbstzertifizierte Datenverarbeiter wirksame Mechanismen vorsehen, um die Beachtung des Datenschutzes sicherzustellen.⁸⁶⁹ Eine Möglichkeit ist, dass sich der Datenverarbeiter einer unabhängigen Beschwerdestelle unterwirft. Alternativ kann er sich zur Zusammenarbeit mit dem EU-Datenschutzgremium verpflichten.⁸⁷⁰
(a) FTC Die FTC kann im Rahmen ihrer Kapazitäten nach der Selbstzertifizierung des Datenverarbeiters überprüfen, ob die Prinzipien eingehalten werden, jedoch nicht bereits bei der Anmeldung.⁸⁷¹ Sie sieht ein Verhalten als täuschend an, wenn ein Safe Harbor-zertifiziertes Unternehmen die Prinzipien nicht einhält.⁸⁷² Die EC, Mitteilung Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. . Dix, Safe Harbor am Ende?, S. . EC, Mitteilung Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. . Entscheidung //EG, Anhang II, FAQ , FAQ und FAQ . Entscheidung //EG, Anhang II, FAQ . Z. B. FTC, Complaint Facebook, S. Rz. ; FTC, Complaint MySpace. Dazu auch Solove/ Hartzog, Columbia L. Rev. , ().
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
191
Durchsetzungsbefugnisse der FTC beschränken sich gem. Sektion 5 des Federal Trade Commission Acts (FTCA) auf unlautere und irreführende Praktiken, die im Handel erfolgen oder den Handel beeinträchtigen. Zwischen 2009 und 2012 wurden zehn Verfahren wegen der Verletzung der Safe Harbor-Regelung abgeschlossen,⁸⁷³ 2014 14⁸⁷⁴ und in 2015 15,⁸⁷⁵ insgesamt also 39 Verfahren.⁸⁷⁶ Wie die Zunahme der Verfahren im Laufe der Zeit zeigt, bemüht sich die FTC ihre Überprüfung der Safe Harbor-Grundsätze zu intensivieren.⁸⁷⁷ Sie richtete außerdem Webseiten für Datenschutzbeschwerden von Verbrauchern ein.⁸⁷⁸ Nach Ansicht der EU-Kommission muss die FTC darüber hinaus durch regelmäßige Kontrollen Falschbehauptungen in Bezug auf die Teilnahme an Safe Harbor und die Einhaltung der Grundsätze nachgehen.⁸⁷⁹
(b) Unabhängige Beschwerdestellen Die drei wichtigsten Streitbeilegungseinrichtungen sind das EU-Datenschutzgremium, das Better Business Bureau (BBB) und TRUSTe.⁸⁸⁰ Letzterem gehört auch Facebook Inc. an. 53 Prozent aller Safe Harbor-zertifizierten Unternehmen haben das EU-Datenschutzgremium als unabhängige Beschwerdestelle gewählt. Das Gremium besteht aus Vertreten der nationalen Datenschutzbehörden der EU. Es gilt bei Betroffenen als wenig bekannt.⁸⁸¹ Bei der meistgenutzten privaten Beschwerdestelle TRUSTe⁸⁸² gingen 2013 8.729 Beschwerden ein. 0,9 Prozent führten dazu, dass das betroffene Unterneh FTC, Safe Harbor Settlements ; FTC, Enforcement of Safe Harbor . Die Liste der Verfahren zur Durchsetzung von Safe Harbor ist auf der Seite der FTC abrufbar unter: https://www.ftc.gov/tips-advice/business-center/legal-resources?title=&type=All&field_ consumer_protection_topics_tid=&field_industry_tid=All&field_date_value[min][date] =&field_date_value[max][date]=&sort_by=field_date_value. FTC, Safe Harbor Settlements . Siehe oben FTC-Liste der Safe Harbor-Verfahren unter S. Fn. . FTC, Safe Harbor, S. ; Dix, Safe Harbor am Ende?, S. ; Sebastian, Syracuse J. Sci. & Tech. L. Rep. , (). Verbraucher können Beschwerde gegen US-Unternehmen über den FTC Complaint Assistant (https://www.ftccomplaintassistant.gov/) bzw. gegen ausländische Firmen über econsumer.gov (http://www.econsumer.gov) einlegen. EC, Mitteilung Safe Harbor , S. . FPF, US-EU Safe Harbor, S. ; EC, Mitteilung Safe Harbor , S. . Bis wurden lediglich vier Beschwerden eingereicht, s. EC, Mitteilung Safe Harbor , S. . FPF, US-EU Safe Harbor, S. .
192
Kapitel 3 Deutschland
men seine Datenschutzbestimmung ändern musste.⁸⁸³ Weitere Sanktionen werden üblicherweise nicht verhängt,⁸⁸⁴ weshalb Zweifel an der effektiven Durchsetzung von Sanktionsmechanismen bestehen.⁸⁸⁵ Einige der großen ADR-Anbieter verlangen für die Erhebung einer Beschwerde eine Gebühr zwischen USD 200 und 1.000.⁸⁸⁶ Diese ADR-Anbieter werden von 20 Prozent der Safe Harbor-Unternehmen in Anspruch genommen. Dies widerspricht dem Durchsetzungsgrundsatz der Safe Harbor-Regelung, wonach den Betroffenen „leicht zugängliche, erschwingliche“ Verfahren⁸⁸⁷ zur Verfügung stehen müssen.⁸⁸⁸
(c) Sonderfall: Auftragsdatenverarbeitung Eine bessere Durchsetzung der Safe Harbor-Grundsätze ist auch gegenüber Unterauftragnehmern erforderlich.⁸⁸⁹ Welche Anforderungen hier genau gestellt werden, ist in der Kommissions-Entscheidung⁸⁹⁰ nicht klar formuliert bzw. nicht ausreichend konkretisiert.⁸⁹¹
bb) Verhandlungsergebnis Nach dem am 29.02. 2016 von der EU-Kommission veröffentlichten Entwurf des EU-U.S. Privacy Shield⁸⁹² soll ein System effektiver Maßnahmen zur Einhaltung der Grundsätze, insbesondere eine regelmäßige und strikte Überwachung durch das
TRUSTe, Transparency Report: , S. . TRUSTe, Transparency Report: , S. ; Böhm, Adequacy Safe Harbor Decision, S. . Böhm, Adequacy Safe Harbor Decision, S. ; EC, Mitteilung Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. ; Böhm, Adequacy Safe Harbor Decision, S. . Aktuelle Gebührenübersichten des International Centre for Dispute Resolution (ICDR), der American Arbitration Association (AAA) mit jeweils USD und JAMS mit USD . Beschwerdegebühr, abrufbar unter: https://www.icdr.org/icdr/ShowPDF?doc=ADRSTAGE; https://www.adr. org/aaa/ShowPDF?doc=ADRSTAGE; http://www.jamsadr.com/files/Uploads/Docu ments/JAMS-Rules/JAMS-International-Arbitration-Fees.pdf. Entscheidung //EG, Anhang I, Durchsetzung. EC, Mitteilung Safe Harbor , S. . EC, Mitteilung Safe Harbor , S. . Entscheidung //EG, Anhang I, Weitergabe. EC, Mitteilung Safe Harbor , S. . EC, Commission Implementing Decision of XXX pursuant to Directive //EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield (kurz: EU-U.S. Privacy Shield), abrufbar unter: http://ec.europa.eu/justice/data-pro tection/files/privacy-shield-adequacy-decision_en.pdf.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
193
U.S. Department of Commerce eingeführt werden.⁸⁹³ Die Regelungen zur Auftragsdatenverarbeitung werden konkretisiert⁸⁹⁴ und die Sanktionen verschärft.⁸⁹⁵ Das Beschwerdeverfahren soll für Betroffene vereinfacht und die Gebühren abgeschafft werden.⁸⁹⁶ Zusätzlich soll die Zusammenarbeit mit EU-Aufsichtsbehörden bei Betroffenenbeschwerden verbessert und durch ein systematisches Überwachungssystem auf beiden Seiten des Atlantiks sowie durch ein Schiedsgerichtsverfahren (Privacy Shield Panel) ergänzt werden.⁸⁹⁷ Umstritten waren lange Zeit die Bestimmungen, die Sicherheitsbehörden zum Schutz der inneren Sicherheit ein Zugriffsrecht auf die Daten von EU-Bürgern einräumen.⁸⁹⁸ Die von der EU geforderte Einführung eines Klagerechts betroffener EU-Bürger⁸⁹⁹ wurde abgelehnt. Der Judicial Redress Act, ⁹⁰⁰ der auch EU-Bürgern ein Klagerecht einräumt, gilt nur für den Bereich der Strafverfolgung. Stattdessen wird im U.S. Außenministerium eine Ombudsstelle für Rechtsschutzbegehren von EU-Bürgern gegen staatliche Datennutzung eingerichtet.⁹⁰¹ Bevor die Kommission das EU-U.S. Privacy Shield durch seine Angemessenheitsentscheidung umsetzt, befasst sich die Artikel-29-Datenschutzgruppe mit dem Entwurf.⁹⁰² Eine jährliche Überprüfung der Angemessenheitsentscheidung ist vorgesehen.⁹⁰³
d) Ergebnis Nach dem Urteil des EuGH zu Safe Harbor muss im Falle von Facebook die irische Datenschutzbehörde über die Angemessenheit des durch Facebook Inc. gewährleisteten Datenschutzniveaus entscheiden. Es bestehen keine rechtlichen Mittel, die ein angemessenes Schutzniveau in den USA gewährleisten können, da auch alternative Instrumente wie Standardvertragsklauseln oder BCR keinen Schutz vor der
EC, EU-U.S. Privacy Shield, Rn. ff., ff. EC, EU-U.S. Privacy Shield, Rn. . EC, EU-U.S. Privacy Shield, Rn. f. EC, EU-U.S. Privacy Shield, Rn. f. EC, EU-U.S. Privacy Shield, Rn. , ; Kraska, Safe Harbor ... EC, EU-U.S. Privacy Shield, Rn. ff.; Heise, . . . Peltz-Steele, J. Internet L. , (). Judicial Redress Act vom . . (H. R. ), abrufbar unter: https://www.govtrack.us/ congress/bills//hr/text. EC, EU-U.S. Privacy Shield, Rn. – . EC, Restoring trust in transatlantic data flows through strong safeguards: European Commission presents EU-U.S. Privacy Shield, abrufbar unter: http://europa.eu/rapid/press-release_IP – _en.htm. EC, EU-U.S. Privacy Shield, Rn. – .
194
Kapitel 3 Deutschland
Massenüberwachung durch die NSA bieten und auch die Wirksamkeit einer Einwilligung in die Übermittlung zweifelhaft ist. Ob mit der neuen Kommissionsentscheidung zur Angemessenheit des Schutzniveaus in den Vereinigten Staaten die Vorgaben des EuGH vollständig berücksichtigt werden, ist umstritten.⁹⁰⁴
7. Gesamtergebnis Die Erstellung und Verwendung von Nutzungsprofilen zu Werbezwecken mit Nutzungsdaten der Facebook-Website ist gem. § 15 III TMG rechtmäßig, solange die Pseudonymität gewahrt bleibt. Eine weitergehende Profilbildung zu kommerziellen Zwecken basierend auf Nutzungsdaten von Drittseiten oder auf Inhaltsdaten oder bei einer Kombination von Nutzungs- und Inhaltsdaten in einem personenbezogenen Profil bedarf der Einwilligung des Betroffenen. Im Einzelnen besteht große Rechtsunsicherheit, wie die Vorgaben des EU-Datenschutzrechts für eine wirksame Einwilligung konkret zu erfüllen sind. Internationale Soziale Netzwerke, im Besonderen der Marktführer Facebook, weisen Schwächen bei der erforderlichen Transparenz auf und ermöglichen Betroffenen keine informierte und selbstbestimmte Entscheidung hinsichtlich der vorgenommenen Profilbildung und -nutzung. Nach der DS-GVO wird, sofern keine Einwilligung vorliegt, eine Abwägungsentscheidung zu treffen sein. Dem Betroffenen bleibt insbesondere beim Direktmarketing eine Widerspruchsmöglichkeit. Ob Facebook die Daten seiner in der EU wohnhaften Mitglieder weiterhin in die USA übermitteln kann, muss nach dem Urteil des EuGH zu Safe Harbor die irische Datenschutzbehörde prüfen.
III. Zivilrechtliches allgemeines Persönlichkeitsrecht Neben den datenschutzrechtlichen Vorschriften können die Regelungen des BGB zum zivilrechtlichen allgemeinen Persönlichkeitsrecht⁹⁰⁵ zum Tragen kommen.
S. bspw. Interview mit Max Schrems, abrufbar unter: http://www.europarl.europa.eu/news/ de/news-room/STO/Privacy-Shield-EU-US-Datentransfer; Peter Schaar, Ist das „Privacy Shield“ endlich ein sicherer Hafen?, heise . . , abrufbar unter: http://www. heise.de/newsticker/meldung/Peter-Schaar-Ist-das-Privacy-Shield-endlich-ein-sicherer-Hafen.html. Siehe oben: Teil , Kap. , A.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
195
1. Anwendbarkeit Das allgemeine Zivilrecht wird durch die spezialgesetzlichen Normen des Datenschutzrechts nicht vollständig verdrängt.⁹⁰⁶ Der Betroffene kann also für einen Unterlassungsanspruch nach § 1004 BGB ebenso wie für den Ersatz immaterieller Schäden auf das allgemeine Deliktsrecht zurückgreifen, das in schwerwiegenden Fällen der Verletzung des allgemeinen Persönlichkeitsrechts einen Schmerzensgeldanspruch gem. § 823 I 1 BGB i.V.m. Art. 1 I, 2 I GG gewährt.⁹⁰⁷ Das anwendbare nationale Recht richtet sich gem. Art. 3 Nr. 1 lit. a EGBGB für außervertragliche Schuldverhältnisse grundsätzlich nach der Rom II-VO⁹⁰⁸.⁹⁰⁹ Art. 1 II lit. g Rom II-VO nimmt außervertragliche Schuldverhältnisse aus der Verletzung der Persönlichkeitsrechte allerdings von seinem Anwendungsbereich aus. Die Anwendbarkeit deutschen Rechts richtet sich folglich nach Art. 40 I i.V.m. Art. 3 Nr. 1 lit. a EGBGB.⁹¹⁰ Nach dem in Art. 40 I 1 2 EGBGB normierten Ubiquitätsprinzip kann bei Persönlichkeitsverletzungen als Erfolgsort an Deutschland, als dem gewöhnlichen Aufenthalt des Betroffenen, angeknüpft und somit deutsches Deliktsrecht zur Anwendung gebracht werden.⁹¹¹
2. Anwendung auf Profile Das zivilrechtliche allgemeine Persönlichkeitsrecht wird als ein „sonstiges Recht“ i.S.d. § 823 I BGB verstanden und ist gewohnheitsrechtlich im bürgerlichen Recht verankert.⁹¹² Unbestimmte Rechtsbegriffe wie der Terminus „sonstiges Recht“ sind verfassungskonform auszulegen, so dass auf diese Weise die grundrechtlichen Wertungen als objektive Wertordnung ins Zivilrecht einfließen, sog. mittelbare Drittwirkung der Grundrechte.⁹¹³ Weitere zivilrechtliche Schadens- und Unterlassungsansprüche können sich aus §§ 823 II, 1004 BGB i.V.m. §§ 28 und 4 BDSG ergeben, da es sich bei diesen datenschutzrechtlichen Vorschriften um Schutz-
Plath-Becker, § BDSG Rn. ; Wolff/Brink-Quaas, § BDSG Rn. ; Taeger/Gabel-Gabel, § BDSG Rn. ; Palandt-Sprau, § BGB Rn. ; Niedermeier/Schröcker, RDV , , . Grundlegend BGH NJW , , f. – Caroline von Monaco. Plath-Becker, § BDSG Rn. ; Däubler et al.-Däubler, § Rn. f.; Taeger/Gabel-Gabel, § BDSG Rn. . VO (EG) / des Europäischen Parlaments und des Rates vom . . über das auf außervertragliche Schuldverhältnisse anzuwendende Recht („Rom II“). Palandt-Thorn, Art. EGBGB Rn. . Palandt-Thorn, Art. Rom II Rn. . Palandt-Thorn, Art. EGBGB Rn. , . Koch, ITRB , , . Gounalakis/Rhode, Persönlichkeitsschutz, S. .
196
Kapitel 3 Deutschland
gesetze i.S.d. § 823 II BGB handelt, ebenso wie aus § 280 I 1 i.V.m. § 241 II BGB, die aber kaum eine eigenständige Bedeutung haben.⁹¹⁴ Unter Berücksichtigung der zivilrechtlichen Besonderheiten kann insoweit auf die oben dargestellten verfassungsrechtlichen Wertungen⁹¹⁵ zurückgegriffen werden. Eine schwerwiegende Persönlichkeitsbeeinträchtigung liegt danach bei der Erstellung umfassender Persönlichkeitsprofile vor.⁹¹⁶ Aber auch schon vor Erreichen dieser Schwelle etwa bei Langzeitprofilen oder bei Profilen aus dem Bereich der Intimsphäre⁹¹⁷ ist eine schwerwiegende Persönlichkeitsbeeinträchtigung denkbar⁹¹⁸ – dies ist im Einzelfall von den Gerichten zu klären. Aufgrund der Einzelfallbezogenheit unterbleibt vorliegend eine nähere Auseinandersetzung mit dem zivilrechtlichen allgemeinen Persönlichkeitsrecht.
IV. Durchsetzungsmechanismen Nach dem oben gefundenen Ergebnis mag es überraschen, dass die Vorgaben des deutschen Datenschutz- und allgemeinen Zivilrechts gegenüber Betreibern internationaler Sozialer Netzwerke wie Facebook nicht durchgesetzt werden. Um Gründe für die Diskrepanz zwischen Recht und Realität aufzudecken, werden im Folgenden die insoweit bestehenden Durchsetzungsmöglichkeiten überblicksmäßig dargestellt und bewertet.
1. Zivilrechtliche Rechtsdurchsetzung In der Praxis spielen die dargestellten Schadensersatzansprüche bislang kaum eine Rolle.⁹¹⁹ Datenschutzverstöße führen außer bei einer unbefugten Veröffentlichung persönlicher Daten kaum zu unmittelbar spürbaren Beeinträchtigungen, geschweige
Taeger/Gabel-Gabel, § BDSG Rn. ; Niedermeier/Schröcker, RDV , , . Siehe oben: Teil , Kap. ., B. Siehe oben: Teil , Kap. ., B., III., . BVerfGE , , – Großer Lauschangriff. BGH NJW , , – Videoüberwachung; BGH NJW , , – GPSÜberwachung; Himmels, Behavioural Targeting, S. f. Taeger/Gabel-Gabel, § BDSG Rn. ; Däubler et al.-Däubler, § Rn. . Eine Übersicht über die bisherigen Verfahren, in denen § BDSG zum Tragen kam, s. bei Plath-Becker, § BDSG Rn. Fn. .
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
197
denn zu einem vom Einzelnen bezifferbaren finanziellen Nachteil. Das führt dazu, dass die Fälle gar nicht erst vor Gericht gebracht oder dort abgewiesen werden müssen.⁹²⁰ Um eine gewisse Abhilfe zu schaffen, wird nach dem Anfang 2015 beschlossenen Gesetzentwurf zur Änderung des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG) (§ 3 I 1 Nr. 2 UKlaG) auch Verbänden und anderen Interessengruppen ein Klagerecht bei Datenschutzverletzungen zugestanden.⁹²¹ Es fehlt aber weiterhin an einem pauschalierten Schadensersatzanspruch. Art. 77 I DS-GVO sieht die Möglichkeit für Betroffene vor, im Falle einer unzulässigen Datenverarbeitung eine Beschwerde bei einer mitgliedsstaatlichen Aufsichtsbehörde einreichen zu können. Ob sich dieser Rechtsbehelf in der Praxis bewährt, mag allerdings bezweifelt werden, da überhaupt nur unter 30 Prozent der EU-Bürger von der Existenz einer Datenschutzbehörde in ihrem Land wissen.⁹²²
2. Hoheitliche Rechtsdurchsetzung Im Datenschutzrecht stehen dem Staat ordnungsrechtliche Maßnahmen wie auch strafrechtliche Sanktionen zur Rechtsdurchsetzung zur Verfügung.
a) Ordnungsrechtliche Maßnahmen Verstöße gegen das Datenschutzrecht können nach den Vorgaben der §§ 38, 43 BDSG durch die Aufsichtsbehörden der Länder geahndet werden, § 38 I 1 BDSG. Im internationalen Kontext und auch gerade gegenüber Facebook hat sich die Durchsetzung jedoch als schwierig erwiesen.⁹²³
aa) Sanktionsmechanismen Sowohl der Verstoß gegen die Vorgaben zur Profilbildung nach dem TMG als auch nach dem BDSG sind bußgeldbewehrt, sofern er vorsätzlich oder fahrlässig erfolgt, § 16 II Nr. 3, III TMG, § 38 II Nr. 1, 5b BDSG.
Niedermeier/Schröcker, RDV , , ; Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit, S. ; Spiecker, K&R , , ; Determann, Stan. Tech. L. Rev. , (); Plath-Becker, § BDSG Rn. . Ebenso Art. I DS-GVO. EC, Flash Eurobarometer, S. . Caspar, DuD , , .
198
Kapitel 3 Deutschland
Die möglichen Bußgelder von bis zu EUR 50.000 bzw. EUR 300.000⁹²⁴ sind jedoch für ein Unternehmen mit einem Quartalsumsatz von USD 3,543 Mrd.⁹²⁵ wenig abschreckend.⁹²⁶ Mit der DS-GVO sollen deshalb schärfere Sanktionsmöglichkeiten eingeführt werden. Während Art. 79 IIa lit. c DS-GVO-E in der Version des Parlaments Geldbußen in der Höhe von bis zu 5 Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens vorsah, sollten sie nach den Fassungen des Rats und der Kommission bis zu 2 Prozent nicht übersteigen, Art. 79a III bzw. Art. 79 VI DS-GVO‐E. In der finalen Fassung einigten sich die Beteiligten auf bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens für die in Art. 83 IV DS-GVO genannten Fälle der Verletzung administrativer Pflichten sowie auf bis zu 4 Prozent für die in Art. 83 V und VI DS-GVO aufgeführten Verletzungen von Prinzipien, Betroffenenrechten und Drittstaatentransfers.⁹²⁷ Neben dem Bußgeld sieht das BDSG in § 43 III 2, 3 BDSG die Möglichkeit der Gewinnabschöpfung vor, die nicht nur die Abschöpfung finanzieller, sondern auch anderer messbarer Vorteile ermöglicht, die sich aus der Verbesserung der Marktsituation ergeben, wie Kosteneinsparungen. In der Praxis spielt die Regelung allerdings keine Rolle.⁹²⁸
bb) Zuständigkeit Welche Behörde für die Ahndung der Ordnungswidrigkeiten zuständig ist, richtet sich mangels Festlegung im BDSG nach dem Gesetz über Ordnungswidrigkeiten (OWiG). Gem. § 36 I Nr. 2 a) OWiG sind in den Ländern die fachlich zuständigen obersten Landesbehörden zuständig. In der Mehrzahl haben jedoch die Bundesländer von § 36 II OWiG Gebrauch gemacht und die Zuständigkeit auf die jeweiligen Landesbeauftragten für Datenschutz als die gem. § 38 VI BDSG zuständigen Aufsichtsbehörden übertragen.⁹²⁹ Die örtliche Zuständigkeit richtet sich gem. § 37 I OWiG danach, wo die Ordnungswidrigkeit begangen oder durch eine Behörde⁹³⁰ entdeckt worden ist oder Art. DSRL macht keine konkreten Vorgaben, sondern überlässt es den Mitgliedsstaaten, geeignete Maßnahmen vorzusehen. Facebook, Q I Results. Schaar, Privatsphäre, S. ; Gurlit, NJW , , ; Chander, N.C. L. Rev., , f. () mit Beispielen von europäischen Strafen bzw. Androhungen gegenüber Facebook. Albrecht, C&R , , . Plath-Becker, § BDSG Rn. ; Däubler et al.-Klebe, § Rn. . Gola/Schomerus, § Rn. ; Plath-Becker, § BDSG Rn. . Senge-Lange, § Rn. f.
C. Einfachgesetzliche Regelungen des Persönlichkeitsschutzes
199
wo der Betroffene zur Zeit der Einleitung des Bußgeldverfahrens seinen Wohnsitz hat. Im Fall von Facebook bedeutet dies grundsätzlich die potentielle Zuständigkeit aller Aufsichtsbehörden der Länder, da Facebook-Mitglieder aus dem gesamten Bundesgebiet stammen. Faktisch wurde gem. § 38 BDSG i.V.m. § 24 Hamburgisches Datenschutzgesetz der Datenschutzbeauftragte Hamburgs als zuständige Behörde und Ansprechpartner des Sozialen Netzwerks angesehen, da die Facebook Germany GmbH in Hamburg ihren Sitz hat. Diese faktische Alleinzuständigkeit hat bislang nur der Datenschutzbeauftragte Schleswig-Holsteins durch sein Vorgehen gegen Facebook auf der Grundlage des § 39 II Landesdatenschutzgesetz Schleswig-Holstein (LDSG) i.V.m. § 38 I BDSG⁹³¹ in Frage gestellt. Wie Studien zeigen, verfügen die Datenschutzbehörden deutscher Bundesländer, aber auch die anderer EU-Mitgliedsstaaten über eine geringe personelle und finanzielle Ausstattung bei steigender Aufgabenlast.⁹³² Das führt zu einem chronischen Durchsetzungsdefizit des Unionsdatenschutzrechts.⁹³³ In der DS-GVO wird die allgemeine Zuständigkeitsregel für Datenverarbeitungen im Hoheitsgebiet des eigenen Mitgliedsstaats nach Art. 55 I DS-GVO ergänzt durch eine Regelung zur federführenden Zuständigkeit der Aufsichtsbehörde der Hauptniederlassung gem. Art. 56 DS-GVO für den Fall, dass ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter Niederlassungen in mehreren Mitgliedsstaaten hat. Auf diese Weise soll eine einheitliche Rechtsanwendung gewährleistet werden. Ergänzt werden die Zuständigkeitsbestimmungen durch Regelungen zur Zusammenarbeit der Aufsichtsbehörden gem. Art. 60 ff. DSGVO, sowie zum Koheränzverfahren nach Art. 63 ff. DS-GVO. Zu einer Verbesserung der Durchsetzung kann dies allerdings auch nur bei einer entsprechenden Ausstattung mit Ressourcen führen.⁹³⁴
b) Straftatbestände § 44 I BDSG stellt die unbefugte Datenverarbeitung in Bereicherungsabsicht unter Strafe. Die Tat wird gem. § 44 II BDSG nur auf Antrag verfolgt. Antragsberechtigt sind gem. § 44 II BDSG der Betroffene, die verantwortliche Stelle, der Beauftragte für den Datenschutz und die Datenschutzaufsichtsbehörden.
ULD, Anordnung Klarnamenpflicht. EC, Implementation, S. ; FRA, Data Protection Authorities, S. ; EC, Comparative Study, S. Rn. ; Bygrave, Sc.St.L. , (); Schaar, Privatsphäre, S. , , ; TACD, Social Networking, S. ; Bamberger/Mulligan, Stan. L. Rev. , f. (). Determann, Stan. Tech. L. Rev. , (). Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. .
200
Kapitel 3 Deutschland
3. Ergebnis Zusammenfassend muss festgestellt werden, dass es an einer effektiven Durchsetzung fehlt. Die zivilrechtlichen Ansprüche führen aufgrund der schweren Greifbarkeit des Verstoßes für die Betroffenen sowie wegen der Schwierigkeit des Schadensnachweises in der Praxis selten zum Erfolg. Die Bußgelder wirken wenig abschreckend. Außerdem ist eine flächendeckende Durchsetzung aufgrund der schlechten personellen und finanziellen Ausstattung der Behörden nicht möglich.
D. Selbstregulierung Neben den gesetzlichen Regelungen besteht im Datenschutzrecht grundsätzlich auch die Möglichkeit der Selbstregulierung durch die Wirtschaft.
I. Gesetzlich vorgesehene Möglichkeiten Der deutsche Gesetzgeber sieht basierend auf EU-Recht grundsätzlich zwei Möglichkeiten der normgebenden Selbstregulierung vor: zum einen Codes of Conduct (CoC) gem. § 38a BDSG und zum anderen verbindliche Unternehmensregelungen, auch Binding Corporate Rules (BCR) genannt gem. § 4c II BDSG. Daneben tritt das transparenzschaffende Instrument von Datenschutzaudits zusammen mit Gütesiegeln nach § 9a BDSG.
1. Normgebende Selbstregulierung Ziel von BCR ist es, den internationalen Datenfluss innerhalb eines Konzerns zu erleichtern, der datenverarbeitende Standorte auch außerhalb der EU bzw. des EWR besitzt.⁹³⁵ Der Datentransfer in ein Drittland setzt, wie dargestellt, ein angemessenes Schutzniveau voraus, Art. 25 DSRL.⁹³⁶ Dies wird angenommen, wenn Betroffenen ein Schutz zuteilwird, der dem Kernbestand der Schutzprinzipien der DSRL im Wesentlichen gerecht wird.⁹³⁷ Über BCR soll gewährleistet werden, dass die erforderlichen Schutzgarantieren für ein angemessenes Datenschutzniveau
Webseite der EC zu BCR: http://ec.europa.eu/justice/data-protection/document/internatio nal-transfers/binding-corporate-rules/index_en.htm. Filip, ZD , , ; Himmels, Behavioural Targeting, S. ; Achtruth, Social Networks, S. . Siehe oben: Teil , Kap. , C., II., . Gola/Schomerus, § c Rn. ; siehe oben: Teil , Kap. , C., II., .
D. Selbstregulierung
201
konzernweit eingehalten werden;⁹³⁸ die Einhaltung nationalen Datenschutzrechts wird damit jedoch nicht sichergestellt.⁹³⁹ Die Regelung der CoC, die Art. 27 DSRL umsetzt, ermöglicht dagegen einzelstaatliche oder gemeinschaftliche Verhaltensregeln innerhalb der EU. Branchen- bzw. Berufsverbände können ihre Datenschutzkonzepte den Aufsichtsbehörden und auf EU-Ebene der Artikel-29-Datenschutzgruppe vorlegen und auf ihre Kompatibilität mit dem Datenschutzrecht überprüfen lassen.⁹⁴⁰ Die Schaffung eines Mehrwerts ist nicht erforderlich, ausreichend ist die Konkretisierung unbestimmter Rechtsbegriffe oder die Konkretisierung von Ermessensspielräumen.⁹⁴¹ Auf diese Weise entstehen bereichsspezifische Regelungen, die zur Rechtssicherheit beitragen und gleichzeitig eine Art Gütesiegel darstellen, wenn die Regeln bestätigt werden.⁹⁴² Die Entscheidung der Behörde ist ein Verwaltungsakt.⁹⁴³ Es obliegt den jeweiligen Verbänden, den Kodizes durch vertragliche Vereinbarungen etwa in AGB zur rechtlichen Verbindlichkeit zu verhelfen und sie durchzusetzen.⁹⁴⁴ In Europa, namentlich in den Niederlanden, wird dieses Modell der regulierten Selbstregulierung mit Erfolg im Bereich des Privatheitsschutzes eingesetzt.⁹⁴⁵ Das Verfahren der Registrierung von Kodizes gleicht zum einen das Demokratiedefizit der Selbstregulierung aus⁹⁴⁶ und bietet zum anderen die Möglichkeit, über die Voraussetzungen für die Anerkennung der Kodizes die Prozesse und Ergebnisse in den Grundzügen zu steuern. So können Vorgaben hinsichtlich der möglichen bzw. nötigen Beteiligten sowie inhaltliche Mindestvorgaben festgelegt werden, die erfüllt werden müssen, damit der Vorschlag anerkannt wird.⁹⁴⁷
Webseite der EC zu BCR: http://ec.europa.eu/justice/data-protection/document/internatio nal-transfers/binding-corporate-rules/index_en.htm; Gola/Schomerus, § c Rn. . Filip, ZD , , ; Himmels, Behavioural Targeting, S. ; Achtruth, Social Networks, S. . Gola/Schomerus, § a Rn. ; Taeger/Gabel-Kinast, § a BDSG Rn. . Kranig/Peintinger, ZD , , . Gola/Schomerus, § a Rn. f.; Taeger/Gabel-Kinast, § a BDSG Rn. ; Talidou, Regulierte Selbstregulierung, S. . Gola/Schomerus, § a Rn. . Kranig/Peintinger, ZD , , ; Talidou, Regulierte Selbstregulierung, S. . Schulz/Held, Modern Government, S. , ; Rubinstein, ISJLP , f. (); Hirsch, Mich. St. L. Rev. , ff. (). Roßnagel/Pfitzmann/Garstka, Modernisierung, S. f. Schulz/Held, Modern Government, S. , .
202
Kapitel 3 Deutschland
Die Erfahrungen mit der Registrierung von Kodizes haben allerdings gezeigt, dass die Beteiligten aufgrund des hohen Aufwands, eine gemeinsame Lösung zu finden, kaum zu Änderungen der einmal gefundenen Regelungen bereit sind.⁹⁴⁸ Um die regelmäßige Anpassung an neue Entwicklungen zu gewährleisten, empfiehlt es sich, dass verpflichtende Evaluationen der Kodizes durch die Aufsichtsbehörde vorgesehen werden ebenso wie sog. Sunset Clauses, also die Bestimmung eines Ablaufdatums für den Code, nach dem eine Revision der Regelungen erforderlich wird.⁹⁴⁹ Eine Registrierung von Kodizes ist auch nach Art. 40 DS-GVO möglich.Von der bisher nach Art. 27 III DSRL bestehenden Möglichkeit der Überprüfung von Verhaltensregeln durch die Artikel-29-Datenschutzgruppe für eine EU-weite Geltung wurde bislang jedoch nur sehr zurückhaltend Gebrauch gemacht.⁹⁵⁰ Nach Art. 40 VII DS-GVO ist die zuständige Datenschutzbehörde deshalb für den Fall, dass die Verhaltensregel eine Datenverarbeitung in mehreren Mitgliedsstaaten betrifft, zur Vorlage an den Europäischen Datenschutzausschuss verpflichtet. Art. 40 VIII, IX DS-GVO sehen zudem die Neuerung vor, dass die EU-Kommission eine unionsweite Geltung von Verhaltensregeln, die ihr vom Datenschutzausschuss vorgelegt werden, beschließen kann.
2. Transparenzschaffende Selbstregulierung Gem. § 9a S. 1 BDSG können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen zur Verbesserung des Datenschutzes und der Datensicherheit ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Allerdings haben nur einzelne Bundesländer die nach § 9a S. 2 BDSG erforderliche gesetzliche Konkretisierung erlassen, so dass eine Zertifizierung durch Datenschutzbehörden derzeit in nur sehr begrenztem Umfang stattfindet.⁹⁵¹ Das von der EU geförderte European Privacy Seal wird im Deutschland vom ULD koordiniert.⁹⁵² Für Auditierungsverfahren privater Gutachter fehlt es an vereinheitlichenden Konkretisierungen gesetzlicher Vorgaben.⁹⁵³
Hirsch, Mich. St. L. Rev. , f. (). White House, Consumer Data Privacy (), S. ; Schulz/Held, Regulierte Selbstregulierung, S. ; Schulz/Held, Modern Government, S. ff. Jay, Data Protection, S. . Eßer/Kramer/v. Lewinski-Hornung, § a BDSG Rn. ; Himmels, Behavioural Targeting, S. ; Achtruth, Social Networks, S. . Eßer/Kramer/v. Lewinski-Hornung, § a BDSG Rn. ; Himmels, Behavioural Targeting, S. .
D. Selbstregulierung
203
Seit Januar 2013 besteht darüber hinaus die Stiftung Datenschutz, deren Aufgabe es laut § 2 I 1 ihrer Satzung ist, die Belange des Datenschutzes durch die Entwicklung eines Datenschutzaudits sowie -verfahrens zu fördern. Allerdings kritisieren die Datenschutzbeauftragten der Länder und des Bundes die in § 11 II der Satzung vorgesehene Besetzung des Beirats als zu wirtschaftsnah und mit ihrer Unabhängigkeit als Datenschutzbeauftragte nicht vereinbar.⁹⁵⁴ Sie haben deshalb ihre Posten im Beirat nicht angetreten.⁹⁵⁵ Aufgrund dessen sind der zukünftigen Status und die Rolle der Stiftung Datenschutz offen.⁹⁵⁶
II. Initiativen An der europäischen Selbstregulierungsinitiative European Interactive Digital Advertising Alliance (EDAA), die von Vertretern der Werbe- und Medienbranche⁹⁵⁷ gegründet wurde, nehmen auch Betreiber Sozialer Netzwerke wie Facebook teil.⁹⁵⁸ Die Leitprinzipien der EDAA bestehen aus den Rahmenvorgaben zum OBA (EU Framework for Online Behavioural Advertising)⁹⁵⁹ des Interactive Advertising Bureau Europe (IAB Europe) sowie den Empfehlungen zur optimalen Vorgehensweise im Bereich OBA (Best Practice Recommendation for Online Behavioural Advertising)⁹⁶⁰ der European Advertising Standards Alliance (EASA).⁹⁶¹ In Deutschland gibt es für Anbieter Sozialer Netzwerke bislang zwei relevante Initiativen der Branchenvertreter zur Selbstregulierung im datenschutzrechtlichen Bereich, die aber mangels Antragsstellung nicht nach § 38a II BDSG anerkannt sind.
Achtruth, Social Networks, S. ; Simitis-Scholz, § a Rn. ; Eßer/Kramer/v. LewinskiHornung, § a BDSG Rn. . Biermann, Zeit . . ; Römermann, Deutschlandfunk . . . Siehe die aktuelle Besetzung des Beirats unter: http://stiftungdatenschutz.org/beirat/. Bundesregierung, Digitale Agenda – , Verbrauerschutz in der digitalen Welt, abrufbar unter: http://www.digitale-agenda.de/Content/DE/StatischeSeiten/DA/verbraucher schutz.html; Eßer/Kramer/v. Lewinski-Hornung, § a BDSG Rn. . Eine Übersicht der teilnehmenden Wirtschaftsinitiativen ist abrufbar unter: http://www. edaa.eu/about/governing-associations/. EDAA, Participating Companies, Self-Certified Companies, abrufbar unter: http://www.edaa. eu/participating-companies/. IAB Europe, OBA Framework. EASA, Best Practice. http://www.edaa.eu/about/.
204
Kapitel 3 Deutschland
1. FSM-Verhaltenskodex für Anbieter Sozialer Netzwerke Auf Initiative des BMI arbeitete die Freiwillige Selbstkontrolle Multimedia (fsm) seit Ende 2011 mit Betreibern Sozialer Netzwerke aus dem In- und Ausland an einem Kodex zur Selbstregulierung.⁹⁶² Nachdem der bisherige Rechtsrahmen jedoch durch die DS-GVO überschrieben werden wird, wurden die Bemühungen eingestellt.⁹⁶³ Im Rahmen der Verhandlungen zeichnete sich jedoch bereits ab, dass § 38a BDSG aufgrund des Fehlens klarer Kompetenzzuweisungen als Grundlage für das Aushandeln von Selbstregulierungskodizes im datenschutzrechtlichen Bereich ungeeignet ist.⁹⁶⁴ Zudem machten die Betreiber internationaler Sozialer Netzwerke vor dem Hintergrund ihrer global ausgerichteten Tätigkeit ihr Interesse an einem „supra-nationalen Regelungsansatz für Kernfragen internetbezogener Regulierung“ deutlich, das weder durch rein nationale noch durch EU-weite Lösungen ausreichend befriedigt wird.⁹⁶⁵
2. Safer Social Networking Principles for the EU 2009 unterschrieben Branchenvertreter auf Initiative der EU-Kommission den Selbstregulierungskodex Safer Social Networking Principles for the EU, darunter auch Google und Facebook. Der Schwerpunkt der Regulierung liegt auf dem Schutz von Kindern, Datenschutzbestimmungen sind teilweise enthalten. Die Prinzipien sind rechtlich nicht verbindlich, sondern als Empfehlungen zu verstehen.⁹⁶⁶ In der Folge musste die EU-Kommission, welche die Umsetzung der Prinzipien durch die Mitglieder regelmäßig überprüft, in ihren Berichten feststellen, dass die Implementierung bislang kaum erfolgt und die Vorgaben von den Sozialen Netzwerken nicht eingehalten werden.⁹⁶⁷
3. Ergebnis Zusammenfassend kann festgehalten werden, dass derzeit keine effektiven Selbstregulierungsinitiativen in Deutschland bestehen und dass vor Geltung der DS-GVO auch nicht mit einer Änderung zu rechnen ist.
Fsm, Kodex Report, S. . LfD Berlin, TB , S. ; fsm, Kodex Report, S. . Fsm, Kodex Report, S. . Fsm, Kodex Report, S. Fn. . EC/Social Networking Task Force, SSN Principles, S. . EC/Donso, Assessment, S. ff.; EC, PR Digital Agenda, S. .
E. Gestaltungsbedarf
205
E. Gestaltungsbedarf Das Unionsdatenschutzrecht hat grundsätzlich einen umfassenden Geltungsanspruch für die kommerzielle Datenverarbeitung im Internet und damit auch für die Profilbildung durch Betreiber Sozialer Netzwerkseiten. Wie die vorstehende Untersuchung allerdings gezeigt hat, bestehen an mehreren Punkten Regelungsdefizite, die zu einer erheblichen Rechtsunsicherheit führen. Sie lassen sich auf drei Ebenen festmachen: 1. Unsicherheit über die Anwendbarkeit nationalen Datenschutzrechts, 2. Mängel des materiellen Rechts und 3. unzureichende Durchsetzung. Nachfolgend werden Gründe für die Schwierigkeiten auf den einzelnen Ebenen gesucht, um Ansatzpunkte für Verbesserungsmöglichkeiten hinsichtlich der Profilbildung und ‐nutzung benennen zu können.
I. Unsicherheit über die Anwendbarkeit nationalen Datenschutzrechts Weder in der Literatur noch in der Rechtsprechung hat sich zu der Frage, ob deutsches Datenschutzrecht auf das Soziale Netzwerk Facebook anwendbar ist, eine einheitliche Linie gebildet.⁹⁶⁸ Die Ungewissheit ergibt sich zum einen aus der mangelhaften Umsetzung der DSRL durch Deutschland und zum anderen aus dem nicht hinreichend bestimmten Begriff der Niederlassung. Unklar ist, in welchem Umfang die Niederlassung an der relevanten Datenverarbeitung beteiligt oder gar für sie verantwortlich sein muss. Hinzu kommt, dass für die Klärung, ob die Tatbestandsvoraussetzungen für das Bestehen einer Niederlassung erfüllt sind, tiefgehende Einblicke in die Unternehmensorganisation und Prozesse der Datenverarbeitung erforderlich sind, die jedoch auch den Datenschutzbehörden vorenthalten sind. Durch Art. 3 II DS-GVO, der für die Anwendbarkeit der Verordnung darauf abstellt, ob die Datenverarbeitung dazu dient, Personen in der EU Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten, tritt eine erhebliche Vereinfachung und Erleichterung ein, die geeignet ist, das bisherige Defizit zu beheben.
Siehe oben: Teil , Kap. ., C., I.
206
Kapitel 3 Deutschland
II. Mängel des materiellen Rechts Im Hinblick auf die Profilbildung finden sich wenig konkrete Regelungen in den Datenschutzgesetzen. Auch in der DS-GVO fehlen explizite Vorgaben für eine rechtmäßige Profilbildung.⁹⁶⁹ Es ist fraglich, ob die bestehenden Vorgaben für Profile Sozialer Netzwerke zielführend, d. h. dazu geeignet sind, die Entstehung umfassender Persönlichkeitsprofile zu verhindern und das informationelle Selbstbestimmungsrecht Betroffener effektiv zu gewährleisten.
1. Unterschätzung pseudonymer Nutzungsprofile Aus Nutzungsdaten können aussagekräftige Profile entstehen.⁹⁷⁰ Problematisch ist, dass allein durch das Nutzungsverhalten und seine Analyse genug Informationen zusammenkommen können, um den Nutzer eindeutig zu bestimmen,wie es der Fall der Veröffentlichung von Suchanfragen durch AOL anschaulich gezeigt hat.⁹⁷¹ Durch das Hinzukommen eines einzelnen Datums zum Datensatz kann die Pseudonymität durchbrochen werden.⁹⁷² Die Grenzen zwischen pseudonym und unmittelbar identifizierbar sind danach bei Profilen fließend. Das bedeutet, dass die Privilegierung pseudonymer Nutzungsprofile nicht haltbar ist, da die Pseudonymität ab einer gewissen, nicht konkret voraussagbaren Profildichte aufgelöst wird. Ab diesem Zeitpunkt wäre dann die Einwilligung des Betroffenen erforderlich. Entsprechend sieht auch die DS-GVO von einer Privilegierung von pseudonymen Nutzungsprofilen ab.
2. Unzulänglichkeit von Transparenz- und Einwilligungserfordernissen Der Einwilligung wird bei der Profilbildung eine besondere Gatekeeper-Funktion zugewiesen. Es ist jedoch unklar, ob das Rechtsinstitut im Kontext der Profilbildung durch Soziale Netzwerke diese Funktion erfüllen kann.⁹⁷³ Nachfolgend wird deshalb untersucht, welche tatsächlichen Auswirkungen die konsequente Umsetzung der gesetzlichen Vorgaben zur Einwilligung bei Sozialen Netzwerken hätte.
Kritisch dazu: DSK, Trilog, S. . Siehe oben: Teil , Kap. ., C., II., ., b), cc). Siehe oben: Einl., I. FTC, Profiling Report , S. ; Roosendaal, Digital Personae, S. ; Niemann/Scholz, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz, S. . Edwards/Brown, in: Matwyshyn, Harboring Data, S. ; Peifer, JZ , , .
E. Gestaltungsbedarf
207
a) Informiertheit Die Voraussetzung der Informiertheit der Einwilligung soll durch die Informationspflicht des Diensteanbieters, wonach der Nutzer über Art, Umfang und Zweck der Datenverarbeitung zu unterrichten ist, gewährleistet werden. Es ist allerdings fraglich, ob die Einhaltung der Vorgaben im gesetzlich geforderten Maß tatsächlich zu einer selbstbestimmten und informierten Entscheidung der Betroffenen führen würde. Wie dargestellt werden bereits jetzt Datenschutzerklärungen nicht richtig verstanden.⁹⁷⁴ Angesichts des stetig wachsenden Angebots und der technischen Möglichkeiten im Bereich der Datenanalyse führt eine umfassende Information zu einer erhöhten Komplexität, welche die Unterscheidung zwischen Wichtigem und Unwichtigem weiter erschwert, den Umfang der Datenschutzerklärungen weiter erhöht und damit die Wahrscheinlichkeit, dass die Betroffenen die Informationen überhaupt zur Kenntnis nehmen, weiter verringert.⁹⁷⁵ Die potentiellen Folgen einer für den Nutzer harmlos erscheinenden Datenpreisgabe sind bereits heute durch Data Mining und Datenmissbrauch Dritter derart mannigfaltig und wachsen mit jedem hinzukommenden Datum sowie dem nicht absehbaren technischen Fortschritt exponentiell an. Eine angemessene Risikoabschätzung durch den Einzelnen kann vernünftigerweise nicht mehr erwartet werden.⁹⁷⁶ Wer jedoch nicht einmal übersehen kann, worin er einwilligt – wer nicht wissen kann, wer was wann und bei welcher Gelegenheit über ihn weiß – trifft keine selbstbestimmte Entscheidung, die zu einer Datenverarbeitung ermächtigen könnte. Eine formal gegebene Einwilligung ist dann reine Fiktion ohne materielle Legitimationskraft.⁹⁷⁷ Sofern der Betroffene nicht in der Lage ist, eine autonome Entscheidung zu treffen, sind von staatlicher Seite ergänzende Schutzmechanismen zur Freiheitssicherung erforderlich.⁹⁷⁸ Es besteht folglich Gestaltungsbedarf, um dem Nutzer eine tatsächlich informierte Einwilligung zu ermöglichen.⁹⁷⁹ Wie die Studien der Verhaltensfor-
Siehe oben: Teil , Kap. , B., II., ., a); Grimmelmann, Iowa L. Rev. , f. (); FTC, Consumer Privacy , S. ; FTC, Consumer Privacy , S. , ff. Breinlinger, RDV , , ; Jandt, Vertrauen, S. ; Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit; Spiecker, K&R , , ; Gindin, Nw. J. Tech. & Intell. Prop. , (). Acatech, Internet Privacy , S. ; Jandt, Vertrauen, S. ; Kutscha, in: Roggan, OnlineDurchsuchung, S. , ; MacCarthy, ISJLP , (); Nehf, Open Book, S. f.; Solove, Harv. L. Rev. , (). Hoffmann-Riem, JZ , , . Hoffmann-Riem, JZ , , . BT-Drs. / (Internetenquete), S. .
208
Kapitel 3 Deutschland
schung gezeigt haben, sind bei der Unterrichtung der Kontext der Entscheidung, das Framing sowie der Empfängerhorizont zu berücksichtigen.⁹⁸⁰ Außerdem benötigt der Durchschnittsnutzer für eine angemessene Risikoabschätzung zusätzliche Hilfestellungen.
b) Freiwilligkeit Wie erläutert,⁹⁸¹ soll die Freiwilligkeit der Entscheidung durch das Koppelungsverbot gewährleistet werden,wonach der Vertragsabschluss nicht von einer Einwilligung des Betroffenen in die Datenverarbeitung abhängig gemacht werden darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Die Kritik, die konsequente Anwendung dieses Prinzips führe im Fall Sozialer Netzwerke dazu, von ihren Betreibern zu verlangen, einen kostenlosen Dienst anzubieten und den Nutzern gleichzeitig die Möglichkeit einzuräumen, sich der Verwendung ihrer Daten zu Werbezwecken zu entziehen, welche die Grundlage der Finanzierung des kostenlosen Dienstes darstellen,⁹⁸² geht fehl. Der Diensteanbieter wird keineswegs dazu gezwungen, sein Angebot kostenlos zur Verfügung zu stellen. Außerdem bricht die profilbasierte Werbung keineswegs als Einnahmequelle weg, sie muss lediglich gesetzeskonform ausgestaltet werden. Mit der Einführung der Datenportabilität in Art. 20 DS-GVO soll die Problematik zudem entschärft werden. Sie soll es dem Nutzer erleichtern, von einem Sozialen Netzwerk zu einem anderen zu wechseln, ohne seine Daten zu verlieren. Wenn ein leichter Wechsel des Sozialen Netzwerks möglich ist, so scheint ein Wechsel ganzer Freundeskreisgruppen wahrscheinlicher, so dass dann eine echte Wahlmöglichkeit zwischen verschiedenen Sozialen Netzwerken besteht.
3. Fehlende Konkretisierung der Löschpflichten In den datenschutzrechtlichen Normen fehlt es an einer Konkretisierung, wann eine Löschung der Daten vorzunehmen ist, um die Entstehung eines umfassenden Persönlichkeitsprofils zu verhindern. Es ist schwerlich möglich, eine abstrakte Grenze zu normieren und in der Praxis anzuwenden, deshalb kommt als Ansatzpunkt die Implementierung von Löschroutinen in Betracht.
Siehe oben: Teil , Kap. , B., II., ., b). Siehe oben: Teil , Kap. , C., II., ., b), aa). IDPC, Facebook Re-Audit, S. .
E. Gestaltungsbedarf
209
4. Ergebnis Der Persönlichkeitsschutz baut mit den derzeitigen Anforderungen an die Informiertheit der Einwilligung und dem Erfordernis der Pseudonymisierung bei Profilen auf empirischen Prämissen auf, die aufgrund der technischen Entwicklungen überholt sind.⁹⁸³
III. Durchsetzungsdefizit prozeduraler Natur Wie sich der Darstellung der Durchsetzungsmechanismen entnehmen lässt, besteht im deutschen Datenschutzrecht ein Vollzugsdefizit. Die Mängel des materiellen Rechts schlagen auf bestehende Vollzugsmechanismen durch. Wenn nationales Datenschutzrecht von den Gerichten nicht auf internationale Soziale Netzwerke wie Facebook angewendet wird, kann es selbstredend nicht durchgesetzt werden. Ebenso stellt die Unsicherheit darüber, welche Profilbildung noch rechtmäßig ist, einen Hemmschuh für die Durchsetzung dar. Aber auch klare und rechtssicherheitschaffende Normen schützen das Persönlichkeitsrecht nicht, wenn kein ausreichender „Anreiz“ besteht, sie zu befolgen.⁹⁸⁴ Der unzureichende Vollzug kann neben der mangelnden personellen und finanziellen Ausstattung der Datenschutzbehörden auch aus einer Kompetenzdiffusion zwischen und innerhalb der Landesbehörden resultieren, da es an einer ungeteilten Zuständigkeit fehlt und Ressourcen nicht gebündelt eingesetzt werden. Ein zusätzliches Standbein kann die Durchsetzung über das Wettbewerbsrecht bieten, das Verbänden und Mitbewerbern ein Vorgehen vor Gericht erlaubt, wodurch es zu einer Entlastung der Aufsichtsbehörden kommen kann.⁹⁸⁵ Daneben ist zu berücksichtigen, dass die Durchsetzung gegenüber im Nicht-EUAusland befindlichen Unternehmen Schwierigkeiten birgt. Ein weiterer Ansatzpunkt könnte deshalb die Kooperation mit den zuständigen Behörden vor Ort sein. Zur Verbesserung der Anreize zum gesetzeskonformen Verhalten sieht Art. 83 DS-GVO⁹⁸⁶ eine Erhöhung des Bußgeldes vor. Da Betreiber Sozialer Netzwerke darauf bedacht sind, einen Image- bzw. Vertrauensverlust zu vermeiden,⁹⁸⁷ könnten zusätzliche Maßnahmen zur Bekanntmachung von Datenschutzmängeln zu einer Verbesserung der Datenschutzkonformität der Betreiber führen.⁹⁸⁸
Hoffmann-Riem, JZ , , . Fetzer, in: Sokol, Persönlichkeit, S. . Himmels, Online Behavioral Targeting, S. f. Siehe oben: Teil , Kap. , C., IV., ., a), aa). Fetzer, in: Sokol, Persönlichkeit, S. . Zu den Details siehe unten: Teil , Kap. , B., IV.
210
Kapitel 3 Deutschland
IV. Ergebnis Die Analyse der datenschutzrechtlichen Vorgaben für Profile Sozialer Netzwerke hat eine Diskrepanz zwischen Gesetz und Praxis gezeigt. Die Gründe dafür bestehen sowohl auf der Ebene des materiellen Rechts als auch bei der Rechtsdurchsetzung.⁹⁸⁹ Insoweit ergibt sich ein gesetzgeberischer Handlungsbedarf zur Verbesserung des Persönlichkeitsschutzes bei Profilbildung. Für zukünftige Nutzungsmöglichkeiten muss der Gesetzgeber abwägen, ob es besonderer Regelungen bedarf.
Determann, Stan. Tech. L. Rev. , ff. (); TACD, Social Networking, S. .
Kapitel 4 USA Analog zum deutschen Bericht beginnt dieses Kapitel mit einer kurzen Einführung in den US-amerikanischen Schutz der Privacy (Abschnitt A) sowie einer Darstellung der verfassungsrechtlichen Standards in Bezug auf den Privatheitsschutz (Abschnitt B), die als Hintergrund für die anschließende Darstellung des einfachrechtlichen Rahmens dienen. Dieser setzt sich zusammen aus den föderalen einfachgesetzlichen Regelungen (Abschnitt C), dem Vorgehen der FTC (Abschnitt D), den gliedstaatlichen Regelungen des einfachen Gesetzesrechts einschließlich des Deliktsrechts der Common Law Privacy Torts (Abschnitt E) und der Selbstregulierung (Abschnitt F). Auf der Grundlage der Problemanalyse wird in Abschnitt G der resultierende Gestaltungsbedarf skizziert, den die Obama-Regierung in einem Weißbuch und einem aktuellen Gesetzentwurf aufgegriffen hat (Abschnitt H).
A. Einführung zum US-amerikanischen Schutz der Interessen an Privacy Die Arbeit verfolgt mit der Rechtsvergleichung das Ziel, die Möglichkeit der Rechtsvereinheitlichung für den konkreten Fall der Profilbildung durch Soziale Netzwerke auszuloten. Um dazu im Sinne der funktionalen Äquivalenz von Rechtsinstituten Gemeinsamkeiten und Unterschiede mit dem EU-Recht festzustellen,¹ folgt zunächst eine kurze Einführung in die US-amerikanischen Rechtsquellen und die rechtsgeschichtliche Entwicklung des Privatheitsschutzes in den USA.
I. Rechtsquellen Da die USA in der Rechtstradition des Common Law stehen, sind in die rechtliche Analyse des Schutzes der Privatheit sowohl das kodifizierte Recht in Form von föderalen und gliedstaatlichen Regelungen als auch das Richter- und Gewohnheitsrecht einzubeziehen.
1. Common Law & Equity Der Begriff des Common Law beschreibt zum einen das Rechtssystem als solches in Abgrenzung zum kontinental-europäischen Civil Law. Zum anderen bezieht er Zweigert/Kötz, Rechtsvergleichung, S. , .
212
Kapitel 4 USA
sich im engeren Sinne auf das ungeschriebene Recht in Abgrenzung zum geschriebenen Recht.² Leitprinzip ist die Bindung der Gerichte an vorhergehende Gerichtsentscheidungen bei vergleichbaren Sachverhalten (binding prececent), weshalb der Begriff des Common Law auch mit Präjudizienrecht übersetzt wird.³ Die Bindungswirkung bezieht sich auf die tragenden Gründe der Entscheidung, nicht jedoch auf obiter dicta, also Ausführungen des Gerichts, die nicht zwingend für die Begründung der Entscheidung sind.⁴ Die Bundesgerichte sind an Entscheidungen höherer Bundesgerichte, die gliedstaatlichen Gerichte an die der höheren Gerichte im staatlichen Instanzenzug gebunden, nicht jedoch an Entscheidungen der Bundesgerichte oder Obergerichte anderer Staaten. Die oberen und obersten Gerichte der USA können von ihren eigenen Entscheidungen abweichen.⁵ Der als Billigkeitsrecht zu verstehende Normenkomplex der Equity wurde zum Ausgleich von Ungerechtigkeiten und Rechtslücken des Common Law entwickelt und lässt sich mit dem deutschen Grundsatz von Treu und Glauben gem. § 242 BGB vergleichen.⁶ Der Unterscheidung zwischen Common Law und Equity kommt prozedural durch die Einführung einheitlicher Zivilklagen heute keine große Bedeutung mehr zu.⁷
2. Kodifiziertes Recht In den USA gibt es ein föderales System der Gesetzgebung, in dem die legislative Gewalt von der Bundesregierung und den Regierungen der 50 Bundesstaaten dual ausgeübt wird.⁸ Die Verfassung, Bundesgesetze und Staatsverträge gehören zum obersten Bundesrecht und gehen grundsätzlich dem gliedstaatlichen Recht vor.⁹ Grundsätzlich steht die Regulierungsmacht im föderalen System der USA im Bereich des Privatheitsschutzes sowohl dem Bund als auch den Staaten zu, wobei die Gliedstaaten über die Regelungen des Bundes hinausgehen dürfen.¹⁰
Zweigert/Kötz, Rechtsvergleichung, S. ; Blumenwitz, Einführung, S. . Byrd, Rechtssprache, S. ; Genz, Datenschutz, S. . Byrd, Rechtssprache, S. ; Blumenwitz, Einführung, S. . Blumenwitz, Einführung, S. . Byrd, Rechtssprache, S. ; Blumenwitz, Einführung, S. f. Blumenwitz, Einführung, S. ; Byrd, Rechtssprache, S. . Schwartz, in: Stern/Peifer/Hain, Datenschutz, S. . Blumenwitz, Einführung, S. . EC DG JFS, Data Protection USA, S. f.
A. Einführung zum US-amerikanischen Schutz der Interessen an Privacy
213
Bei der Auslegung der Gesetze ist der Wortlaut Ausgangspunkt der Interpretation; maßgebliches Ziel ist es aber, dem Willen des Gesetzgebers zur Geltung zu verhelfen.¹¹
3. Verhältnis Common Law und kodifiziertes Recht Da das kodifizierte Recht Vorrang vor dem Common Law genießt, erfüllt das Common Law mittlerweile eine Auffangfunktion bei fehlenden gesetzlichen Regelungen.¹²
4. Selbstregulierung Während das kontinental-europäische Staatsverständnis aus dem Individualrechtsschutz eine umfassende Kodifizierungspflicht ableitet, führt das liberale Staatsverständnis in den USA dazu, dass die Regulierung wesentlicher Bereiche gesellschaftlichen Lebens den Betroffenen selbst überlassen wird.¹³ Während in der EU die Selbstregulierung der Konkretisierung gesetzlicher Regelungen dient, steht sie in den USA vielfach an ihrer Stelle.¹⁴
II. Rechtsgeschichtliche Entwicklung des Schutzes der Interessen an Privacy in den USA Unabhängig von der Unterschiedlichkeit bestehender Schutzkonzepte kommt es für den Rechtsvergleich im konkreten Einzelfall darauf an zu klären, ob die gleichen Interessen geschützt werden und mit welchem Schutzniveau dies geschieht.¹⁵
1. Begriff Mangels einer exakten Entsprechung in der deutschen Rechtsterminologie wird Privacy allgemeinhin mit „Privatheit“ in Abgrenzung zum Persönlichkeitsrecht (Right to Personality) übersetzt.¹⁶ Ein allgemeiner Definitionsversuch scheiterte bisher an der Komplexität und Unschärfe der erfassten Interessengruppen. Aus-
Blumenwitz, Einführung, S. . Schwartz, DJT , S. O ; Blumenwitz, Einführung, S. . Genz, Datenschutz, S. ff. Kranig/Peintinger, ZD , , . Zweigert/Kötz, Rechtsvergleichung, S. . Schwartz, in: Frank et al., Übersetzen, S. ; Schwartz/Peifer, Cal. L. Rev. , (); Genz, Datenschutz, S. ; Spies, ZD , , .
214
Kapitel 4 USA
prägungen des Right to Privacy sind das Recht, allein gelassen sowie nicht überwacht zu werden, der Schutz des guten Rufs, das Recht, Entscheidungen für sich zu treffen, oder auch das Recht, über die Nutzung eigener Daten zu entscheiden.¹⁷ Letzteres wird oft als Information Privacy bezeichnet und steht in Bezug auf die Datenverarbeitung im Internet im Fokus.¹⁸
2. Entwicklung der Information Privacy im Privatrecht Zum Verständnis nationaler Rechtlösungen trägt die historische Genese bei. Sie bildet gleichzeitig den Hintergrund für potentielle neue Ansätze.¹⁹
a) Right to be let alone Aus dem Common Law entwickelten die beiden Juristen Warren und Brandeis bereits 1890 in ihrem Harvard Law Review-Artikel ein sog. Recht, alleine gelassen zu werden (Right to be let alone), als Reaktion auf die stark zunehmende Verbreitung von Zeitungen und den Boulevard-Journalismus sowie der allgegenwärtigen Fotografie durch das Aufkommen der Kodak-Kamera.²⁰ Das Recht ist an einem räumlichen Privatsphäreverständnis orientiert²¹ und bildet damit lediglich einen Ausschnitt des später entwickelten deutschen allgemeinen Persönlichkeitsrechts ab.
b) Common Law Privacy Torts Der Artikel war der Anstoß für die allmähliche Anerkennung des Right to Privacy im Deliktsrecht beinahe aller Staaten,²² beginnend mit dem Staat New York 1903 und durch den Supreme Court of Georgia 1905.²³ Das Deliktsrecht fällt in den gliedstaatlichen Kompetenzbereich (state law), was dazu führte, dass das Right to Privacy zwar in den meisten Staaten anerkannt wurde, jedoch nicht überall und Solove, Understanding Privacy, S. f.; Bennett, Regulating Privacy, S. . Kang, Stan. L. Rev. , (); Westin, Privacy and Freedom, S. . Zweigert/Kötz, Rechtsvergleichung, S. . Mathews-Solove, § :., S. ; Götting/Schertz/Seitz-Götting, S. § Rn. ; Kang/Buchner, Harv. J.L. , (). v. Lewinski, in: Schmidt/Weichert, Datenschutz, S. , ; Weichert, RDV , , . Solove/Schwartz, Privacy Law, S. ; Mathews-Solove, § :., S. . Es fehlten lange Zeit Nebraska, Minnesota und Wisconsin. In Wisconsin () und Nebraska () wurden mittlerweile Privacy-Statutes erlassen, in Minnesota wurden die Privacy-Torts bis auf die Ausprägung des false light anerkannt, Lake v. Wal-Mart Store, Inc., N.W.d , (Minn. ). Mathews-Solove, § :., S. ; Götting/Schertz/Seitz-Götting, S. § Rn. .
A. Einführung zum US-amerikanischen Schutz der Interessen an Privacy
215
nicht in gleicher Art und Weise ausgeformt ist.²⁴ Um zur Vereinheitlichung der Auslegung des Common Law insgesamt und damit auch des Law of Torts beizutragen und um eine Struktur in die Unsicherheiten und die Komplexität des amerikanischen Rechts zu bringen, wurde 1923 das American Law Institute (ALI) gegründet. Das Institut hat seitdem auf verschiedenen Rechtsgebieten sog. Restatements erarbeitet, in denen es die jeweiligen Leitentscheidungen systematisiert darstellt und nach mehreren Jahre aktualisiert.²⁵ Die Restatements besitzen keine Bindungswirkung, bieten aber eine komprimierte Darstellung des ausdifferenzierten Fallrechts.²⁶ Im Restatement Second of Torts (Rest.2d Torts) findet sich eine von dem Rechtsprofessor Prosser 1960 vorgenommene²⁷ Einteilung des Privatheitsschutzes in vier Fallgruppen (Privacy Torts), die auf das Recht, alleine gelassen zu werden, zurückgehen.²⁸ Das Eindringen in den Privatbereich (intrusion, Rest.2d Torts, § 652B), die unbefugte kommerzielle Nutzung des Namens und der Persönlichkeit (appropriation, Rest.2d Torts, § 652C), die Veröffentlichung von privaten Tatsachen (disclosure of privat facts, Rest.2d Torts, § 652D) und die falsche Darstellung (false light, Rest.2d Torts, § 652E).²⁹ Daneben wurde das Delikt des Vertrauensbruchs (breach of confidentiality) durch die Rechtsprechung für bestimmte Berufsgruppen wie Ärzte und Anwälte entwickelt.³⁰ Die Bedeutung der Privacy Torts hat jedoch mit der Massendatenverarbeitung durch Private abgenommen und nur wenige Fälle der Datenerhebung und ‐nutzung im Internet, die vor Gericht gebracht wurden, stützen sich auf die Privacy Torts, die bislang das Herzstück des US-Privacy-Rechts waren.³¹
c) Fair Information Practice Principles Seit den 1970ern setzt sich der Kongress mit Gesetzgebungsvorschlägen in Bezug auf umfassende Datensammlungen durch Private auseinander, ohne jedoch ein
Solove/Schwartz, Privacy Law, S. ; Mathews-Solove, § :., S. . Harper, in: AICGS Policy Report, S. ; Genz, Datenschutz, S. . Purtova, Property Rights, S. ; Genz, Datenschutz, S. . Mathews-Solove, § :., S. ; Amelung, Schutz der Privatheit, S. ; Buchner, Informationelle Selbstbestimmung, S. . Harper, in: AICGS Policy Report, S. , Solove/Schwartz, Information Privacy, S. . Gounalakis/Rhode, Persönlichkeitsschutz, S. f.; Grimmelmann, Iowa L. Rev. , ff. (); Harper, in: AICGS Policy Report, S. ff.; Solove/Schwartz, Information Privacy, S. . Simonsen v. Swenson, Neb. (Neb. ); Mathews-Solove, § :., S. ; Solove/ Schwartz, Privacy Law, S. . Solove/Schwartz, Information Privacy, S. ; Schwartz, Yale L.J. , ().
216
Kapitel 4 USA
umfassendes Regelungswerk zum Datenschutz zu erlassen.³² Als Reaktion auf die neuen Entwicklungen der Datenverarbeitung erarbeitete das US-Ministerium für Gesundheit, Bildung und Wohlfahrt 1973 Empfehlungen, sog. Fair Information Practice Principles (FIPPS).³³ Diese Prinzipien wurden seitdem in den USA, Kanada und der EU offiziell anerkannt.³⁴ Die vier Prinzipien der FIPPS sind: (1) Informationspflicht (notice) – Datenverarbeiter müssen Nutzer über die Datenverarbeitung vor der Datenerhebung aufklären; (2) Wahlmöglichkeit (choice) – Nutzer müssen eine Wahlmöglichkeit erhalten, ob und wie ihre Daten für Zwecke genutzt werden dürfen, die über die Zwecke hinausgehen, für die sie ursprünglich zur Verfügung gestellt wurden; (3) Auskunftsrecht (access) – Nutzern soll ein Auskunftsrecht zusammen mit der Möglichkeit zur Richtigstellung gewährt werden und (4) Datensicherheit (security) – der Datenverarbeiter hat erforderliche und zumutbare Maßnahmen zu treffen, um sicherzustellen, dass die erhobenen Informationen korrekt und vor unbefugtem Zugriff geschützt sind.³⁵ Die FIPPS beanspruchen als Empfehlungen keine direkte Geltung, sondern bedürfen der Implementierung, um Bindungswirkung zu entfalten.³⁶
d) Gesetzgebung zur Information Privacy von Bund und Bundesstaaten Der US-amerikanischen Regelungsstruktur liegt kein einheitliches Schutzkonzept wie das allgemeine Persönlichkeitsrecht zu Grunde, weshalb der US-Gesetzgeber auf eine umfassende Regelung des Datenschutzrechts verzichtet, wie sie in der EU und den meisten westlichen Nationen besteht, um auch sektoralen Besonderheiten besser Rechnung tragen zu können.³⁷ Die FIPPS wurden deshalb in sektorspezifischen Regelungen in verschiedener Form implementiert, abhängig von der Art der erhobenen Daten und dem Kontext der Verarbeitung.³⁸ Sowohl Bund als auch Bundesstaaten verabschiedeten zahlreiche Regelungen zu einzelnen sensiblen Sektoren wie beispielsweise Finanzdienstleistungen oder dem Gesundheitswesen,³⁹ so dass der gesetzliche Privatheitsschutz in den USA heute ein Solove, Stan. L. Rev. , (). Gebräuchlich ist auch der verkürzte Terminus Fair Information Principles (FIPS). FTC, Online Profiling Report, Teil , S. ; Mathews-Solove, § :., S. f. US-amerikanische Version s. FTC, Online Profiling Report, Teil , S. . Purtova, Property Right, S. ; Rotenberg, Stan. Tech. L. Rev. , (); Schwartz, Yale L.J. , (). Harper, in: AICGS Policy Report, S. ; Schwartz, in: Frank et al., Übersetzen, S. ; Schwartz, Yale L.J. , (); Schwartz/Peifer, Cal. L. Rev. , (); Weichert, RDV , ; Schaar, Privatsphäre, S. . Schwartz, Yale L.J. , (). Solove/Schwartz, Privacy, S. ; Genz, Datenschutz, S. .
B. Verfassungsrechtliche Vorgaben
217
sektorales und fragmentarisches Regelungsnetz aus föderalen und gliedstaatlichen Normierungen ist.⁴⁰ Entstehende Lücken werden vielfach durch Selbstregulierung ausgefüllt.⁴¹
B. Verfassungsrechtliche Vorgaben Aufschlussreich für das unterschiedliche Verständnis des Privatheitsschutzes in den USA und Deutschland ist seine Bedeutung innerhalb der Verfassung und die Ausgestaltung der Verfassung selbst als ausschließliches Abwehrrecht gegenüber dem Staat.⁴²
I. Reichweite des verfassungsrechtlichen Schutzes Die US-amerikanische Verfassung gewährt nur Schutz gegen staatliche Eingriffe (state action doctrine).⁴³ Betroffene können sich bei Verletzungen durch Private nicht auf die in der Bill of Rights und im 14. Verfassungszusatz enthaltenen Grundrechte berufen.⁴⁴ Außerdem werden dem Staat durch die Verfassung keine Pflichten für den Schutz der Privatheit vor Beeinträchtigungen durch Private auferlegt.⁴⁵ Den USA ist zudem das Prinzip der mittelbaren oder gar unmittelbaren Drittwirkung von Grundrechten fremd, so dass die vom höchsten amerikanischen Bundesgericht, dem US Supreme Court, entwickelten Grundsätze zur verfassungsrechtlichen Privacy ⁴⁶ im Bereich der Privatwirtschaft grundsätzlich nur eine
Genz, Datenschutz, S. ff.; EC DG JFS, Data Protection USA, S. ; Solove/Schwartz, Privacy, S. ; Bygrave, Data Privacy, S. . Schiedermair, in: Dörr/Weaver, Right to Privacy, S. , . Solove, Stan. L. Rev. , (); Purtova, Property Rights, S. . Kang, Stan. L. Rev. , (); Lin, Berkeley Tech. L.J. , (); PeltzSteele, J. Internet L. , (); Wittmann, Schutz der Privatsphäre, S. . Shelley v. Kraemer, U.S. , (); Jackson v. Metropolitan Edison Co., U.S. , (). Solove, Stan. L. Rev. , (); Purtova, Property Rights, S. ; Peltz-Steele, J. Internet L. , (). Griswold v. Connecticut, U.S. , () (Decisional Privacy); Roe v. Wade, U.S. , () (Information Privacy).
218
Kapitel 4 USA
begrenzte Rolle spielen.⁴⁷ Die Leitgedanken werden jedoch von den Zivilgerichten insbesondere bei der Auslegung der Privacy-Torts herangezogen.⁴⁸ Gliedstaaten können den Privatheitsschutz in ihren Staatsverfassungen abweichend von der Bundesverfassung ausgestalten und auch einen Schutz für Verletzungen durch Private vorsehen.⁴⁹
II. Föderaler verfassungsrechtlicher Schutz Der folgende Abschnitt gibt anhand von Leitentscheidungen und aktueller Rechtsprechung einen Überblick darüber, inwieweit die in Teil 1, Kapitel 2 gefundenen tatsächlichen Interessen der Betreiber Sozialer Netzwerke und ihrer Kunden sowie der Nutzer in den USA auf Bundesebene verfassungsrechtlich geschützt werden. Neben dem Rahmen gesetzlicher Regelungsmöglichkeiten im Bereich der Profilerstellung und ‐nutzung durch private Betreiber ergeben sich daraus zudem die für die Rechtsprechung im Bereich der Privacy-Torts wesentlichen Prinzipien.
1. Verfassungsrechtlich geschützte Betreiber- und Drittinteressen Inwieweit eine Datenerhebung und -nutzung zu kommerziellen Zwecken verfassungsrechtlich geschützt wird, ergibt sich in den USA aus der Auslegung des First Amendment durch den US Supreme Court. Seiner Rechtsprechung zur Meinungsfreiheit (freedom of speech) können Vorgaben entnommen werden, wann Datenschutzgesetze in verfassungswidrigem Umfang den Informationsaustausch verbieten und dadurch die Meinungsfreiheit verletzen.⁵⁰ In dem 2011 gefällten Urteil Sorrell v. IMS Health entschied der US Supreme Court, dass ein Gesetz verfassungswidrig ist, das den Verkauf, die Veröffentlichung und die Benutzung von Apothekenakten zum Zweck des Arzneimittelmarketings reglementierte.⁵¹ In der Literatur wird seither die Bedeutung der Entscheidung für
EC DG JFS, Data Protection USA, S. ; Hotaling, CommLaw Conspectus , (); Weitzner, in: Hijmans/Kranenborg, Data Protection, S. . Bspw. Pearson v. Dodd, F.d , (D.C. Ct. App.); Moreno v. Hanford Sentinel, Inc., Cal. App. th , (Cal. Ct. App. ); U.S. v. Gines-Perez, F. Supp. d , (D. P.R. ); Yath v. Fairview Clinics, NP, N.W.d , (Minn. Ct. App. ). Lin, Berkeley Tech. L.J. , (). Schwartz, DJT , S. O ; Tennis, in: Akrivopoulou/Athanasios, Personal Data, S. . Sorrell v. IMS Health, S.Ct. (); Schwartz, DJT , S. O .
B. Verfassungsrechtliche Vorgaben
219
gesetzgeberische Regulierungsmöglichkeiten kommerzieller Datenerhebung und ‐nutzung im Internet durch Private diskutiert.
a) Sorrell v. IMS Health Der Staat Vermont erließ 2007 ein Gesetz zum Schutz der Vertraulichkeit von Arzneimittelverschreibungen, das Prescription Confidentiality Law (Act 80).⁵² Das Gesetz sah vor, dass bestimmte Berufsgruppen, darunter Versicherer, personenbezogene Daten Arzneimittelverschreibender nicht ohne Zustimmung der Verschreibenden an Dritte zu Marketingzwecken weitergeben dürfen.⁵³ Erlaubt wurde dagegen die Weitergabe der Daten etwa für Forschungszwecke. Darüber hinaus statuierte das Gesetz, dass Pharmahersteller und -vermarkter personenbezogene Daten Verschreibender für Zwecke der Werbung für verschreibungspflichtige Medikamente nur mit Zustimmung des Verschreibenden nutzen dürfen.⁵⁴ Der US Supreme Court bewertete das Gesetz als eine verfassungswidrige Einschränkung der nach dem ersten Verfassungszusatz geschützten Meinungsfreiheit.⁵⁵ Das Gericht lehnte die durch die Vorinstanz vorgenommene Einordnung des Gesetzes als reine Marktregelung mit der Begründung ab, dass die Erstellung und Verbreitung von Informationen unter die Meinungsfreiheit fallen.⁵⁶ Damit seien auch der Verkauf, die Weitergabe und die sonstige Nutzung von personenbezogenen Daten zu Marketingzwecken durch den ersten Verfassungszusatz geschützt.⁵⁷ Zum einen sei Marketing eine Meinungsäußerung mit einem bestimmten Inhalt, so dass ein Verbot, auf bestimmte Daten für Werbezwecke zuzugreifen, zu einer inhaltsbezogenen Einschränkung der Meinungsfreiheit führe (content-based restriction).⁵⁸ Zum anderen sah der US Supreme Court eine besondere Benachteiligung der Meinungsfreiheit von Pharmaherstellern und -vermarktern, also eine Einschränkung der Meinungsfreiheit basierend auf der Zuordnung zu einer
Gesetz v. . . , No. , Vt. Stat. Ann. tit. , § ; Sorrell v. IMS Health, S.Ct. , (). Vt. Stat. Ann. tit. , § (d); Sorrell v. IMS Health, S.Ct. , (); Clark, Suffolk U. L. Rev. , ff. Fn. (). Vt. Stat. Ann. tit. , § (d); Sorrell v. IMS Health, S.Ct. , (); Clark, Suffolk U. L. Rev. , ff. Fn. (). Sorrell v. IMS Health, Inc., S. Ct. , (). Sorrell v. IMS Health, Inc., S. Ct. , (). Sorrell v. IMS Health, Inc., S. Ct. , (). Sorrell v. IMS Health, Inc., S. Ct. , ().
220
Kapitel 4 USA
Gruppe (speaker-based restriction), wodurch eine bestimmte Sichtweise diskriminiert werde (viewpoint discrimination).⁵⁹ Ein Gesetz, das ein nach dem ersten Verfassungszusatz geschütztes Verhalten aufgrund des Inhalts der Meinung einschränkt, unterliegt nach den Ausführungen des Gerichts in Sorrell v. IMS Health erhöhten Anforderungen (heightened scrutiny), um verfassungsgemäß zu sein.⁶⁰ Der Gesetzgeber muss danach belegen können, dass das Gesetz der unmittelbaren Förderung eines substantiellen staatlichen Interesses dient und dazu auch geeignet ist.⁶¹ Dies sah der US Supreme Court im konkreten Fall nicht als gegeben an.⁶²
b) Bedeutung für Privacy-Gesetzgebung im privaten Bereich Die Bedeutung der Entscheidung Sorrell v. IMS Health für OBA und Gesetzgebungsvorhaben zum Schutz der Privacy im Internet ist in den USA umstritten.⁶³ Einige Stimmen in der Literatur sehen jede Form des Internettrackings und der Datenanalyse zu Werbezwecken als vom First Amendment geschützt an⁶⁴ und bewerten aktuelle Gesetzgebungsvorhaben⁶⁵ zu ihrer Regulierung als verfassungswidrig.⁶⁶ Nach anderer Lesart des Urteils bleibt eine weitgehende Einschränkung von Internettracking möglich. Das Urteil macht nach dieser Ansicht nur in einem engen Rahmen Vorgaben für die Gesetzgebung.⁶⁷ Im Folgenden wird überprüft, welche Vorgaben sich aus der Entscheidung Sorrell v. IMS Health für die Regulierung von Profilbildung durch Betreiber Sozialer Netzwerke ableiten lassen.
Sorrell v. IMS Health, Inc., S. Ct. , (). Sorrell v. IMS Health, Inc., S. Ct. , (). Sorrell v. IMS Health, Inc., S. Ct. , (). Sorrell v. IMS Health, Inc., S. Ct. , – (). Cole, Cardozo Arts & Ent. L.J. , (); Richards, Wm. & Mary L. Rev. , f. (). Kamp, CHC . . . Bspw. Commercial Privacy Bill of Rights Act of , th Congress () (Kerry/McCain Bill); Building Effective Strategies To Promote Responsibility Accountability Choice Transparency Innovation Consumer Expectations and Safeguards Act, H.R. , th Congress (); Consumer Privacy Protection Act of , H.R. , th Congress () (Stearns Bill). Julin, BNA Priv. & Sec. L. Rep. (). Cole, Cardozo Arts & Ent. L.J. , (); Tomain, U. Cin. L. Rev. , ().
B. Verfassungsrechtliche Vorgaben
221
aa) Datenverarbeitung und -weitergabe Es ist umstritten, ob schon Daten an sich und damit jede auf sie bezogene Handlung unter den Schutzbereich des ersten Verfassungszusatzes fallen⁶⁸ oder ob weitere Elemente hinzutreten müssen, um den Schutz der Meinungsfreiheit auszulösen.⁶⁹ Vorliegend bedarf der Streit keiner Entscheidung, da auch die strengere Ansicht im Kontext der Datenverarbeitung zu Werbezwecken das Bestehen eines Schutzes nach dem First Amendment annimmt. Danach hängt die Eröffnung des Schutzbereichs des ersten Verfassungszusatzes davon ab, ob die Datennutzung unmittelbar eine geschützte Meinungsäußerung unterstützt. Gesetze, die Datennutzung regulieren, verletzten danach das First Amendment, wenn die Datennutzung einer geschützten Tätigkeit dient, wie Marketing oder Journalismus.⁷⁰ Dies gilt in gleicher Weise für Algorithmen, die zur Datenauswertung für Werbezwecke eingesetzt werden.⁷¹ Die Datenverarbeitung und -nutzung zu Werbezwecken wird damit auch nach der strengeren Auslegung grundsätzlich vom First Amendment geschützt. Dass ein Verhalten in den Schutzbereich des ersten Verfassungszusatzes fällt, bedeutet jedoch kein Verbot einer gesetzlichen Regulierung.⁷² In der Rechtsprechung des US Supreme Court haben sich drei Stufen für die Überprüfung der Verfassungsgemäßheit entwickelt: Prüfung einer sachlichen Grundlage (rational basis review), intermediäre Prüfung (intermediate scrutiny) und strenge Prüfung (strict scrutiny).⁷³ Welcher Maßstab zur Anwendung kommt, hängt u. a. davon ab, ob es sich um politische Meinungsfreiheit (political speech) oder um solche zu kommerziellen Zwecken (commercial speech) handelt.⁷⁴ In Virginia State Board of Pharmacy entschied der US Supreme Court, dass auch die Freiheit von Meinungsäußerungen zu kommerziellen Zwecken (commercial speech) geschützt wird.⁷⁵ Nach Ohralik v. Ohio State Bar Assn. wird ihr ein geringerer Wert beigemessen als anderen Kategorien der Meinungsfreiheit.⁷⁶ In Sorrell v. IMS Health umgeht der US Supreme Court die Einteilung, indem er aus der Tatsache der inhalts- und gruppenbezogenen Einschränkung der Mei Bambauer, Stan. L. Rev. , (). Richards, Wm. & Mary L. Rev. , f. (); Cole, Cardozo Arts & Ent. L.J. , (). Cole, Cardozo Arts & Ent. L.J. , (). Universal City Studios, Inc. v. Corley, F.d , (nd Cir. ). Cole, Cardozo Arts & Ent. L.J. , (); Tomain, U. Cin. L. Rev. , (). Cole, Cardozo Arts & Ent. L.J. , (). Cole, Cardozo Arts & Ent. L.J. , (). Va. State Bd. of Pharmacy v. Virginia Citizens Consumer Council, Inc., U.S. , ff., (). Ohralik v. Ohio State Bar Assn., U.S. , ().
222
Kapitel 4 USA
nungsfreiheit durch das Gesetz das Erfordernis erhöhter Anforderungen für seine Rechtfertigung (heightened scrutiny) ableitet.⁷⁷ Im Ergebnis ist nach der Entscheidung Sorrell v. IMS Health ein Gesetz zum Schutz der Privatheit verfassungswidrig, das die Meinungsäußerungsfreiheit bestimmter Gruppen auf der Grundlage des Inhalts ihrer Äußerung einschränkt und nicht durch substantielle Interessen des Privatheitschutzes in geeigneter und verhältnismäßiger Weise gerechtfertigt werden kann.⁷⁸
bb) Datenerhebung Eine Ansicht in der Literatur leitet aus der Entscheidung Virginia State Board of Pharmacy ⁷⁹ ein generelles Recht, Informationen zu erhalten, ab.⁸⁰ Die Entscheidung bezieht sich jedoch nur auf das Recht der Öffentlichkeit, über Medikamentenpreise informiert zu werden, nicht jedoch auf ein Recht von Werbetreibenden, Zugang zu jeglichen Informationen zu erhalten.⁸¹ Nach welchen Maßgaben die Datenerhebung zu kommerziellen Zwecken reguliert werden kann, gibt auch Sorrell v. IMS Health nicht vor, da die Entscheidung sich ausschließlich auf die Datenverarbeitung und -nutzung bezieht.⁸² Nach einer Ansicht fällt die Informationserhebung zu Zwecken der Werbung nicht generell in den Anwendungsbereich des First Amendment, sondern ist ein der Meinungsäußerung vorgelagertes Verhalten.⁸³ Nach anderer Ansicht wird jeder Datenumgang als Bestandteil der Meinungsfreiheit geschützt.⁸⁴ Nach vermittelnder und wohl h.L. ist die Datenerhebung zumindest dann vom Schutzbereich des ersten Verfassungszusatzes erfasst, wenn sie unmittelbar eine geschützte Meinungsäußerung unterstützt.⁸⁵ Nach der h.M. fällt danach eine Datenerhebung zum Zweck des OBA in den Schutzbereich des ersten Verfassungszusatzes.⁸⁶
Siehe oben: Teil , Kap. , B., II., ., a). Cole, Cardozo Arts & Ent. L.J. , (); Richards, Wm. & Mary L. Rev. , (). Va. State Bd. of Pharmacy v. Virginia Citizens Consumer Council, Inc., U.S. (). Bambauer, Stan. L. Rev. , (). Tomain, U. Cin. L. Rev. , (). Sorrell v. IMS Health, Inc., S. Ct. , (); Cole, Cardozo Arts & Ent. L.J. , (). Richards, UCLA L. Rev. , (). Bambauer, Stan. L. Rev. , ff. (). Cole, Cardozo Arts & Ent. L.J. , (); Tomain, U. Cin. L. Rev. , (); vgl. Glik v. Cunniffe, F.d , f. (st Cir. ). Tomain, U. Cin. L. Rev. , (); Cole, Cardozo Arts & Ent. L.J. , f. ().
B. Verfassungsrechtliche Vorgaben
223
cc) Einordnung kostenloser Sozialer Netzwerke und Folgen für die Regulierung Kaum untersucht ist die Übertragung der Rechtsprechung auf die Profilbildung und -nutzung durch Betreiber kostenloser Sozialer Netzwerke.
(1) Schutz der Profilbildung Sozialer Netzwerke nach dem First Amendment? Bei Sozialen Netzwerken ist zwischen einer Datenerhebung und ‐verarbeitung zu unterscheiden, die dem Austausch der Nutzer untereinander dient und einer solchen zur Profilerstellung, wobei beide Zwecke in vielen Fällen gleichzeitig vorliegen. Vom Nutzer eingestellte Informationen auf der Webseite dienen der Kommunikation und können ebenso zu Profilbildungszwecken genutzt werden. Wird ein Social Plugin angeklickt, werden die Freunde des Nutzers darüber informiert. Die Interaktion wird aber ebenso zu Profilbildungszwecken genutzt.⁸⁷ Die Datenerhebung und -nutzung zu Kommunikationszwecken genießt den vollen Schutz des First Amendment. Problematisch ist dagegen, ob bei der Datenerhebung und -verarbeitung zu Profilbildungszwecken der Schutz des ersten Verfassungszusatzes greift. Die Datenaggregation und ‐auswertung dient zwar kommerziellen Zwecken. Die Profile werden jedoch nicht gegenüber Dritten wie Werbetreibenden öffentlich gemacht.⁸⁸ Die geschützte Meinungsäußerung in Form der Werbung erfolgt nicht durch den Betreiber des Sozialen Netzwerks selbst, sondern durch Werbetreibende. Wird nicht abweichend von der Rechtsprechung auf das Erfordernis eines Adressatenkreises für die Annahme einer Meinungsäußerung⁸⁹ verzichtet,⁹⁰ fehlt es mithin an einer geschützten Meinungsäußerung durch den Betreiber des Sozialen Netzwerks selbst. Andererseits kann argumentiert werden, dass sich zumindest die Werbetreibenden auf den Schutz des First Amendment berufen können und die Datenverarbeitung durch Betreiber Sozialer Netzwerke der geschützten Meinungsäußerung der Werbetreibenden dient. Ob ein solches Verständnis jedoch noch von der commercial speech doctrine als erfasst angesehen werden kann, ist nicht geklärt.
Siehe oben: Teil , Kap. , C., I., . und . Siehe oben: Teil , Kap. , C., III., . Hurley v. Irish-Am. Gay, Lesbian & Bisexual Grp., U.S. , (); Texas v. Johnson, U.S. , (). Bambauer, Stan. L. Rev. , ().
224
Kapitel 4 USA
(2) Speech oder commercial speech? Geht man mit der weiten Auslegung davon aus, dass jeder Datenumgang der Meinungsfreiheit unterfällt,⁹¹ stellt sich des Weitereren die Frage, ob bei der Inanspruchnahme eines kostenloses Dienstes die Datenverarbeitung der Meinungsäußerung zu kommerziellen Zwecken dient oder ob der volle Schutz des First Amendment greift und damit nach dem Dreistufentest⁹² höhere Anforderungen an die Begründung von einschränkenden Regelungen gelten.⁹³ Die Annahme von commercial speech könnte mit der Begründung abgelehnt werden, dass zwischen dem Betreiber des Sozialen Netzwerks und den Mitgliedern kein direktes Austauschverhältnis der Servicenutzung gegen Entgelt besteht.⁹⁴ Das Gericht definierte commercial speech in der Entscheidung Virginia State Board of Pharmacy als eine Äußerung, die eine wirtschaftliche Transaktion anbietet,⁹⁵ und in Central Hudson ⁹⁶ als eine Äußerung, die sich ausschließlich auf die wirtschaftlichen Interessen des Äußernden und seiner Adressaten bezieht.⁹⁷ In Bolger v. Youngs Drug Products Corp. stellte der US Supreme Court klar, dass beide Definitionen nicht zwingend vorliegen müssen, um eine Äußerung zu kommerziellen Zwecken anzunehmen.⁹⁸ Danach kann auch eine Kommunikation, die nicht direkt eine wirtschaftliche Transaktion anbietet, unter die commercial speech doctrine fallen.⁹⁹ Ein direktes Austauschverhältnis der Servicenutzung gegen Entgelt erscheint deshalb nicht zwingend erforderlich.¹⁰⁰ Bei Sozialen Netzwerken besteht das Austauschverhältnis in der Preisgabe von Daten gegen Servicenutzung. Die Verwendung der Daten für personalisierte Werbung Dritter beinhaltet eine finanzielle Transaktion zwischen den Werbetreibenden und dem Betreiber des Sozialen Netzwerks.¹⁰¹ Somit ist die Einordnung der Datenverarbeitung und
Bambauer, Stan. L. Rev. , ff. (). Siehe oben: Teil , Kap. , B., II., ., b), aa). Bernstein/Lee, Mich. St. L. Rev. , (); Tomain, U. Cin. L. Rev. , (). Bernstein/Lee, Mich. St. L. Rev. , f. (). Va. State Bd. of Pharmacy v. Virginia Citizens Consumer Council, Inc., U.S. , , (). Central Hudson Gas & Electronic Copr. v. Public Service Comm’n of New York, U.S. (). Central Hudson Gas & Electronic Copr. v. Public Service Comm’n of New York, U.S. , (). Bolger v. Youngs Drug Prod. Corp., U.S. , (). Bolger v. Youngs Drug Prod. Corp., U.S. , (). Bernstein/Lee, Mich. St. L. Rev. , f. (); Tomain, U. Cin. L. Rev. , (). Bernstein/Lee, Mich. St. L. Rev. , ().
B. Verfassungsrechtliche Vorgaben
225
‐nutzung kostenloser Sozialer Netzwerke zu Werbezwecken als commercial speech möglich.¹⁰²
(3) Central Hudson-Test Für die Bestimmung der Verfassungsgemäßheit von Regelungen zur Einschränkung von Tatbeständen, die unter die Meinungsfreiheit zu kommerziellen Zwecken fallen, wird der Central Hudson-Test angewendet.¹⁰³ Danach muss die Regelung erstens eine rechtmäßige und nicht irreführende Tätigkeit zum Gegenstand haben. Zweitens muss die Regelung ein substantielles staatliches Interesse verfolgen und drittens das Interesse durch die Regelung unmittelbar fördern.¹⁰⁴ Zuletzt wird die Wahrung der Verhältnismäßigkeit geprüft.¹⁰⁵ Ein Einwilligungserfordernis für die Datenerhebung und ‐nutzung zu kommerziellen Zwecken könnte nach einer Literaturmeinung diese Voraussetzungen erfüllen.¹⁰⁶ Danach stellt der Schutz der Privatheitsinteressen von Internetnutzern in Bezug auf die Datenerhebung und -nutzung zu kommerziellen Zwecken ein substantielles staatliches Interesse dar.¹⁰⁷ Ein Einwilligungserfordernis ist jedenfalls geeignet, die Gefahren der Profilbildung für Privatheitsinteressen zu minimieren, und erscheint auch im Rahmen der Verhältnismäßigkeit als vertretbar.¹⁰⁸ Es ist jedoch zweifelhaft, ob sich US-amerikanische Gerichte dieser Sichtweise anschließen.¹⁰⁹ Der Tenth Circuit sah in der Entscheidung U.S. West, Inc. v. FCC ¹¹⁰ die Verwendung von Telefonverbindungsdaten zu Werbezwecken als commercial speech an und wertete das Einwilligungserfordernis als verfassungswidrigen
Bernstein/Lee, Mich. St. L. Rev. , f. (); Tomain, U. Cin. L. Rev. , (). Central Hudson Gas & Electronic Copr. v. Public Service Comm’n of New York, U.S. , (); Tomain, U. Cin. L. Rev. , (). Central Hudson Gas & Electronic Copr. v. Public Service Comm’n of New York, U.S. , (). Central Hudson Gas & Electronic Copr. v. Public Service Comm’n of New York, U.S. , (). Tomain, U. Cin. L. Rev. , ff. (). Tomain, U. Cin. L. Rev. , (). Inwieweit die Privatheitsinteressen von Internetnutzern in Bezug auf die Profilbildung und ‐nutzung ein auch von der Verfassung geschütztes, substantielles staatliches Interesse darstellt, wird im folgenden Abschnitt . geprüft. Tomain, U. Cin. L. Rev. , f. (). U.S. West, Inc. v. FCC, F.d , (th Cir. ); Tomain, U. Cin. L. Rev. , (). U.S. West, Inc. v. FCC, F.d (th Cir. ).
226
Kapitel 4 USA
Eingriff in das First Amendment, da der Gesetzgeber nicht belegen konnte, dass die Einschränkung durch substantielle Privatheitsinteressen gerechtfertigt war.¹¹¹
c) Ergebnis Nach der Entscheidung Sorrell v. IMS Health ist ein Gesetz zum Schutz der Privatheit verfassungswidrig, das die Meinungsäußerungsfreiheit bestimmter Gruppen auf der Grundlage des Inhalts ihrer Äußerung einschränkt und nicht durch substantielle Interessen des Privatheitschutzes in geeigneter und verhältnismäßiger Weise gerechtfertigt werden kann. Ein generelles Verbot gesetzlicher Regulierungen von OBA und Profilbildung lässt sich der Entscheidung nicht entnehmen. Wieweit der Schutz des First Amendment für die Profilbildung und -nutzung durch Betreiber Sozialer Netzwerke reicht, ist ungeklärt. Ein Einwilligungserfordernis für die Profilbildung und -nutzung zu kommerziellen Zwecken zum Schutz von Privatheitsinteressen erscheint möglich, da sie nicht grundsätzlich der USamerikanischen Verfassung widerspricht. Allerdings muss der Gesetzgeber ein substantielles staatliches Interesse am Privatheitsschutz belegen, was bislang von der Rechtsprechung kritisch beurteilt wurde. Im folgenden Abschnitt werden insoweit die aktuellen Entwicklungen in der Rechtsprechung zum verfassungsrechtlichen Privatheitsschutz bei Profilbildung untersucht.
2. Verfassungsrechtlich geschützte Nutzerinteressen Bestimmungen des verfassungsrechtlichen Privatheitsschutzes finden sich im vierten Verfassungszusatz (Fourth Amendment), der vor ungerechtfertigten Durchsuchungen und Festnahmen (unreasonable searches and seizures) schützt und insbesondere bei staatlichen Überwachungsmaßnahmen eine Rolle spielt sowie im First Amendment, das bestimmte Freiheitsrechte wie die Vereinigungsoder die Meinungsfreiheit konstituiert und privatheitsschützende Wirkung ebenso entfalten wie auch begrenzen kann.¹¹² Es ist umstritten, ob der US Supreme Court darüber hinaus ein aus der Verfassung abgeleitetes Recht auf informationelle Privatheit (Constitutional Right to Information Privacy) begründet hat.¹¹³ Das Recht
U.S. West, Inc. v. FCC, F.d , f. (th Cir. ). Bartnicki v. Vopper, U.S. , (); Florida Star v. B.J.F., U.S. , (); Landmark Communications v. Virginia, U.S. , (); Schwartz, DJT , S. O . Solove/Schwartz, Information Privacy, S. ; Schwartz, DJT , S. O .
B. Verfassungsrechtliche Vorgaben
227
des fünften Verfassungszusatzes, sich nicht selbst belasten zu müssen, gilt nur im strafprozessualen Bereich¹¹⁴ und bleibt deshalb vorliegend außer Betracht.
a) Fourth Amendment Nach der Rechtsprechung des US Supreme Court gewährt das Fourth Amendment Schutz vor einer Datenerhebung, sofern begründete Privatheitserwartungen (reasonable expectations of Privacy) bestehen.¹¹⁵ Nach der Leitentscheidung Katz v. United States erfolgt der Test in zwei Stufen. Zum einen muss der Betroffene subjektive Privatheitserwartungen nach außen erkennbar manifestieren, zum anderen müssen diese subjektiven Privatheitserwartungen gesellschaftlich als vernünftig anerkannt sein.¹¹⁶ Begrenzt wird der Schutzbereich u. a. durch die sog. third-party doctrine, derzufolge diejenigen Informationen nicht mehr privat und vom Schutzbereich erfasst sind, die jemand freiwillig Dritten mitteilt, weil er damit das Risiko einer Weiterverbreitung eingeht.¹¹⁷ Die US-amerikanische Forschung sieht den normativen Rahmen der berechtigten Privatheitserwartungen sowie der third-party doctrine für die Datenschutzrechtsfragen des digitalen Zeitalters als ungeeignet an, da gerade bei Informationen, die freiwillig ins Internet eingestellt werden, der Schutz weitgehend leerläuft.¹¹⁸ Ungeklärt ist, ob auch bei einer Datenerhebung mittels TrackingTechnologien und bzgl. der Wissensgenerierung durch Data Mining von freiwillig preisgegebenen Informationen gesprochen werden kann und also die third-party doctrine anwendbar ist.¹¹⁹ Im Folgenden wird untersucht, wie sich die jüngere Rechtsprechung zur Dogmatik berechtigter Privatheitserwartungen in Anbetracht moderner Überwachungstechnologien positioniert.
Fisher v. United States, US , (). Schwartz, DJT , S. O . Katz v. United States, U.S. , () (Sondervotum Harlan); Mathews-Solove, § :., S. ; Wittmann, Schutz der Privatsphäre, S. . United States v. Miller, U.S. , (); U.S. v. Golden Valley Elec. Assn., F.d , (th Cir. ); Gärditz/Stuckenberg, JZ , , ; Wittmann, Schutz der Privatsphäre, S. . Tomain, U. Cin. L. Rev. , f. (); Schwartz, DJT , S. O f.; MacLean, Alb. L.J. Sci. & Tech. , (); Mills, Privacy, S. ; Solove, Stan. L. Rev. , (). Brotherton, Elmory L.J. , ().
228
Kapitel 4 USA
aa) United States v. Jones Die 2012 gefällte Entscheidung United States v. Jones ¹²⁰ des US Supreme Court gilt als richtungsweisend für die Ausrichtung der Rechtsprechung im Bereich der Privacy unter den Bedingungen moderner Überwachungsmöglichkeiten¹²¹ und wird auch von den jüngsten Entscheidungen zur Auswertung von Telefonverbindungsdaten durch die NSA herangezogen.¹²²
(1) Sachverhalt und Entscheidungsbegründung Der oberste Gerichtshof wertete in United States v. Jones das ohne richterliche Anordnung erfolgte Anbringen eines GPS-Senders am Fahrzeug eines Verdächtigen, wodurch einen Monat lang alle Fahrzeugbewegungen aufgezeichnet wurden, einstimmig als Verstoß gegen den vierten Verfassungszusatz.¹²³ Berechtigte Privatheitserwartungen bestehen zwar grundsätzlich nicht für Tätigkeiten, die auf öffentlichen Straßen unter den Augen der Öffentlichkeit vorgenommen werden.¹²⁴ Die Richter werteten jedoch das Befestigen des GPSSenders am Pkw als Besitzstörung mit der Folge, dass es sich bei der Maßnahme um eine Art Durchsuchung (search) handelt, die einer gerichtlichen Anordnung bedarf.¹²⁵ Auf die Katz-Formel kam es deshalb in der Entscheidung nicht an.¹²⁶
(2) Sondervoten in United States v. Jones und ihre Bedeutung Vier Richter hielten in ihrer abweichenden Begründung eine Eigentumsverletzung verfassungsrechtlich nicht für notwendig.¹²⁷ Entscheidend sei, dass eine Langzeitüberwachung mittels GPS beim Verdacht bestimmter Straftaten nicht vernünftigen Privatheitserwartungen entspreche.¹²⁸ Ähnlich argumentierte bereits die Vorinstanz¹²⁹ bezugnehmend auf die Entscheidung United States v. Maynard,¹³⁰ wonach die Privatheitserwartungen Betroffener in die Summe ihrer Be-
U.S. v. Jones, S. Ct. (). Smith, Berkeley Tech. L.J. , ; Ohm, Miss. L.J. , Fn. (). Klayman v. Obama, F. Supp. d , – (D. D.C. ); ACLU v. Clapper, F.d , (nd Cir. ). U.S. v. Jones, S. Ct. , (). U.S. v. Knotts, U.S. , f. (). U.S. v. Jones, S. Ct. , (). U.S. v. Jones, S. Ct. , (). U.S. v. Jones, S. Ct. , , (). U.S. v. Jones, S. Ct. , , (). U.S. v. Jones, F.d (D.C. Ct. App. ). U.S. v. Maynard, F.d (D.C. Ct. App. ).
B. Verfassungsrechtliche Vorgaben
229
wegungen größer ist als in jede Bewegung für sich genommen (sog. MosaikTheorie).¹³¹ In ihrem Sondervotum führte Richterin Sotomayor zudem aus, dass die thirdparty doctrine nicht ins digitale Zeitalter passe. Die begrenzte Preisgabe von Informationen dürfe nicht automatisch den Verlust des verfassungsrechtlichen Schutzes bedeuten.¹³² Die Sondervoten zeigen, dass eine Mehrheit von fünf Richtern in zukünftigen Fällen der Langzeitüberwachungsmaßnahmen eine Verletzung des Fourth Amendment auch ohne einen Eigentumseingriff annehmen könnte, ohne allerdings eine quantitative oder qualitative Grenze für eine Langzeitüberwachung festzulegen.¹³³ In der Literatur werden nach United States v. Jones die MosaikTheorie¹³⁴ bzw. quantitative Ansätze¹³⁵ zur Bestimmung des Schutzbereichs des Fourth Amendment diskutiert.¹³⁶ Auch die von Richterin Sotomayor angeregte Abkehr von der third-party doctrine erfährt in der Literatur Unterstützung¹³⁷ und wird in Klageschriften aufgegriffen.¹³⁸
(3) Konsequenzen für Profilbildung Nach den bindenden Entscheidungsgründen von United States v. Jones stellt eine Besitzstörung zum Zwecke der Datenerhebung ohne richterliche Anordnung eine Verletzung des Fourth Amendment dar, ohne dass es auf berechtigte Privatheitserwartungen ankommt.¹³⁹ Vor dem Hintergrund der Sondervoten wird diskutiert, ob aus den Entscheidungsbegründungen darüber hinausgehende Schlussfolge-
U.S. v. Jones, F.d , (D.C. Ct. App. ); U.S. v. Maynard, F.d , (D.C. Ct. App. ). U.S. v. Jones, S. Ct. , , (). U.S. v. Jones, S. Ct. , , (); ACLU v. Clapper, F.d , (nd Cir. ); Smith, Berkeley Tech. L.J. , (); Wittman, Schutz der Privatsphäre, S. . Bedi, B.U. L. Rev. , f. (); kritisch: Kerr, Mich. L. Rev. (). Gray/Citron, Minn. L. Rev. , ff. (). Gärditz/Stuckenberg, JZ , , . Bspw. Ohm, Miss. L.J. , (); Brotherton, Elmory L.J. , (); Smith, Berkeley Tech. L.J. , ff. (). Letztere gibt zudem einen Überblick zu U.S. v. Jones, S. Ct. () vorgehenden Sondervoten, die sich gegen die third-party doctrine richten. Vgl. ACLU v. Clapper, F.d , (nd Cir. ). Smith, Berkeley Tech. L.J. , ().
230
Kapitel 4 USA
rungen für die Verfassungsgemäßheit von Langzeitüberwachung und damit verbundener Profilbildung gezogen werden können.¹⁴⁰ Insbesondere die Leitentscheidung zu Verbindungsdaten Smith v. Maryland, wonach diese anders als Inhaltsdaten nicht durch den vierten Verfassungszusatz geschützt werden,¹⁴¹ wird in Frage gestellt.¹⁴² Die Entscheidung aus dem Jahr 1979 sah in der ohne richterlicher Anordnung für die Dauer eines Tages vorgenommenen Aufzeichnung von Telefonverbindungsdaten eines Tatverdächtigen – namentlich der angerufenen Telefonnummern, des Gesprächszeitpunkts und der Dauer – keinen Verstoß gegen den vierten Verfassungszusatz.¹⁴³ Dieser unterschiedliche Schutz für Inhalts- und Verbindungsdaten wird bislang auch bei Internetsachverhalten angenommen.¹⁴⁴ Ob die aus Verbindungsdaten erzeugten Profile in Abweichung dazu eine Verletzung des Fourth Amendment darstellen, ist auch Gegenstand der zur Langzeitüberwachung von Verbindungsdaten durch die NSA ergangenen Urteile.¹⁴⁵ Die zentralen Entscheidungen in der Sache und ihre Bedeutung für den Schutz der Privacy nach dem vierten Verfassungszusatz werden nachfolgend dargestellt.
bb) Clapper v. Amnesty International USA Noch vor den Snowden-Enthüllungen im Februar 2013 wies der US Supreme Court in Clapper v. Amnesty International USA ¹⁴⁶ die Klage gegen Überwachungsmaßnahmen durch die NSA mit der Begründung ab, die Behauptung der Kläger, die Regierung überwache unter Verletzung der Vorgaben des 50 U.S.C. § 1881(a) FISA
Riley v. California, S. Ct. , (); Commonwealth v. Augustine, Mass. , (Mass. ); In re Smartphone Geolocation Data Application, F. Supp. d , ff. (D. E.D.N.Y. ); Klayman v. Obama, F. Supp. d , (D. D.C. ); Obama v. Klayman, Case No. – (D.C. Ct. App. ); ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ); ACLU v. Clapper, F.d , (nd Cir. ); Smith, Berkeley Tech. L.J. , (); Wray, Creighton Int’l & Comp. L.J. , (). Smith v. Maryland, U.S. (). Klayman v. Obama, F. Supp. d , – (D. D.C. ). Smith v. Maryland, U.S. , ff. (). U.S. v. Bynum, F.d , (th Cir. ); U.S. v. Forrester, F.d , (th Cir. ); U.S. v. D’Andrea, F. Supp. d , (D. Mass. ). Clapper v. Amnesty Intern. USA, S. Ct. (); Klayman v. Obama, F. Supp. d (D. D.C. ); Obama v. Klayman, Case No. – (D.C. Ct. App. ); ACLU v. Clapper, F. Supp. d (D. S.D.N.Y. ); ACLU v. Clapper, F.d (nd Cir. ). Clapper v. Amnesty Intern. USA, S. Ct. ().
B. Verfassungsrechtliche Vorgaben
231
auch inländische Telefonverbindungen, sei rein spekulativ.¹⁴⁷ Ein Klagerecht (standing) bestehe daher unter Art. III der Bundesverfassung¹⁴⁸ wegen Verletzung verfassungsmäßiger Rechte nicht, da dieses eine konkrete und individuelle Rechtsverletzung voraussetzt, die bereits eingetreten ist oder einzutreten droht (certainly impending) und plausibel auf die angegriffene hoheitliche Maßnahme zurückzuführen ist.¹⁴⁹
cc) Klayman v. Obama und ACLU v. Clapper Nach den Snowden-Enthüllungen richteten sich zwei Verfahren (Klayman v. Obama ¹⁵⁰ und ACLU v. Clapper ¹⁵¹) gegen das Programm zur massenhaften Datenerhebung (bulk data collection) der NSA, durch das Anbieter von Telefondienstleistungen verpflichtet wurden, die Verbindungsdaten ihrer Kunden zu speichern und zum Abruf durch die NSA vorzuhalten.¹⁵² In den Verfahren wurden jeweils Anträge auf Erlass einer einstweiligen Verfügung (preliminary injunction) gestellt, um weitere Erhebungen ihrer Telefonverbindungsdaten durch die NSA zu unterbinden.¹⁵³ Die erstinstanzlichen Bundesgerichte erwogen, ob (1) der Antrag in der Hauptsache mit hoher Wahrscheinlichkeit begründet wäre, (2) der Antragsteller ohne den Erlass einer Anordnung irreparable Nachteile erleidet, (3) zu Gunsten der einstweiligen Verfügung zudem Interessen weiterer potentiell Betroffener sprechen und (4) die Anordnung im öffentlichen Interesse liegt.¹⁵⁴ Im Verfahren Klayman v. Obama erließ der United States District Court of Columbia im Dezember 2013 eine einstweilige Anordnung, setzte ihren Vollzug aber wegen der sicherheitspolitischen Bedeutung bis zum Ergehen einer
Clapper v. Amnesty Intern. USA, S. Ct. , (). Dazu: Wray, Creighton Int’l & Comp. L.J. , (); Clark, Suffolk U. L. Rev. , f. (); Gärditz/Stuckenberg, JZ , , . U.S. Const. Art. III, § . Monsanto Co. v. Geertson Seed Farms, S.Ct. , (); Clapper v. Amnesty Int’l USA Inc., S.Ct. , f. (); Gärditz/Stuckenberg, JZ , , . Klayman v. Obama, F. Supp. d (D. D.C. ). ACLU v. Clapper, F. Supp. d (D. S.D.N.Y. ). ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ); Klayman v. Obama, F. Supp. d , (D. D.C. ). ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ); Klayman v. Obama, F. Supp. d , (D. D.C. ). ACLU v. Clapper, F. Supp. d , ff. (D. S.D.N.Y. ); Klayman v. Obama, F. Supp. d , ff. (D. D.C. ); Gärditz/Stuckenberg, JZ , , .
232
Kapitel 4 USA
Rechtsmittelentscheidung aus.¹⁵⁵ Das Berufungsgericht hob die einstweilige Verfügung im August 2015 auf und verwies den Fall zurück in die erste Instanz zur weiteren Klärung der Tatsachengrundlage.¹⁵⁶ In ACLU v. Clapper lehnte der United States District Court for the Southern District of New York den Antrag auf Erlass einer einstweiligen Verfügung ab. Gegen das Urteil wandte sich die Bürgerrechtsorganisation mit Erfolg. In seiner Entscheidung stellte der Court of Appeals des zweiten Gerichtsbezirks im Mai 2015 fest, dass die NSA die gesetzliche Grundlage durch die umfassenden Überwachungsmaßnahmen überschritten habe.¹⁵⁷
(1) Entscheidungsbegründung Klayman v. Obama Das erstinstanzliche Gericht in Klayman v. Obama begründete den Erlass einer einstweiligen Verfügung unter Abweichung von Smith v. Maryland damit, dass die „beinahe orwellsche Technologie“, die es der Regierung ermöglicht, die Telefonverbindungsdaten aller Amerikaner zu speichern und zu analysieren, bei der Entscheidung von 1979 nicht annähernd vorstellbar war.¹⁵⁸ Gestützt auf das Sondervotum der Richterin Sotomayor in United States v. Jones ¹⁵⁹ hält das Gericht die Verletzung von vernünftigen Privatheitserwartungen durch die anlasslose Langzeitspeicherung und Auswertung der Telefonmetadaten für höchst wahrscheinlich, weil sich bereits aus der Zusammenführung und Auswertung von Metadaten Rückschlüsse auf Aufenthaltsorte sowie familiäre, politische, berufliche, religiöse und sexuelle Beziehungen ergäben, an deren Geheimhaltung ein berechtigtes Privatheitsinteresse bestünde.¹⁶⁰ Aus den Verbindungsdaten ergäbe sich so ein aussagekräftiges und laufend aktualisiertes Bild über das Leben einer Person.¹⁶¹ Im Berufungsverfahren wurde die einstweilige Verfügung mit der Begründung aufgehoben, dass Klayman keine konkrete Verletzung eigener Rechte dargelegt hat. Er konnte nicht belegen, dass seine Metadaten tatsächlich von der NSA erhoben wurden. Klayman war zwar Kunde von Verizon Wireless, nicht jedoch von Klayman v. Obama, F. Supp. d , (D. D.C. ). Obama v. Klayman, Case No. – (D.C. Ct. App. ). Das Urteil vom . . ist abrufbar unter: https://www.documentcloud.org/documents/-leon-ruling-november-phone-records-program.html. ACLU v. Clapper, F. d , (nd Cir. ). Klayman v. Obama, F. Supp. d , (D. D.C. ). Siehe oben: Teil , Kap. , B., II., ., a), aa), (). Klayman v. Obama, F. Supp. d , (D. D.C. ); Gärditz/Stuckenberg, JZ , , . Klayman v. Obama, F. Supp. d , (D. D.C. ).
B. Verfassungsrechtliche Vorgaben
233
Verizon Business Networks Services und nur für letzteren Anbieter lagen Beweise einer umfassenden staatlichen Datenerhebung vor.¹⁶² Mit der Fragestellung der Verletzung des vierten Verfassungszusatzes beschäftigte sich das Gericht nicht.
(2) Entscheidungsbegründung ACLU v. Clapper Im Mai 2015 stellte das Berufungsgericht in ACLU v. Clapper fest, dass das Programm der NSA zur Überwachung von Telefonverbindungsdaten seine Rechtsgrundlage¹⁶³ überschreitet und deshalb rechtswidrig ist.¹⁶⁴ Auf die Frage, ob die NSA verfassungsrechtlich geschützte Rechte verletzte, musste das Gericht deshalb nicht eingehen.¹⁶⁵ Die Vorinstanz sah sich durch das Präjudiz Smith v. Maryland ¹⁶⁶ gebunden, dem zufolge Telefonverbindungsdaten nicht vom Fourth Amendment geschützt werden.¹⁶⁷ Ein wesentlicher Unterschied zu Smith v. Maryland ergäbe sich nicht, weil sich der Inhalt von Verbindungsdaten seit den 1970er Jahren nicht verändert habe.¹⁶⁸ Dass es zu einem massenhaften Abruf auch von Daten anderer komme, sei unerheblich, weil die bloße Quantität der Maßnahmen nicht die Eingriffsqualität verändere.¹⁶⁹ Eine Zuordnung der Telefonnummern zu den Anschlussinhabern und eine dadurch ermöglichte Generierung von Persönlichkeitsprofilen erfolgen nach Angaben der Regierung bei dem konkreten Programm nicht anlasslos, weshalb eine Verletzung berechtigter Privatheitserwartungen nicht anzunehmen sei.¹⁷⁰
(3) Schlussfolgerungen Den Entscheidungen lässt sich entnehmen, dass jedenfalls eine anlasslose Erstellung von Persönlichkeitsprofilen aus Verbindungsdaten einen Eingriff in das Fourth Amendment darstellen kann, wenn die Auswertung der über den Zeitraum mehrerer Jahre gespeicherten Daten ein Abbild des Lebens einer Person ergibt und
Obama v. Klayman, Case No. – (D.C. Ct. App. ). USA Patriot Act of , Pub. L. – , § , Stat. , (), U.S.C. § (section ). ACLU v. Clapper, F.d , (nd Cir. ). ACLU v. Clapper, F.d , (nd Cir. ). Smith v. Maryland, U.S. . ff. (). ACLU v. Clapper, F. Supp. d , ff. (D. S.D.N.Y. ). ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ). ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ). ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ).
234
Kapitel 4 USA
Rückschlüsse auf vertrauliche Informationen wie etwa die sexuelle Orientierung zulässt.
dd) Ergebnis Es fehlt an einer höchstrichterlichen Entscheidung dazu, ob in Anbetracht moderner Überwachungstechnologien die third-party doctrine aufrecht erhalten wird. Die Sondervoten einiger Richter des US Supreme Court sowie die jüngsten Entscheidungsbegründungen der unteren Gerichte zur NSA-Überwachung könnten auf eine mögliche Änderung der Rechtsprechung hindeuten.¹⁷¹ Danach könnte auch eine Profilbildung, die auf Daten basiert, welche im öffentlichen Raum erhoben oder gegenüber Dritten öffentlich gemacht wurden, gegen berechtigte Privatheitserwartungen verstoßen, wenn sie das Leben der Person über Jahre abbildet. Derartige staatliche Maßnahmen müssten sich dann, um den vierten Verfassungszusatz nicht zu verletzen, auf eine richterliche Anordnung stützen. Ob sich dieses Privatheitsverständnis allerdings in der höchstrichterlichen Rechtsprechung durchsetzt, ist wesentlich von der Besetzung des US Supreme Court abhängig.¹⁷²
b) Right to Information Privacy Nach der bahnbrechenden Entscheidung Griswold v. Connecticut ¹⁷³ 1965, mit welcher der US Supreme Court das verfassungsrechtliche Right to Privacy schuf, stellte das höchste US-amerikanische Gericht in Whalen v. Roe ¹⁷⁴ 1977 fest, dass zwei Interessen durch die Privacy verfassungsrechtlich geschützt sind, nämlich zum einen das Interesse daran, wichtige Entscheidungen frei von staatlichen Beeinträchtigungen treffen zu können und zum anderen das Interesse des Einzelnen an der Geheimhaltung privater Angelegenheiten (interest in avoiding disclosure in personal matters).¹⁷⁵ Es besteht Streit darüber, ob der US Supreme Court mit der Entscheidung ein verfassungsrechtlich geschütztes Recht informationeller Privatheit (Right to In-
Zweifelnd: Wittmann, Schutz der Privatsphäre, S. ff. Dazu ausführlich Wittmann, Schutz der Privatsphäre, S. ff. Griswold v. Connecticut, U.S. (). Whalen v. Roe, US (). Whalen v. Roe, US , f. (); Nixon v. Administrator of General Service, US , (); Mathews-Solove, § :., S. .
B. Verfassungsrechtliche Vorgaben
235
formation Privacy) anerkannt hat¹⁷⁶ oder ob es sich bei der Information Privacy lediglich um ein verfassungsrechtliches Interesse handelt. Auswirkung hat die Einordnung bei der erforderlichen Rechtfertigung eines Eingriffs. Besteht lediglich ein verfassungsrechtliches Interesse, ist eine Einschränkung bereits möglich, wenn ein mindestens gleichwertiges Interesse an den Informationen besteht. In ein verfassungsrechtlich geschütztes Recht kann dagegen nur bei einem zwingenden staatlichen Bedarf oder auf der Grundlage eines entgegenstehenden verfassungsrechtlichen Rechts eingegriffen werden.¹⁷⁷ US-amerikanische Gerichte wenden das Right to Information Privacy zum Teil ¹⁷⁸ an, manche Gerichte stellen die Existenz des Rechts jedoch grundsätzlich in Frage.¹⁷⁹ Auch innerhalb des US Supreme Court ist aktuell seine Existenz und Anwendung streitig:¹⁸⁰ Nach den Anschlägen vom 11.09. 2001 wurden die Untersuchungen des Hintergrunds und des Umfelds, die für Regierungsbeschäftigte durchgeführt werden, auf Angestellte privater Einrichtungen ausgedehnt, die für den Staat tätig sind.¹⁸¹ Bei dem Verfahren müssen die Betroffenen Fragen u. a. zu ihrem Drogenkonsum beantworten und Auskunft über ihre aktuellen und vergangene Arbeitgeber und Vermieter geben, die wiederum u. a. zur finanziellen Situation, geistigen Stabilität und Verhaltensweisen des Bewerbers befragt werden.¹⁸² In NASA v. Nelson sah der Kläger in diesen background investigations das Right to Information Privacy als verletzt an. Ohne über das Bestehen des Rechts auf informationelle Privatheit zu entscheiden, urteilte der US Supreme Court im Jahr 2011, dass ein solches Recht jedenfalls im vorliegenden Fall nicht verletzt sei, da ein Interesse des Staates an den Informationen bestehe und der Privacy Act ¹⁸³ ausreichenden Schutz vor einer Veröffentlichung der Informationen gewähre.¹⁸⁴ In Dafür bspw. Solove/Schwartz, Information Privacy, S. ; dagegen bspw. Kang, Stan. L. Rev. , Fn. (). Lin, Berkeley Tech. L.J. , f. (). Doe v. Luzerne County, F.d , f. (rd Cir. ); Lambert v. Hartman, F.d , ff. (th Cir. ); Anderson v. Blake, , F.d , ff. (th Cir. ); Bloch v. Ribar, F.d , (th Cir. ); J.P. v. DeSanti, F.d , (th Cir. ); Doe v. Borough of Barrington, F. Supp. , (D. N.J. ); Schwartz, DJT , S. O ; Solove/ Schwartz, Information Privacy, S. ; Wittmann, Schutz der Privatsphäre, S. f.; Lin, Berkeley Tech. L.J. , f. (). American Federation of Government Employees, AFL-CIO v. Department of Housing & Urban Development, F.d , (D.C. Ct. App. ); Elkins v. Elenz, Case No. :-CV--TAEP = WL , (D. M.D. Fla. ). NASA v. Nelson, S. Ct. (). NASA v. Nelson, S. Ct. , (). NASA v. Nelson, S. Ct. , (). Privacy Act of , U.S.C. § a. NASA v. Nelson, S. Ct. , ().
236
Kapitel 4 USA
Sondervoten argumentierten zwei Richter, dass die Whalen-Entscheidung das Recht auf Datenschutz nicht schaffen konnte und dieses Recht damit nicht besteht.¹⁸⁵ Die Urteilsbegründung ließ die Frage bewusst offen, da sie nicht entscheidungsrelevant war.¹⁸⁶
c) First Amendment Das First Amendment schützt die Privatheit durch die Gewährleistung anderer Freiheitsrechte. So urteilte der US Supreme Court beispielsweise in NAACP v. State of Alabama, dass die Veröffentlichung von Mitgliederlisten einer verfassungsrechtlich geschützten Organisation, in diesem Fall der National Association for the Advancement of Colored People (NAACP), gegen die vom First Amendment geschützte Vereinigungsfreiheit (Right to Peacefully Assemble) verstößt.¹⁸⁷ Auf diese Weise werden Geheimhaltungsinteressen der Mitglieder geschützt, um eine abschreckende Wirkung bzgl. der Vereinigungsfreiheit zu verhindern.¹⁸⁸ Soziale Netzwerke bieten eine Plattform für den Meinungsaustausch. Bereits die Freundesliste kann Rückschlüsse auf politische Zugehörigkeiten zulassen.¹⁸⁹ Die systematische Überwachung der Kontaktaufnahmen in einem Sozialen Netzwerk kann das First Amendment verletzen, da die Angst vor Rückschlüssen auf ihre politischen Aktivitäten und intime Kontakte Nutzer vor einem Austausch über das Soziale Netzwerk abhalten könnte.¹⁹⁰
III. Gliedstaatlicher verfassungsrechtlicher Privatheitsschutz In den meisten Staaten entspricht der verfassungsrechtliche Privatheitsschutz dem des Bundes.¹⁹¹ 11 Staaten gehen entweder durch eine weite Auslegung (New Jersey) oder durch eine explizite Aufnahme des Right to Privacy in die Verfassung
NASA v. Nelson, S. Ct. ff. (). NASA v. Nelson, S. Ct. , (). NAACP v. State of Alabama ex rel. Patterson, U.S. , (); Schwartz, DJT , S. O . NAACP v. State of Alabama ex rel. Patterson, U.S. , (); Strandburg, B.C.L. Rev. , (). Zur Aussagekraft von Freundeslisten siehe bereits oben Einl., I. Bedi, B.U. L. Rev. , , (). Eine vergleichbare Argumentation führt der Kläger in ACLU v. Clapper an, s. ACLU v. Clapper, F. Supp. d , (D. S.D.N.Y. ). Siehe auch Strandburg, B.C. L. Rev. , () zur Auswertung von Telefonmetadaten. Lin, Berkeley Tech. L.J. , ().
B. Verfassungsrechtliche Vorgaben
237
über den Privatheitsschutz des Bundes hinaus.¹⁹² Alaska (Alaska Const. Art. I, § 22), Arizona (Ariz. Const. Art. II, § 8), Kalifornien (Cal. Const. Art. I, § 1), Florida (Fla. Const. Art. I, § 23), Hawaii (Haw. Const. Art. I, § 6), Illinois (Ill. Const. Art. I, § 6), Louisiana (La. Const. Art. I, § 5), Montana (Mont. Const. Art. II, § 10), South Carolina (S.C. Const. Art. I, § 10) und Washington (Wash. Const. Art. I, § 7) haben Schutzaspekte der Privacy explizit in ihre Verfassungen aufgenommen.¹⁹³ Allein das oberste Gericht Kaliforniens hat die Anwendbarkeit auch auf Private eindeutig anerkannt.¹⁹⁴
1. Kaliforniens Right to Privacy Aufgrund eines Referendums 1972 – bekannt als Privacy Initiative – führte Kalifornien das Right to Privacy in seine Landesverfassung ein (Cal. Const. Art. I, § 1).¹⁹⁵ Danach gehört es zu den unveräußerlichen Rechten aller Menschen, nach Privatheit zu streben und sie zu erlangen.¹⁹⁶ Um einen Anspruch aus Cal. Const. Art. I, § 1 ableiten zu können, muss neben einem schwerwiegenden Eingriff in ein geschütztes Privatheitsinteresse auch eine berechtigte Privatheitserwartung bestehen.¹⁹⁷ Außerdem sind gegenläufige Interessen zu berücksichtigen, die überwiegen und damit den Eingriff in die Privatheit rechtfertigen können.¹⁹⁸ In Hill v. National Collegiate Athletic Assn. entschied der kalifornische Supreme Court, dass das Right to Privacy das Interesse des Einzelnen schützt, dass weder der Staat noch Unternehmen unnötig Informationen ansammeln oder Daten missbräuchlich oder zu einem anderen Zweck verwendet werden, als für den sie Lin, Berkeley Tech. L.J. , (). Gindin, SDLR , (); Lin, Berkeley Tech. L.J. , (). Hill v. National Collegiate Athletic Assn., Cal.th , (Cal. ). EC DG JFS, Data Protection USA, S. . Zur Rechtsprechung der übrigen staatlichen obersten Gerichte s. Lin, Berkeley Tech. L.J. , ff. (). Nicht eindeutig insoweit für den Staat Lousiana Moresi v. Dep’t of Wildlife & Fisheries, So.d , (La. ). EC DG JFS, Data Protection USA, S. ; Mathews-Forsheit, § :., S. . Cal. Const. Art. I, § : „All people are by nature free and independent and have inalienable rights. Among these are enjoying and defending life and liberty, acquiring, possessing, and protecting property, and pursuing and obtaining safety, happiness, and privacy.“ EC DG JFS, Data Protection USA, S. ; Hill v. National Collegiate Athletic Assn., Cal.th , – (Cal. ); In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d , f. (D. Del. ); Coronado Police Officers Assn. v. Carroll, Cal. Rptr.d , ; Cal. App.th , (Cal. Ct. App. ); In re iPhone Application Litig., F Supp. d , (D. N.D.Cal. ); Mathews-Forsheit, § :., S. f. EC DG JFS, Data Protection USA, S. f.; Hill v. National Collegiate Athletic Assn., Cal.th , (Cal. ).
238
Kapitel 4 USA
erhoben wurden.¹⁹⁹ Das Gericht dehnt damit den Anwendungsbereich des verfassungsrechtlichen Privatheitsschutzes auf Private aus und geht damit über den Schutzbereich des föderalen verfassungsrechtlichen Right to Privacy hinaus.²⁰⁰
2. Anwendung auf Profile Für die Auslegung des Schutzumfangs des Rechts nimmt der kalifornische Supreme Court u. a. auf das Informationsblatt zum Referendum (ballot pamphlet) Bezug.²⁰¹ Die Privacy Initiative wendete sich gegen (1) eine heimliche Datenerhebung, (2) eine ausufernde Datenerhebung und Speicherung unnötiger persönlicher Informationen, (3) eine missbräuchliche Datennutzung und (4) die fehlende Möglichkeit, falsche Datensätze zu berichtigen.²⁰² Die Zielsetzung des Referendums war es, den Einzelnen vor einer umfassenden Profilbildung von der Wiege bis zur Bahre zu schützen.²⁰³ Da die Auslegung US-amerikanischen Rechts darauf zielt, dem Willen des Gesetzgebers zur Geltung zu verhelfen,²⁰⁴ kann Cal. Const. Art. I, § 1 so verstanden werden, dass die Datenaggregation zum Zweck der umfassenden Profilbildung einen schwerwiegenden Eingriff (egregious breach) darstellt und bei entsprechenden vernünftigen Privatheitserwartungen nur durch schwerer wiegende gegenläufige Interessen gerechtfertigt werden kann. Berechtigte Privatheitserwartungen werden jedoch nach der third-party doctrine regelmäßig bei Informationen, die im Internet veröffentlicht werden, nicht angenommen.²⁰⁵ Das gilt auch für die Verbindungsdaten privater Nachrichten an einen begrenzten Personenkreis,²⁰⁶ wohingegen ihr Inhalt grundsätzlich gegenüber staatlichen Eingriffen geschützt wird.²⁰⁷ Ob berechtigte Privatheitserwar-
Hill v. National Collegiate Athletic Assn., Cal.th , (Cal. ). Dazu kritisch: Kelso, Pepp. L. Rev. , (). Hill v. National Collegiate Athletic Assn., Cal.th , (Cal. ); White v. Davis, Cal.d , ; P.d , ; Cal. Rptr. (Cal. ). Dazu kritisch: Kelso, Pepp. L. Rev. , (). White v. Davis, Cal.d , ; P.d , ; Cal. Rptr. (Cal. ); Hill v. National Collegiate Athletic Assn., Cal.th , (Cal. ). White v. Davis, Cal.d , ; P.d , ; Cal. Rptr. (Cal. ); Hill v. National Collegiate Athletic Assn., Cal.th , (Cal. ). Siehe oben: Teil , Kap. , A., I., . Dazu siehe bereits oben: Teil , Kap. , B., II., ., a). U.S. v. Warshak, F.d , (th Cir. ); Newell, Rich. J.L. & Tech. , (). R.S. ex rel. S.S. v. Minnewaska Area Sch. Dist. No. , F. Supp. d , (D. Minn. ); U.S. v. Warshak, F.d , (th Cir. ); Borchert/Pinguelo/Thaw, Duke L. & Tech. Rev. , ().
B. Verfassungsrechtliche Vorgaben
239
tungen gegenüber staatlicher Einsichtnahme auf Profilseiten Sozialer Netzwerke bestehen, beurteilt die Rechtsprechung uneinheitlich.²⁰⁸ Einen schwerwiegenden Eingriff in die Privatheit durch den Einsatz von Cookies zu Werbezwecken lehnt die Rechtsprechung ab.²⁰⁹ Einen Schutz vor der Profilbildung durch Betreiber Sozialer Netzwerke kann Cal. Const. Art. I, § 1 damit nur bieten, wenn in Weiterführung der Sondervoten in United States v. Jones ²¹⁰ im Hinblick auf eine umfassende Profilbildung berechtigte Privatheitserwartungen auch gegenüber dem Betreiber des Sozialen Netzwerks anerkannt werden und die third-party doctrine bei einer Datenerhebung auf Drittseiten aufgegeben wird.
3. Rechtsdurchsetzung Die Durchsetzung des kalifornischen Right to Privacy erfolgt im Wege von Zivilverfahren²¹¹ und setzt wie alle Klagen gegen Eingriffe in die Privatheit für die Annahme durch ein Gericht ein Klagerecht (standing) unter Art. III der Bundesverfassung voraus.²¹² Dazu muss der Kläger u. a. eine konkrete und individuelle Rechtsverletzung (injury in fact) schlüssig darlegen, die bereits eingetreten ist oder einzutreten droht (certainly impending) und die plausibel auf die angegriffene Handlung zurückzuführen ist.²¹³ In den meisten Fällen gelingt es den Klägern bereits nicht, das erforderliche Klagerecht darzulegen,²¹⁴ da die Gerichte eine konkrete und individuelle Rechtsverletzung bei Fällen der Datenerhebung nicht anerkennen.²¹⁵ So sind Kläger mit dem Argument gescheitert, durch die Datenerhebung der Möglichkeit beraubt worden zu sein, den kommerziellen Wert ihrer
Keinen Schutz gewähren bspw. Romano v. Steelcase, Misc.d , (N.Y. ); Moreno v. Hanford Sentinel, Inc., Cal. App. th , (Cal. Ct. App. ). Anders dagegen: Crispin v. Christian Audigier, Inc., F. Supp. d , (D. C.D.Cal. ). In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d , (D. Del. ). Siehe oben: Teil , Kap. , B., II., ., a), aa), () und cc), (). Mathews-Forsheit, § :., S. . U.S. Const. Art. III, § ; siehe oben: Teil , Kap. , B., II., ., a), bb). Low v. LinkedIn Corp., F. Supp. d , (D. N.D.Cal. ); Clapper v. Amnesty Int’l USA Inc., S.Ct. , f. (); Gärditz/Stuckenberg, JZ , , . Zu den bisher fehlenden Auswirkungen des Standards certainly impending aus Clapper v. Amnesty Intern. USA, S. Ct. , () (siehe oben: Teil , Kap. , B., II., ., a), bb)) auf die Annahme eines Klagerrechts bei Datenerhebungsfällen durch Private s. Jacobus/Watson, Rich. J.L. & Tech. , (). Solove/Schwartz, Privacy Law, S. ; Jacobus/Watson, Rich. J.L. & Tech. , ().
240
Kapitel 4 USA
Daten für sich nutzbar zu machen²¹⁶ oder emotionalen Schaden erlitten zu haben.²¹⁷
IV. Ergebnis Eine gesetzliche Regulierung der Profilbildung durch Private ist unter Beachtung der Vorgaben des First Amendment möglich, aber mangels Schutzpflichten nicht geboten. Einen Schutz gegen die Profilbildung durch Private bieten die Bundes- und Staatsverfassungen nicht. Eine Ausnahme auf der gliedstaatlichen Ebene bildet die Verfassung Kaliforniens. Ein Vorgehen gegen eine umfassende Profilbildung durch Private auf dieser Grundlage erscheint jedoch nur möglich, wenn die Privatheitserwartungen der Nutzer abweichend von der bisherigen Dogmatik in Weiterführung der neuen Ansätze aus den Sondervoten von United States v. Jones als berechtigt und die Verletzung als schwerwiegend anerkannt werden. In der aktuellen Rechtsprechung stößt auch in den USA eine staatliche anlasslose Erstellung eines Persönlichkeitsprofils, das über mehrere Jahre ein Abbild des Lebens einer Person ergibt und Rückschlüsse auf vertrauliche Informationen zulässt, auf verfassungsrechtliche Bedenken. Die durch die aktuelle Rechtsprechung getroffenen Wertungen hinsichtlich einer staatlichen Profilbildung werden im Zivilrecht durch die Gerichte bei der Auslegung der Common Law Privacy Torts unter Berücksichtigung der privatrechtlichen Unterschiede herangezogen.
C. Föderale einfachgesetzliche Regelungen In Hinblick auf die Datensammlung und -verarbeitung durch Private im Internet sind grundsätzlich der Electronic Communications Privacy Act (ECPA)²¹⁸ und der Children‘s Online Privacy Protection Act (COPPA)²¹⁹ zu beachten.²²⁰ Weitere Gesetze, die bei Klagen gegen Datenverarbeitung durch Webseitenbetreiber disku-
Galaria v. Nationwide Mut. Ins. Co., F. Supp. d , (D. S.D. Ohio ); In re Barnes & Noble Pin Pad, No. -CV- = WL , (D. N.D. Ill. ); Willingham v. Global Payments, Inc., No. :-CV--RWS-JFK = WL , (D. N.D.Ga. ). Low v. LinkedIn Corp., F. Supp. d , , (D. N.D.Cal. ). U.S.C. §§ – . U.S.C. §§ – . Genz, Datenschutz, S. ff.
C. Föderale einfachgesetzliche Regelungen
241
tiert werden, die aber eine andere Schutzrichtung als den Privatheitsschutz haben, wie etwa der Computer Fraud and Abuse Act (CFAA), der gem. § 1030(e)(8)(A) dem Vermögensschutz dient,²²¹ bleiben für diese Arbeit außer Betracht. Ebenso wenig werden Gesetze wie etwa der Lanham Act ²²² für irreführende Werbung²²³ beleuchtet, die zwar bei der kommerziellen Nutzung von Informationen der Mitglieder Sozialer Netzwerke eine Rolle spielen können, aber unabhängig von einer Profilbildung zur Anwendung kommen, wie beispielsweise bei der Nutzung eines Profilbildes für Werbezwecke („Sponsored Stories“)²²⁴ oder der „Freundefinder“Funktion²²⁵.²²⁶ Die FTC kann sich für den Privatheitsschutz im Internet auf den Federal Trade Commission Act (FTCA)²²⁷ stützen und ist zuständig für die Durchsetzung der EUUS Safe Harbor-Regelung bzw. zukünftig des EU-U.S. Privacy Shield.²²⁸ Aufgrund der prägenden Bedeutung der Verfahren der FTC erfolgt die Darstellung im separaten Abschnitt D, auch wenn der FTCA systematisch zu den föderalen Kodifizierungen zählt.
I. Electronic Communications Privacy Act Der Electronic Communications Privacy Act (ECPA) besteht aus drei Einzelgesetzen, 1. dem Wiretap Act, (18 United States Code (U.S.C.) §§ 2510 – 2522) und 2. dem Stored Communications Act (SCA, 18 U.S.C. §§ 2701– 2711), welche das unbefugte Wahrnehmen des Kommunikationsinhalts während des Übermittlungsvorgangs bzw. der gespeicherten Kommunikation regeln sowie 3. dem Pen Register Act (18 U.S.C. §§ 3121– 3127), der die Benutzung von Rufdatenerfassungsgeräten und Fangschaltungen reguliert.²²⁹
Vor den Gerichten scheitert der CFFA bei Sachverhalten des Internettracking regelmäßig am erforderlichen Schaden, der USD . übersteigen muss, s. Lin, Berkeley Tech. L.J. , (). U.S.C. §§ – n. U.S.C. § (a)(). Fraley v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ). Cohen v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ). Siehe oben: Einl., IV. FTC Act, U.S.C. §§ ff. Zur Ungültigkeit der aktuellen Safe Harbor-Entscheidung siehe oben: Teil , Kap. , C., II., ., a). Solove/Schwartz, Privacy Law, S. ; Mathews-Boyden, § :, S. .
242
Kapitel 4 USA
Wie im Folgenden näher dargestellt wird, blieben Klagen, welche die Datenverarbeitung durch den privaten Sektor auf der Grundlage des Wiretap Act oder des SCA zu unterbinden bzw. einzuschränken versuchten, ohne Erfolg.²³⁰
1. Rechtmäßigkeit der Datenerhebung Der Wiretap Act findet auf die Erhebung des Inhalts der Kommunikation²³¹ Anwendung, die sich noch in der Übertragung befindet, 18 U.S.C. § 2511(1)(a). Der SCA erfasst dagegen Inhalts- und Sekundärdaten, die sich in der elektronischen Speicherung befinden, 18 U.S.C. § 2701(a)(1).²³² Der Begriff der elektronischen Speicherung ist missverständlich und wird von 18 U.S.C. § 2711(1) i.V.m. § 2510(17) (A) sehr eng definiert als jede vorübergehende bzw. kurzzeitige, intermediäre Speicherung, die angelegentlich der kabelgebundenen oder elektronischen Kommunikationsübermittlung stattfindet, sowie (B) als Speicherung von BackupKopien der Kommunikation durch den Provider zum Zwecke der Sicherung dieser Kommunikation. Für die rechtliche Würdigung bedeutet das, dass eine minimale technische Änderung im Erhebungsvorgang darüber entscheidet, ob ein Datenerhebungsvorgang im Internet dem Anwendungsbereich des einen oder des anderen Gesetzes unterfällt oder gar den Rahmen jeglicher Regulierung verlässt. Exemplarisch kann dies an den verschiedenen Datenerhebungspraktiken von Facebook gezeigt werden. Als Beispiel sollen hier die beiden gängigsten Formen der Datenerhebung auf Drittseiten dienen, nämlich die Identifikation über Cookies und die Erhebung über Social Plugins. Die Datenerhebung auf der eigenen Homepage ist uneingeschränkt möglich, da der Webseitenbetreiber technisch gesehen Adressat der Kommunikation ist, vgl. 18 U.S.C. § 2511(1)(a), § 2701(a)(1).²³³
In re DoubleClick, Inc. Privacy Litig., F. Supp.d , , (D. S.D.N.Y ); In re Pharmatrak, Inc. Privacy Litig., F. Supp. d , – (D. Mass. ); Hotaling, CommLaw Conspectus , (); Solove/Schwartz, Information Privacy, S. . Die Beschränkung des Schutzbereichs auf den Inhalt der Kommunikation ergibt sich aus U.S.C. § (), der das Überwachen definiert als das Wahrnehmen des Inhalts der Kommunikation durch elektronische, mechanische oder andere Mittel. Der „Inhalt der Kommunikation“, wie er vom ECPA verstanden wird, kann mit dem deutschen Begriff der Inhaltsdaten gleichgesetzt werden. Nach der Legaldefinition umfasst er Informationen, die sich auf die Substanz, den Wortlaut oder die Bedeutung der Kommunikation beziehen, U.S.C. § (). Boyden, Cardozo L. Rev. , (); Kerr, Computer Crime, S. f., ; Solove/ Schwartz, Information Privacy, S. f. Kang, Stan. L. Rev. , ().
C. Föderale einfachgesetzliche Regelungen
243
a) Cookies Das Tracking von Mitgliedern, nachdem diese sich von ihrem Nutzerkonto abgemeldet haben, ist Gegenstand einer Sammelklage,²³⁴ die Facebook u. a. die Verletzung des Wiretap Act, des SCA, der Common Law Privacy Torts und Regelungen des kalifornischen Privatheitsschutzes vorwirft. Ein abschließendes Urteil steht aus.²³⁵ In der Entscheidung vom 23.10. 2015 moniert das Gericht das Fehlen eines ausreichend substantiierten Schadens und räumt den Klägern die Möglichkeit ein, ihren Vortrag insoweit zu ergänzen.²³⁶ Die Leitentscheidung zur rechtlichen Einordnung von Cookies ist in den USA die Doubleclick-Entscheidung.²³⁷ Sie wird von den unteren Gerichten angewendet²³⁸ und lässt sich auch auf den anhängigen Sachverhalt übertragen. Bei den in den Cookies gespeicherten Daten wie der Referrer-URL und der IP-Adresse handelt es sich um Sekundärinformationen,²³⁹ so dass nur die Anwendbarkeit des SCA in Betracht kommt, da der Wiretap Act gem. 18 U.S.C. § 2510(8) nur auf Inhaltsdaten anwendbar ist. Werden Cookies auf dem Endgerät des Nutzers hinterlegt, so können sie die Handlungen, die der Nutzer auf der Seite des Dritten vornimmt, solange speichern, bis sie abgerufen werden.²⁴⁰ Dies ist keine lediglich kurzzeitige Speicherung, wie es der SCA voraussetzt.²⁴¹ Darüber hinaus ist die Datenerhebung auf Drittseiten grundsätzlich rechtmäßig, wenn der Webseitenbetreiber der Drittseite dem zustimmt, 18 U.S.C. § 2511(2)(c) (consent exception).²⁴² Sofern sich die Cookies nicht auf der Festplatte des Endgeräts, sondern im Random Access Memory (RAM) befinden, greift der zeitliche Anwendungsbereich des SCA.²⁴³ Nach 18 U.S.C. § 2701(a) wird u. a. bestraft,wer unberechtigt absichtlich
In Re Facebook Internet Tracking Litigation, F. Supp. d (Judicial Panel on Multidistrict Litigation ). Eine aktuelle Übersicht über den Verhandlungsverlauf ist abrufbar unter: http://dockets.ju stia.com/docket/california/candce/:md/. Bloomberg, . . : http://www.bloomberg.com/news/articles/--/facebookwins-dismissal-of--billion-users-privacy-suit. In re DoubleClick, Inc. Privacy Litig., F. Supp.d (D. S.D.N.Y ). Chance v. Avenue A, Inc., F. Supp. d , ff. (D. W.D.Wash. ); In re Pharmatrack, Inc. Privacy Litigation, F. Supp. d , (D. Mass. ). Entscheidungen zur Einordnung als Sekundärinformationen: In re iPhone Application Litig., F. Supp. d , (D. N.D.Cal. ); In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d , (D. Del. ). In re DoubleClick, Inc. Privacy Litig., F. Supp.d , (D. S.D.N.Y ). In re DoubleClick, Inc. Privacy Litig., F. Supp.d , – (D. S.D.N.Y ); In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d (D. Del. ). In re Pharmatrak, Inc. Privacy Litig., F. Supp. d , (D. Mass. ); Groom, Berkeley Tech. L.J. , (); Lupu, Va. J.L. & Tech , (). In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d , (D. Del. ).
244
Kapitel 4 USA
in eine Einrichtung, die einen elektronischen Kommunikationsservice zur Verfügung stellt, eindringt und dadurch Zugang zur Kommunikation erhält, die elektronisch gespeichert ist. Der Begriff des elektronischen Kommunikationsservices wird in 18 U.S.C. § 2510(15) legaldefiniert. Es handelt sich danach um einen Service, welcher seinen Nutzern die Möglichkeit eröffnet, kabelgebundene oder elektronische Kommunikation zu senden oder zu empfangen. Demnach müsste es sich bei dem Endgerät, auf dem die Cookies hinterlegt sind, um eine Einrichtung handeln, die den elektronischen Kommunikationsservice zur Verfügung stellt. Das Endgerät stellt jedoch nicht den Internetzugang zu Verfügung, so dass der SCA regelmäßig für die hier diskutierten Sachverhalte nicht greift.²⁴⁴ Im Ergebnis wird damit die Datenerhebung über Cookies nicht vom ECPA reguliert.
b) Social Plugins Die von Social Plugins erhobenen Daten wie Datum und Uhrzeit der Benutzung, die Referrer-URL, IP-Adresse sowie benutzter Browser und das Betriebssystem sind Sekundärinformationen, die sich nicht auf die Bedeutung der Kommunikation beziehen. Damit scheidet die Anwendung des Wiretap Act aus, der gem. 18 U.S.C. § 2510(8) nur auf Inhaltsdaten anwendbar ist. Da die Erhebung der Daten erfolgt, während sie sich noch in der Übertragung befinden, nämlich unmittelbar, wenn die Webseite des Dritten zusammen mit dem eingebundenen Social Plugin aufgerufen wird, findet wiederum der SCA, der die elektronische Speicherung der Daten voraussetzt, keine Anwendung. Das bedeutet, dass auch die Datenerhebung durch Social Plugins vom ECPA nicht erfasst ist.
c) Ergebnis Schon tatbestandlich greifen die Regelungen des ECPA vorliegend nicht ein. Diese Feststellung setzt eine Auseinandersetzung mit leicht veränderbaren technischen Feinheiten voraus und wird von den US-Gerichten meist mit der Begründung nicht erörtert, dass die Datenerhebung ohnehin nach beiden Gesetzen rechtmäßig sei, weil zwischen dem Datensammler und dem Webseitenbetreiber Einvernehmen über die Datenerhebung besteht oder das datenerhebende Unternehmen selbst
In re Pharmatrak, Inc. Privacy Litig., F. Supp. d , (D. Mass. ); In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d , (D. Del. ).
C. Föderale einfachgesetzliche Regelungen
245
Adressat der Kommunikation ist.²⁴⁵ Im Ergebnis setzt der ECPA der Datenerhebung Privater im Internet keine klaren Grenzen,²⁴⁶ das es für das heimliche Wahrnehmen von Kommunikation,²⁴⁷ nicht aber für Internettracking konzipiert ist.²⁴⁸
2. Rechtmäßigkeit der Datennutzung US-Gerichte wurden bereits mit verschiedenen Formen der kommerziellen Datennutzung durch Soziale Netzwerke befasst,²⁴⁹ die aber nur z.T. auf Profilbildungspraktiken beruhen.
a) Praktizierte Datennutzung Das „Beacon“-Programm, durch das auf bestimmten Internetseiten getätigte Einkäufe auf der Facebook-Profilseite des Betroffenen sichtbar wurden, wurde nach einer Sammelklage durch einen Vergleich beendet,²⁵⁰ so dass es hier zu keiner abschließenden rechtlichen Bewertung der Datenweitergabepraxis kam, die insbesondere auch für zukünftige Nutzungsmöglichkeiten hätte herangezogen werden können. Facebooks Praktik, private Nachrichten im Hinblick auf darin enthaltene Links für Werbezwecke zu analysieren, ist Gegenstand eines noch anhängigen
In re Pharmatrak, Inc. Privacy Litig., F. Supp. d , (D. Mass. ); Steindel, Mich. Telecomm. Tech. L. Rev. , (); Groom, Berkeley Tech. L.J. , (). Lupu, Va. J.L. & Tech , , (); Borchert, Duke L. & Tech. Rev. , (). Solove/Schwartz, Privacy Law, S. ; Mathews-Boyden, § :, S. . Solove/Hartzog, Columbia L. Rev. , (); Borchert, Duke L. & Tech. Rev. , , (); Steindel, Mich. Telecomm. Tech. L. Rev. , (). Bsp.: In re Facebook Privacy Litigation, F. Supp. d (D. N.D.Cal. ) (Für einen begrenzten Zeitraum wurde die Nutzerkennnummer bei der Interaktion des Nutzers mit Drittinhalten übertragen, was zu einer erfolglosen Klage gegen den Betreiber des Sozialen Netzwerks führte); Cohen v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ) (Der Kläger wandte sich erfolglos gegen Facebooks Versendung von Einladungs-E-Mails an Kontakte aus dem Adressbuch bekannt als Freundefinder-Funktion); Fraley v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ) (Das Verfahren, das die Sponsored-Stories-Funktion zum Gegenstand hatte, bei dem Nutzerfotos zu Werbezwecken gegenüber Freunden verwendet werden, wurde durch einen Vergleich beendet); Rose v. Facebook (Die Sammelklage No. :cv- D.R.I. . . wandte sich gegen die nur wenige Tage lang stattfindende, ungefragte Weitergabe von Informationen ihrer Profilseite an Partnerseiten nach dem dortigen Einloggen (Instant Personalization). Da der Kläger die Klage nicht weiterführen konnte, wurde sie abgewiesen, s. Order, Rose v. Facebook, Inc., No. :cv- (D.R.I. ). Lane v. Facebook, Inc., F.d (th Cir. ).
246
Kapitel 4 USA
Verfahrens in Kalifornien.²⁵¹ Im summarischen Verfahren wurde ebenso wie in einem vergleichbaren Fall, der die Auswertung von E-Mails zu Werbezwecken zum Gegenstand hatte, entschieden, dass diese Praxis nicht zu den nach 18 U.S.C. § 2510(5) zulässigen, normalen Geschäftspraktiken (ordinary course of business) gehört.²⁵² Facebook stellte diese Form der Datenanalyse mittlerweile ein.²⁵³ Eine gerichtliche Überprüfung der Datenweitergabe über den Dienst „Insights“²⁵⁴ fand in den USA bisher nicht statt. Sie fällt weder in den Anwendungsbereich des Wiretap Act noch in den des SCA, da es sich um aggregiert aufbereitete Daten handelt, die sich weder in der Übertragung noch in der kurzzeitigen elektronischen Speicherung befinden. Es handelt sich dabei auch nicht um Backup-Kopien einer Kommunikation, sondern um von Facebook zusammengestellte, dauerhaft gespeicherte Daten.
b) Zukünftige Nutzungsmöglichkeiten Zukünftige profilbasierte Nutzungsmöglichkeiten²⁵⁵ der Datensätze werden im Hinblick auf den Persönlichkeitsschutz durch föderale Regelungen nur in Bezug auf bestimmte Sektoren eingeschränkt.²⁵⁶ Zu nennen ist hier insbesondere der in 15 U.S.C. §§ 1681– 1681x geregelte Fair Credit Reporting Act (FCRA), der für den Fall eingreift, dass Facebook sich als Auskunftei über die Kreditwürdigkeit seiner Nutzer betätigen sollte. 15 U.S.C. § 1681g räumt den Betroffenen die Möglichkeit ein, Einblick in die Berichte über sie zu nehmen. Korrekturen nachweisbar falscher Angaben können nach 15 U.S.C. § 1681i veranlasst werden. Hinsichtlich der durch predictive analytics erlangten Informationen dürfte dieses Instrument des Selbstschutzes aber de facto leerlaufen.²⁵⁷
Der aktuelle Verfahrensstand ist abrufbar unter: https://dockets.justia.com/docket/califor nia/candce/:cv/. Entscheidung im summarischen Verfahren: Campbell v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ). Campbell v. Facebook, Inc., F. Supp. d , – (D. N.D.Cal. ); Google, Inc. Gmail Litigation, No. –MD––LHK = WL , ff. (D. N.D.Cal. ). Campbell v. Facebook, Inc., F. Supp. d , (D. N.D.Cal. ). Siehe oben: Teil , Kap. , C., III., . Zur Möglichkeit der nicht profilbasierten Datenweitergabe s. Konop v. Hawaiian Airlines, Inc., F.d (th Cir. ); Theofel v. Farey-Jones, F.d (th Cir. ); Crispin v. Christian Audigier, Inc., F. Supp. d (D. C.D.Cal. ); Borchert, Duke L. & Tech. Rev. , f. (). Zu aktuellen Reformvorschlägen für data broker s. Schmitz, Mich. St. L. Rev. , ff. (). Cullerton, Geo. L.J. , ().
C. Föderale einfachgesetzliche Regelungen
247
Für Gesundheitsdaten bietet der Health Insurance Portability and Accountability Act (HIPPA), 45 C.F.R. §§ 160 – 164 keinen Schutz, da sich das Gesetz gem. 45 C.F.R. § 164.500 nur an einen beschränkten Kreis von Dienstleistern wendet,²⁵⁸ zu denen Soziale Netzwerke nicht zählen.
3. Rechtsdurchsetzung Die Rechtsdurchsetzung des ECPA erfolgt im Rahmen von zivilrechtlichen Klagen, 18 U.S.C. § 2520(c)(a)(b) und bei strafrechtlichen Verletzungen durch den Attorney General, 18 U.S.C. § 2521. Zunehmend wird von der Möglichkeit von Sammelklagen Gebrauch gemacht, die nicht selten zu Vergleichen in Höhe von mehreren Millionen Dollar führen,²⁵⁹ wie auch im Fall Doubleclick. ²⁶⁰
4. Ergebnis Klagen gegen die Datenerhebung und -nutzung durch Betreiber Sozialer Netzwerke konnten sich nicht mit Erfolg auf den ECPA stützen. Die Beispiele haben gezeigt, dass der ECPA nur auf extrem enge Sachverhaltskonstellationen Anwendung findet, was dazu führt, dass ein- und derselbe Sachverhalt durch die leicht mögliche Variation technischer Details dem Anwendungsbereich der Regelungen entzogen werden kann. Außerdem eröffnet die Möglichkeit der einseitigen Zustimmung zur Offenlegung der Kommunikation gegenüber Dritten den Sozialen Netzwerken eine Datenerhebung auf Drittseiten ohne die Zustimmung des Betroffenen. Die sonstige Datennutzung wird durch den ECPA nicht erfasst, da er sich auf die Erhebung und Weitergabe von Daten beschränkt. Ein Schutz besteht jedoch für die Auswertung privater Nachrichten zu Werbezwecken.
Solove/Schwartz, Information Privacy, S. . Sachs, Marketing, S. ; Schwartz, DJT , S. O f., O ; Schwartz, in: Stern/Peifer/ Hain, Datenschutz, S. ; Lane v. Facebook, Inc., F.d (th Cir. ); Fraley v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ). In re DoubleClick, Inc. Settlement Agreement, abrufbar unter: https://epic.org/privacy/inter net/cookies/dblclkproposedsettlement.pdf; Scott, Computer Info., ..
248
Kapitel 4 USA
II. COPPA Vom Anwendungsbereich des COPPA erfasst sind Webseitenbetreiber und OnlineDiensteanbieter, wie Anbieter von Plugins oder Betreiber von Werbenetzwerken,²⁶¹ die ihre Dienste an Kinder unter 13 Jahren²⁶² richten²⁶³ oder die wissen, dass ihr Angebot von Kindern genutzt wird.²⁶⁴ Ihnen ist es grundsätzlich²⁶⁵ verboten, „persönliche Informationen“ (personal information) von Kindern unter 13 Jahren ohne die Einwilligung der Erziehungsberechtigten zu erheben oder weiterzugeben, 15 U.S.C. § 6502 i.V.m. § 6501(1). Unter persönlichen Informationen sind im Rahmen des COPPA solche Daten zu verstehen, die geeignet sind, das Kind zu identifizieren, wie Name, Adresse, Telefonnummer, unique identifier wie eine Nutzerkennnummer oder auch Audiound visuelle Daten. Sonstige Informationen, wie Hobbys oder Vorlieben, fallen unter den Anwendungsbereich des Gesetzes, wenn sie mit den originär persönlichen Informationen verknüpft werden.²⁶⁶ Die Durchsetzung erfolgt primär durch die FTC und auch durch Generalstaatsanwälte im Wege der Zivilklage vor den Bundesgerichten.²⁶⁷ Da die Nutzung Sozialer Netzwerke nach den Vertragsbedingungen erst für Kinder ab Vollendung des 13. Lebensjahrs zulässig ist,²⁶⁸ findet der COPPA keine Anwendung.
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen Die FTC ist seit Mitte der 1990er Jahre mit Problemstellungen aus dem Bereich des Privatheitsschutzes befasst.²⁶⁹ Ursprünglich für die Überwachung des Wettbewerbs- und Verbraucherschutzes gegründet,²⁷⁰ entwickelte sich die Bundesbe-
Children’s Online Privacy Protection Rule, Final Rule Amendments, Fed. Reg. (. . ); Mathews-Savitt, § :., S. . U.S.C. § (); Mathews-Solove, § :., S. . . U.S.C. § ()(A); Mathews-Savitt, § :., S. f. . U.S.C. § (a)(); Mathews-Savitt, § :., S. . . U.S.C. § (b)(); Mathews-Savitt, § :., S. f. . U.S.C. § (); Mathews-Savitt, § :., S. f. Mathews-Savitt, § :., S. . Facebook, Nutzungsbedingungen, . Nr. .. FTC, Consumer Privacy , S. ; Solove/Schwartz, Information Privacy, S. ; Solove/ Hartzog, Columbia L. Rev. , (). S. Webseite der FTC unter: http://www.ftc.gov/ftc/about.shtm.
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
249
hörde, angefangen mit der Durchsetzung von Privacy Policies ²⁷¹ und der Fair Information Practice Principles (FIPPS),²⁷² als Bestandteil der Fair Trade Practices Ende der 1990er Jahre zur heute einflussreichsten Kontrollinstanz im Bereich der Privacy. ²⁷³
I. Behördenstruktur Die FTC wird von fünf Bundesbeauftragten (commissioners) geführt, die vom Präsidenten der Vereinigten Staaten nominiert und vom Senat bestätigt werden, 15 U.S.C. § 41 S. 1 FTCA. Gem. 15 U.S.C. § 41 S. 2 FTCA dürfen nicht mehr als drei Bundesbeauftragte derselben politischen Partei angehören. Für den Verbraucherschutz ist das Bureau of Consumer Protection (BCP) zuständig, das sich in sieben Abteilungen gliedert.²⁷⁴ 2014 bestand die Abteilung für den Privatheitsschutz (Division of Privacy and Identitiy Protection) aus 46 Mitarbeitern.²⁷⁵ Die Durchsetzung der von der FTC erlassenen Verfügungen zum Verbraucherschutz erfolgt durch die Division of Enforcement mit ebenfalls 46 Mitarbeitern.²⁷⁶ Seit 1997 hat die FTC rund 180 Verfahren aus dem Bereich der Privacy initiiert, also etwa 10 pro Jahr.²⁷⁷ Im Rahmen ihrer Kompetenzen ist die FTC frei von exekutiver Kontrolle.²⁷⁸
II. Zuständigkeit Die FTC stützt sich dabei primär auf Sektion 5 des FTCA (15 U.S.C. § 45 FTCA); sie setzt aber auch sektorspezifische Regelungen wie beispielsweise den GrammLeach-Bliley Act (GLB Act), den COPPA oder den CAN-SPAM Act durch.²⁷⁹ Gem. 15 U.S.C. § 45 FTCA wird der Verbraucher vor irreführenden und unlauteren
U.S.C. § (n) S. . Siehe oben: Teil , Kap. , A., II., ., c). FTC, Consumer Privacy , S. ; Grimm/Roßnagel, DuD , , ; Solove/Hartzog, Columbia L. Rev. , (). Siehe dazu die Homepage der FTC abrufbar unter: https://www.ftc.gov/about-ftc/bureaus-of fices/bureau-consumer-protection/our-divisions. Solove/Hartzog, Columbia L. Rev. , (). Solove/Hartzog, Columbia L. Rev. , f. (). Solove/Hartzog, Columbia L. Rev. , (); Brill, in: Hijmans/Kranenborg, Data Protection, S. . Humphrey’s Executor v. U.S., US , (). FTC, Consumer Privacy , S. ; Mathews‐Hofmann, § :., S. .
250
Kapitel 4 USA
Marktpraktiken geschützt, die im Handel erfolgen oder den Handel beeinträchtigen, 15 U.S.C. § 45(a)(1) FTCA, ohne dass jedoch eine Verpflichtung der FTC besteht, Beschwerden von Verbrauchern nachzugehen.²⁸⁰ Daneben obliegt der FTC die Überprüfung der Einhaltung der Safe HarborRegelung,²⁸¹ sofern das betroffene Unternehmen, wie es bei Facebook der Fall ist, Safe Harbor-zertifiziert ist.²⁸² Auch nachdem der EuGH die bisherige Safe HarborEntscheidung im Oktober 2015 für ungültig erklärt hat,²⁸³ bleibt die Zuständigkeit der FTC auch im Rahmen der künftigen Neuregelung des Privacy Shield im Wesentlichen unverändert.²⁸⁴ Den folgenden Ausführungen liegen die bisherigen Vorgaben zugrunde. Sie werden durch die wesentlichen Neuerungen des Privacy Shield ergänzt. Bei den von der FTC aufgegriffenen Fällen werden oft Entscheidungen oder Vereinbarungen erreicht, welche die Daten der Verbraucher und Internetnutzer schützen und die letztlich dazu dienen, die Grundlagen für eine selbstbestimmte Entscheidung der Betroffenen zu schaffen bzw. zu erhalten. Auf diese Weise dienen Wettbewerbsregelungen in den USA auch dem Schutz der Information Privacy. ²⁸⁵
III. Verfahren und weitere Befugnisse Der FTC stehen grundsätzlich zwei Wege zur Rechtsdurchsetzung offen: Zum einen gem. 15 U.S.C. § 45(b) FTCA das Verwaltungsverfahren (administrative enforcement) und zum anderen gem. 15 U.S.C. § 53(b) FTCA der direkte Gerichtsweg (judicial enforcement). Die Verfahrensvorgaben der im FTCA vorgesehenen Durchsetzungsmechanismen werden im Code of Federal Regulations (C.F.R.), Titel 16 – Handelssachen (commercial practices), Kapitel 1, Federal Trade Commission, Unterkapitel A – Organisation, Verfahren und Verfahrensregeln geregelt, wobei vorliegend nur das im Teil 3 (16 C.F.R. §§ 3.1– 3.83) normierte außergerichtliche Beschlussverfahren interessiert, um die Auslegung der FTC zu ergründen. Die FTC kann im Verwaltungsverfahren gem. 15 U.S.C. § 57a FTCA in begrenztem Rahmen verbindliche Regeln erlassen (rulemaking procedure) oder – was die Regel ist – ein Beschlussverfahren (adjudication) gem. 15 U.S.C. § 45(b)
Grimm/Roßnagel, DuD , , . Siehe oben: Teil , Kap. , C., II., ., c), aa), (), (a). Siehe oben: Teil , Kap. , C., II., . Siehe oben: Teil , Kap. , C., II., ., a). Siehe oben: Teil , Kap. , C., II., ., c), bb). Solove/Hartzog, Columbia L. Rev. , f. ().
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
251
FTCA eröffnen.²⁸⁶ Dazu erlässt die FTC, wenn sie Grund zu der Annahme hat, dass der FTCA verletzt wurde, ein zivilrechtliches Ermittlungsgesuch (civil investigation demand, 15 U.S.C. § 57b-1(c)(1) FTCA) und hat in der Folge das Recht, auf sämtliche ermittlungsrelevanten Unternehmensunterlagen zuzugreifen und Zeugen zu laden, 15 U.S.C. § 49 FTCA.²⁸⁷ Auf Basis der Ermittlungen erlässt die FTC beim Bestehen eines öffentlichen Interesses eine Beschwerdeschrift (complaint) und listet dort die Verletzungen auf, die dem Betroffenen zur Last gelegt werden, 15 U.S.C. § 45(b) FTCA, 16 C.F.R. § 3.11. Das öffentliche Interesse setzt eine konkrete und substantiierte Markt- bzw. Verbrauchergefährdung voraus und wird bereits bei jeder Verletzung eines Rechtsguts einer Privatperson angenommen.²⁸⁸ Das weitere Verfahren ist vom Betroffenen abhängig. Er erklärt sich entweder zu einem Übereinkommen bereit, 16 C.F.R. § 3.12(b)(2), und eröffnet so den Weg zu einer Einigung (consent agreement settlement) gem. 16 C.F.R. § 3.25. Oder er strebt zur Klärung der Vorwürfe ein verwaltungsgerichtsähnliches Verfahren²⁸⁹ unter der Leitung eines Verwaltungsrichters (Administrative Law Judge (ALJ), 16 C.F.R. §§ 3.12(b)(1), 3.21– 3.30) an, das mit einer anfechtbaren Entscheidung des ALJ (initial decision) nach 16 C.F.R. § 3.51 endet. In der Entscheidung schlägt der ALJ entweder vor, eine Unterlassungsanordnung (cease and desist order) zu erlassen oder die Beschwerdeschrift zu verwerfen.²⁹⁰ Erlässt die FTC eine Unterlassungsanordnung, entfaltet sie auch gegenüber Dritten Bindungswirkung.²⁹¹ Die Anordnung ist vor dem Court of Appeals anfechtbar, 15 U.S.C. Sec. 45(c) FTCA. Die weit überwiegenden Fälle werden durch Übereinkommen abgeschlossen.²⁹² Gründe dafür sind die im Vergleich zum Gerichtsverfahren kürzere Verfahrensdauer, geringere Kosten und der Umstand, dass ein Übereinkommen kein
S. Webseite der FTC: https://www.ftc.gov/about-ftc/what-we-do/enforcement-authority; Mathews‐Hofmann, § :., S. . Zur Regelungskompetenz der FTC s. Picker, Unjustified by Design, S. ff. Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. , ; MathewsHofmann, § :., S. . FTC v. Klesner, US , (); Radiant Burners, Inc. v. Peoples Gas Light & Coke Co., US , (); Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. . Das Verfahren unterliegt den besonderen Verfahrensvorgaben nach C.F.R. §§ . – .. FTC, A Brief Overview of the Federal Trade Commission’s Investigative and Law Enforcement Authority, II. A., ., (a), abrufbar unter: https://www.ftc.gov/about-ftc/what-we-do/enforcementauthority. Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. . Fang, Berkeley Tech. L. J. , (); Solove/Hartzog, Columbia L. Rev. , ().
252
Kapitel 4 USA
Eingeständnis bedeutet, tatsächlich gegen den FTCA verstoßen zu haben.²⁹³ In der Folge einer Einigung wird das Verfahren mit einer Verfügung (final consent order) der FTC beendet, die den Betroffenen mit seiner Zustimmung bestimmten Auflagen unterwirft. Ihre Verletzung kann mit einer zivilgerichtlich durchsetzbaren Strafe von bis USD 16.000 pro Verstoß geahndet werden, 15 U.S.C. §§ 45(l) – (m) FTCA, 16 C.F.R. § 1.98(c).²⁹⁴ Bei länger andauernden Maßnahmen zählt jeder Tag als separater Verstoß.²⁹⁵ Die FTC ist in der Wahl und Ausgestaltung von Auflagen frei.²⁹⁶ In bisherigen Verfahren hat die FTC verfügt, gerügte Verhaltensweisen künftig zu unterlassen.²⁹⁷ Vereinbart wurden auch Abschöpfungen von Vermögensvorteilen²⁹⁸ sowie Entschädigungen für Verbraucher.²⁹⁹ Außerdem kann die FTC im Übereinkommen mit dem betroffenen Unternehmen u. a. Änderungen der Datenschutzerklärung, die Einführung von Maßnahmen zur Verbesserung des Datenschutzes und der Datensicherheit (Privacy programs)³⁰⁰ sowie Auditierungsverfahren durch unabhängige Dritte (assessment)³⁰¹ festlegen.³⁰² Darüber hinaus kann das Unternehmen zur Löschung von unrechtmäßig erlangten Daten verpflichtet werden.³⁰³ Vereinbarungen sind nur für das betroffene Unternehmen bindend und entfalten darüber hinaus keine Drittwirkung.³⁰⁴ Sie haben jedoch eine Vorbildwirkung, was in der Praxis dazu führt, dass sich auch andere Unternehmen den Vorgaben der Vereinbarungen anpassen, um ein Verfahren der FTC zu vermeiden.³⁰⁵ Die Vereinbarungen prägen also das Verständnis der gesetzlichen Regelung des FTCA und können somit zur Auslegung herangezogen werden. Vor Zivilgerichten kann die FTC nicht nur die Begleichung von Strafzahlungen (civil penalties) durchsetzen, sondern auch Schadensersatz zur Kompensation von
Solove/Hartzog, Columbia L. Rev. , ff. (). Wimmer, in: Kuschewsky, Data Protection, S. . Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. , . Solove/Hartzog, Columbia L. Rev. , (). Mathews‐Hofmann, § :., S. ; Solove/Hartzog, Columbia L. Rev. , (). Z. B. FTC, D&O Gateway, IV.; Solove/Hartzog, Columbia L. Rev. , (). Solove/Hartzog, Columbia L. Rev. , (). Z. B. FTC, CD&O Path, S. f.; FTC, D&O Facebook, S. ; FTC, D&O HTC, S. ; FTC, D&O Google, III. Z. B. FTC, CD&O Path, S. ff.; FTC, D&O Facebook, S. ff.; FTC, D&O HTC, S. ff. Solove/Hartzog, Columbia L. Rev. , f. (). Z. B. FTC, D&O Aspen Way, V.; Solove/Hartzog, Columbia L. Rev. , f. (). Fang, Berkeley Tech. L. J. , (); Solove/Hartzog, Columbia L. Rev. , (). Bamberger/Mulligan, Stan. L. Rev. , (); Solove/Hartzog, Columbia L. Rev. , (); Thierer, Harv. J.L. & Pub. Pol’y , ().
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
253
Verbrauchern fordern, der an die Betroffenen ausgeschüttet wird, 15 U.S.C. § 45(m), (a)(4)(B) FTCA.³⁰⁶ Darüber hinaus erlässt die FTC auch Empfehlungen, Richtlinien, Reporte und Weißbücher, die ebenfalls keine Bindungswirkung haben, aber der Interpretation der gesetzlichen Vorgaben dienen und damit der Industrie als Orientierungshilfe, um ihre Geschäftspraktiken entsprechend anzupassen.³⁰⁷ In bestimmten Bereichen³⁰⁸ hat der Kongress der FTC nach dem Administrative Procedure Act (APA)³⁰⁹ eine Regelungskompetenz übertragen, 15 U.S.C. § 57a FTCA.³¹⁰ Das DoC hat zudem ein Projekt für die Entwicklung von branchenspezifischen Codes ins Leben gerufen, an dem sich die FTC beteiligt.³¹¹ Für generelle Privacy-Regelungen besteht diese Kompetenz allerdings derzeit nicht.³¹²
IV. Verfahren gegen Betreiber Sozialer Netzwerke Zwei gegen die Betreiber der Sozialen Netzwerke Facebook und MySpace durchgeführte Verfahren wurden 2012 abgeschlossen.³¹³ In beiden Fällen ging es im Wesentlichen³¹⁴ darum, dass Werbekunden und App-Anbietern in bestimmten Fällen die Nutzer-ID von Mitgliedern zugänglich gemacht wurde, obwohl die Datenrichtlinien besagten, dass persönliche Daten nicht ohne Zustimmung des Nutzers an Werbekunden weitergegeben werden.³¹⁵ Darin sieht die FTC eine Irreführung und gleichzeitig einen Verstoß gegen die Safe Harbor-Prinzipien der
Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. . FTC, Consumer Privacy , S. ; Bamberger/Mulligan, Stan. L. Rev. , f. (); Fang, Berkeley Tech. L. J. , f. (); Solove/Hartzog, Columbia L. Rev. , f. (); Picker, Unjustified by Design, S. . Verfahren nach dem APA wurden für den Privatheitsschutz von Kindern sowie in den Bereichen Finanzen und E-Mail-Marketing durchgeführt, s. Rubinstein, ISJLP , ff. (). Zur rulemaking authority der FTC s. auch Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes, S. ff. U.S.C. §§ ff. Zum Verfahren s. Rubinstein, ISJLP , ff. (). FTC, Consumer Privacy , S. . Rubinstein, ISJLP , ff. (). FTC, Agreement Facebook; FTC, D&O Facebook; FTC, Agreement MySpace; FTC, D&O MySpace. Zu weiteren Punkten s. die nachfolgende Prüfung. Facebook, Datenrichtlinie, Wie werden diese Informationen geteilt?.
254
Kapitel 4 USA
Information und Wahlmöglichkeit (notice and choice).³¹⁶ Es verpflichtete die Unternehmen deshalb dazu, die irreführende Darstellung zu unterlassen.³¹⁷ Zusätzlich zur Irreführung wurde bei Facebook auch noch ein unlauteres Verhalten darin gesehen, dass durch die Änderung der Nutzungsbedingungen im November 2009 Privatsphäreeinstellungen der Nutzer hinfällig wurden, ohne dass die Mitglieder darauf in ausreichender Form hingewiesen worden wären.³¹⁸ Im Übereinkommen mit Facebook wurde festgelegt, dass Nutzer an hervorgehobener Stelle außerhalb der Privacy Policy und Nutzungsbedingungen klar und deutlich darüber informiert werden müssen, wenn ihre nicht öffentlichen Daten in einer Weise an Dritte weitergegeben werden, welche die vom Nutzer gewählten Privatsphäreeinstellung erheblich überschreiten. Die Betreiber werden verpflichtet, Nutzer darüber zu unterrichten, welche Datenkategorien an welche Kategorien von Dritten weitergegeben werden sollen. Die Nutzer sind darauf hinzuweisen, dass dadurch ihre Privatsphäreeinstellungen überschritten werden. Auf Grundlage dieser Informationen ist die Einwilligung des Betroffenen einzuholen.³¹⁹ Gleichzeitig unterwarf die Behörde Facebook und MySpace der Pflicht, sich für die nächsten 20 Jahre in einem bestimmten Zeitrhythmus von einer unabhängigen Stelle auditieren zu lassen, um die Einhaltung der Vorgaben zu überprüfen.³²⁰ Bisher hat jedoch noch keine Überprüfung der Profilbildungs- und -nutzungspraxis der Sozialen Netzwerke stattgefunden.³²¹ Die bisherigen Verfahren gegen Betreiber Sozialer Netzwerke sind nicht als abschließende Untersuchung sämtlicher privatheitsrelevanter Vorgänge bei den betroffenen Sozialen Netzwerken zu verstehen. Sie betreffen vielmehr nur Ausschnitte.³²² Im Folgenden wird deshalb anhand der von der FTC verwendeten Kriterien geprüft, welche Vorgaben sich hinsichtlich der Profilbildung und ‐nutzung durch die Betreiber Sozialer Netzwerke entnehmen lassen.
FTC, Complaint Facebook, Count Rz. , Count Rz. , Count Rz. ; FTC, Complaint MySpace, Count I Rz. , Count IV Rz. . FTC, D&O Facebook, I.; FTC, D&O MySpace, I. FTC, D&O Facebook. FTC, D&O Facebook, II. FTC, D&O Facebook, V; FTC, D&O MySpace, III. FTC, Complaint Path (Verfahrensgegenstand: Apps); FTC, Complaint Twitter (mangelnde Sicherheitsmaßnahmen); FTC, Complaint GeoCities (Täuschung durch Abweichung von Privacy Policy); Serwin, SDLR , (). FTC, Agreement Facebook, S. : „The Federal Trade Commission has conducted an investigation of certain acts and practices of Facebook, Inc.“
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
255
V. Prüfungskriterien für Profile und ihre Anwendung Im folgenden Abschnitt wird geprüft, ob die Profilbildungspraxis von Facebook als eine täuschende oder unlautere Handlung zu werten ist. Die Überprüfung der Einhaltung der Safe Harbor- bzw. Privacy Shield-Regelung erfolgt der Übersicht halber als eigener Punkt, auch wenn sie als Unterfall des Prüfungskriteriums der Irreführung einzuordnen ist.³²³ Zwar fehlt es für die Begriffe unlauter und täuschend an einer Legaldefinition, die FTC hat aber Stellungnahmen zu den von ihr verwendeten Kriterien herausgegeben.³²⁴
1. Täuschende Geschäftspraktiken In ihrer Deception Policy hat die FTC die Prüfungskriterien einer täuschenden geschäftlichen Handlung nach 15 U.S.C § 45(a)(1), (n) FTCA konkretisiert. Welche Faktoren dabei in die Bewertung der Verbraucherperspektive einfließen, hat sich anhand verschiedener Verfahren im Laufe der Zeit entwickelt.
a) Prüfungskriterien Nach der Auslegung der FTC ist eine täuschende Praktik eine Angabe, ein Weglassen oder ein anderes Verhalten, das dazu geeignet ist, einen nach den Umständen vernünftigen Verbraucher zu seinem Nachteil über das Produkt oder die Dienstleistung in die Irre zu führen.³²⁵ Nach der von der FTC herausgegebenen Deception Policy muss das täuschende Verhalten grundsätzlich maßgeblich für die Entscheidung des Nutzers sein, das Produkt zu kaufen bzw. den Dienst zu nutzen oder maßgeblich sein Verhalten in Bezug auf das Produkt oder die Dienstleistung beeinflussen.³²⁶ Als maßgeblich werden Informationen angesehen, die in der Regel für einen Verbraucher wichtig sind. U. a. wird dies angenommen bei ausdrücklichen Werbeangaben oder bei Informationen, welche wesentliche Charak-
Entscheidung //EG, Anhang II, FAQ . Nach dem in U.S.C. § a(a) – (b)() vorgegebenen Verfahren und unter Berücksichtigung von Stellungnahmen Beteiligter ist die FTC dazu ermächtigt, Auslegungsregeln und generelle statements of policy zu erlassen. FTC, Deception Policy, I. FTC, Deception Policy, IV.; Mathews‐Hofmann, § :., S. . Die Beschwerdeschrift in FTC, Volkswagen of America, F.T.C. () stützte sich beispielsweise auf die fehlerhafte Beschreibung des Ölfilterwechsels.
256
Kapitel 4 USA
teristika des Produkts bzw. Dienstes oder die Gesundheit, Kosten oder die Sicherheit betreffen. Die Annahme ist widerlegbar.³²⁷ Ob für ein täuschendes Verhalten Vorsatz erforderlich ist, wird von der Deception Policy und der Verfahrenspraxis der FTC unterschiedlich beantwortet.³²⁸ Die Deception Policy kann so verstanden werden, dass das Unternehmen hätte wissen müssen, dass sein Verhalten zu einer falschen Vorstellung führen kann,³²⁹ wohingegen in den Verfahren nicht auf diesen Aspekt eingegangen wird.³³⁰
b) Bewertungsfaktoren zur Bestimmung der Verbraucherperspektive Zur Beantwortung der Frage, ob ein vernünftiger Verbraucher zu seinem Nachteil in die Irre geführt wird, zieht die FTC die Datenschutzerklärung des Unternehmens heran. Was ein Unternehmen hier verspricht, muss es auch einhalten, sofern es maßgeblich für die Verbraucherentscheidung ist.³³¹ Als täuschend sind demnach die Fälle zu bewerten, in denen das tatsächliche Verhalten des Betreibers eines Sozialen Netzwerks nicht mit maßgeblichen Angaben in der Datenschutzerklärung übereinstimmt.³³² Die US-amerikanische Literatur spricht in diesem Zusammenhang von gebrochenen Versprechen (broken promises).³³³ Als maßgebliche Angaben wurden u. a. bislang Versprechen gewertet,³³⁴ die Vertraulichkeit von Informationen zu wahren und Daten nicht an Dritte weiterzugeben,³³⁵ adäquate Datensicherheitsmaßnahmen zu ergreifen³³⁶ und die Anonymität zu wahren.³³⁷ Außerdem ist das Versprechen einzuhalten, Daten nur in dem in der Privacy Policy beschriebenen Umfang zu erheben.³³⁸ Wie die bisherigen Fälle der FTC zeigen, entsteht eine Täuschung nicht nur bei einer falschen, sondern auch durch eine unvollständige Information. So nimmt die FTC bei der unvollständigen
FTC, Deception Policy, IV. Solove/Hartzog, Columbia L. Rev. , (). FTC, Deception Policy, IV. Bspw. FTC, Complaint HTC, S. Rz. ; FTC, Complaint Path, S. Rz. f.; FTC, Complaint Microsoft, S. Rz. ; FTC, Complaint Sears, S. Rz. . FTC, Deception Policy, IV. FTC, Deception Policy, I. Solove/Hartzog, Columbia L. Rev. , (); Solove/Schwartz, Privacy Law, S. . Solove/Hartzog, Columbia L. Rev. , (). Bspw. FTC, Complaint Facebook, Count ; FTC, Complaint MySpace, Count . Z. B. In re Microsoft, F.T.C. , f. (). Z. B. FTC, Complaint Compete, Inc., Count . Z. B. In re Microsoft, F.T.C. , f. ().
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
257
Aufzählung gesammelter personenbeziehbarer Daten eine täuschende Geschäftspraktik an.³³⁹ Die Möglichkeiten der FTC galten lange als sehr eingeschränkt, da sie die Unternehmen nur zur Einhaltung dessen anhalten könne, was diese in ihren Privacy Policies selbst zu versprechen bereit sind.³⁴⁰ Eine Verpflichtung aber, überhaupt eine Privacy Policy bereitzuhalten, die bestimmten Vorgaben entsprechen muss, besteht nur in Kalifornien.³⁴¹ In jüngster Zeit bezieht die FTC deshalb neben der Privacy Policy auch das Design und die Benutzeroberfläche des Dienstes,³⁴² Einstellungsmöglichkeiten (Privacy settings)³⁴³ und andere offizielle Angaben und Erklärungen³⁴⁴ in ihre Bewertung mit ein, um das Verhalten des Unternehmens im Gesamtkontext zu würdigen.³⁴⁵ Damit versetzt sich die FTC in die Perspektive eines vernünftigen Durchschnittsverbrauchers, der sich ein Bild von der Datenerhebung und ‐nutzung eines Unternehmens auch anhand von Umständen außerhalb der Datenschutzrichtlinie macht.³⁴⁶ Zur Bestimmung des Verbraucherverständnisses kann die FTC Beweise wie Umfragen zur tatsächlichen Nutzerauffassung heranziehen³⁴⁷ oder anhand anerkannter Geschäftspraktiken und kulturell-geprägter Erwartungen sowie der bestehenden Architektur eines Dienstes, die sich aus expliziten Angaben sowie dem Design zusammensetzt, auf das wahrscheinliche Verständnis der Verbraucher schließen.³⁴⁸
Z. B. FTC, Complaint HTC, S. Rz. ; FTC, Complaint Path, S. Rz. f.; FTC, Complaint Microsoft, S. Rz. ; FTC, Complaint Sears, S. Rz. . Livingston, Alb. L.J. Sci. & Tech , f. (); Schwartz, Vand. L. Rev. , (); Steindel, Mich. Telecomm. Tech. L. Rev. , (); Challis/Cavoukian, J. Marshall J. Computer & Info. L. , (). Cal. Bus. & Prof. Code Sec. (a); siehe unten: Teil , Kap. , E., I., . FTC, Complaint HTC, S. Rz. ; FTC, Complaint Path, S. Rz. f.; FTC v. Frostwire () – Complaint, S. . FTC, Complaint Facebook, S. Rz. f. FTC, Complaint Facebook, S. Rz. c, d; Solove/Hartzog, Columbia L. Rev. , , f. (). Fang, Berkeley Tech. L. J. , (); Bamberger/Mulligan, Stan. L. Rev. , (); Solove/Hartzog, Columbia L. Rev. , f. (). FTC, Deception Policy, III; Bamberger/Mulligan, Stan. L. Rev. , , f. (); Solove/Hartzog, Columbia L. Rev. , (). FTC, Deception Policy, V.; Solove/Hartzog, Columbia L. Rev. , , (). Solove/Hartzog, Columbia L. Rev. , , ().
258
Kapitel 4 USA
c) Anwendung auf Profile: Information und Wahlmöglichkeit Es ist zu prüfen, ob die Nutzer Sozialer Netzwerke über die verschiedenen Formen der Datensammlung ausreichend aufgeklärt werden, da nach der Auslegung durch die FTC eine Täuschung auch in einer unzureichenden Information der Betroffenen liegen kann.³⁴⁹ Die FTC misst der Informationspflicht eine zentrale Bedeutung zu.³⁵⁰
aa) Datenerhebung auf der Facebook-Website Wird darüber informiert, dass Daten des Nutzers erhoben werden, muss dies umfassend erfolgen, d. h. nicht beschränkt auf unmittelbar identifizierende Daten. Benannt werden müssen vielmehr alle Daten, die mit der Person in Verbindung gebracht werden.³⁵¹ Erfasst sind damit auch alle personenbeziehbaren Daten nach deutschem Datenschutzrechtsverständnis. Im Fall Path ³⁵² sah die FTC die Information über die Datenerhebung als unzureichend an. In seiner Datenschutzbestimmung erklärte der Betreiber des Sozialen Netzwerks, dass nur bestimmte Informationen erhoben werden, wie IPAdresse, Betriebssystem, Browsertyp, Referrer und die Aktivitäten des Nutzers auf der Seite.³⁵³ Obwohl die Formulierung „wie“ (such as) eine beispielhafte Aufzählung indiziert, legte die FTC die Erklärung so aus, dass der Betreiber nur die genannten Daten erhob. Da die tatsächliche Datenerhebung darüber hinausging, nahm die FTC aufgrund einer nicht vollständigen Information eine Täuschung des Verbrauchers an.³⁵⁴ Im Ergebnis wurde Path dazu verpflichtet, seine Nutzer getrennt von der Privacy Policy, den Nutzungsbedingungen, dem Blog, der Darstellung der vertretenen Werte oder ähnlichen Dokumenten klar und an prominenter Stelle über die Kategorien der erhobenen Daten zu informieren. Darüber hinaus muss der Betreiber die ausdrückliche Zustimmung (affirmative express consent) der Nutzer zur Datenerhebung einholen.³⁵⁵
Z. B. FTC, Complaint Sears, S. ; FTC, Complaint Epic Marketplace, S. Rz. f.; FTC, Complaint Facebook, S. ff. Solove/Hartzog, Columbia L. Rev. , (). Z. B. FTC, Complaint HTC, S. Rz. ; FTC, Complaint Path, S. Rz. f.; FTC, Complaint Microsoft, S. Rz. ; FTC, Complaint Sears, S. Rz. . FTC, Complaint Path. FTC, Complaint Path, S. Rz. . FTC, Complaint Path, S. Rz. . FTC, CD&O Path, S. Rz. .
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
259
Diese Vorgaben lassen sich auf die Datenerhebung durch Betreiber anderer Sozialer Netzwerke übertragen, bei der sich die Darstellung ebenfalls auf die beispielhafte Aufzählung von Daten beschränkt.
bb) Datenerhebung auf Drittseiten Auch in Bezug auf die Datenerhebung auf Drittseiten etwa über Cookies, Social Plugins oder Pixel Tags lassen sich der Spruchpraxis der FTC Vorgaben hinsichtlich Informationspflichten und Wahlmöglichkeiten für die Nutzer entnehmen.
(1) Cookies Das Werbenetzwerk Scanscout setzte zur Verfolgung des Browsing-Verhaltens von Internetnutzern sog. Flash-Cookies ein, die nicht über die Browsereinstellungen entfernt werden können, obwohl es in seiner Datenschutzbestimmung den Eindruck erweckte, durch die Browsereinstellungen könnten Internetnutzer das Tracking verhindern.³⁵⁶ In diesem Fall setzte die FTC fest, dass die Information und Widerspruchsmöglichkeit über den Einsatz von Cookies herausgehoben und in einfach verständlicher Form zu erfolgen hat, und gab die genaue Formulierung vor: „Wir sammeln auf bestimmten Seiten Informationen über deine Online-Aktivitäten, um dir personalisierte Werbung zu schalten. Wenn du dem widersprechen möchtest, klicke hier.“³⁵⁷ Internetnutzer sind demnach über ihre Wahlmöglichkeiten bzgl. der Verwendung von Cookies leicht verständlich und hervorgehoben sowie vollständig zu informieren.
(2) Social Plugins und Pixel Tags Für die Datenerhebungen auf Drittseiten durch Pixel Tags und Social Plugins, die der Nutzer weder bemerken noch verhindern kann, müssen aus Wertungsgesichtspunkten im Minimum die gleichen Anforderungen an die Information und Wahlmöglichkeit gelten wie bei der Datenerhebung auf der Betreiberseite. Dem-
FTC, Complaint Scanscout, S. . FTC, D&O Scanscout, S. f.
260
Kapitel 4 USA
entsprechend ist über die Datenerhebung vollständig und verständlich zu informieren und die ausdrückliche Zustimmung des Nutzers einzuholen.³⁵⁸ In der Sache Sears, in der es um die Datenerhebung über eine App ging, bestimmte die FTC, dass der Hinweis in den Privacy Policies, wonach fast das gesamte Verhalten der Nutzer im Internet verfolgt wird, – angefangen von den Inhalten eines Warenkorbs über E-Mail-Verkehr bis hin zu geheimen Sitzungen – nicht ausreichend sei, wenn demgegenüber in der Einladungs-E-Mail nur darüber informiert werde, dass das Browsing-Verhalten protokolliert werde.³⁵⁹ In diesem Fall setzte die FTC fest, dass der Nutzer darüber auch in der Einladungs-E-Mail im Einzelnen zu informieren sei und bestimmte zudem, dass maßgebliche Informationen nicht in den Privacy Policies versteckt werden dürfen, sondern separat und gut sichtbar aufzuführen sind.³⁶⁰ Der Fall zeigt, dass eine umfassende Information in einer Datenschutzerklärung als nicht ausreichend angesehen werden kann, wenn bei Nutzern an anderer Stelle ein anderer Eindruck erweckt wird. Darüber hinaus sieht das Übereinkommen eine genaue Vorgabe vor, wie die Einwilligung des Nutzers einzuholen ist, nämlich indem der Nutzer einen Haken setzt in einer nicht vorausgewählten Box aus deren Text klar hervorgehen muss, dass dadurch die Datenerhebung in dem bestimmten Umfang erlaubt wird.³⁶¹
cc) Profilbildung Facebook beschreibt in seiner Datenrichtlinie, welche Daten das Unternehmen über den Nutzer sammelt.³⁶² Nicht erwähnt wird, dass durch die Anwendung verschiedener Auswertungsmethoden weitere personenbezogene Daten über einen Nutzer entstehen und so Profile über Nutzer erstellt werden.³⁶³ Insoweit ist die Aufzählung lückenhaft. Aufgrund der fehlenden Angaben macht sich ein verständiger Verbraucher ein falsches Bild vom Umfang der Datenerfassung. Die FTC bewertet die Vollständigkeit der Information über den Umfang der Datenerhebung als eine wichtige
Siehe oben: Teil , Kap. , D., V., ., c), aa). FTC, Complaint Sears, S. Rz. . FTC, Agreement Sears, S. ; Fang, Berkeley Tech. L. J. , f. (). FTC, Agreement Sears, S. . Facebook, Datenrichtlinie, Welche Arten an Informationen sammeln wir?. Siehe oben: Teil , Kap. , B., IV., ., a), cc); Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?; Facebook Research-Seite (ausschließlich in englisch abrufbar): https://rese arch.facebook.com/areas.
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
261
Information für den Nutzer, die seine Entscheidung, den Dienst zu nutzen und wie er ihn nutzt, insbesondere welche Daten er preisgibt, maßgeblich beeinflussen kann.³⁶⁴ Die fehlende Information ist damit geeignet, Nutzer zu ihrem Nachteil in die Irre zu führen. Dass ein Nutzer tatsächlich in die Irre geführt wurde, ist nicht erforderlich.³⁶⁵ Ein Verstoß gegen den FTCA kann somit angenommen werden.
dd) Datennutzung Auch hinsichtlich bestehender und möglicher zukünftiger Nutzungen der Daten können den bisherigen Verfahren der FTC Vorgaben zur Transparenz von Erklärungen und zum Design sowie zu Wahlmöglichkeiten der Nutzer entnommen werden.
(1) Aktuelle Nutzung Wird durch Privatsphäreeinstellungen oder das Design eines Dienstes ein falscher Eindruck darüber erweckt, welche Daten erhoben oder wie sie verwendet werden, kann ein Nutzer dadurch in die Irre geführt werden.³⁶⁶ Dies war bei Facebook nach Ansicht der FTC der Fall. Die Privacy Settings erweckten durch die Einstellungsmöglichkeiten im Hinblick auf die Sichtbarkeit etwa „nur für Freunde“ den Eindruck, dass tatsächlich auch nur diese Zugriff auf die eingestellten Informationen haben würden. Tatsächlich konnten aber auch Anbieter von Apps, die Freunde der Nutzer installiert hatten, auf diese Informationen zugreifen.³⁶⁷ Die FTC bestimmte deshalb, dass Facebook seine Mitglieder in einem separaten Dokument darüber aufklären muss, welche Datenkategorien durch welche Dritte einsehbar sind und dass hierfür eine Einwilligung des Nutzers eingeholt werden muss.³⁶⁸ Die Konsequenz daraus ist, dass Facebook eine informierte Einwilligung seiner Mitglieder für kommerzielle Nutzungen von Daten einzuholen hat, die der Nutzer aufgrund irreführender Umstände nicht erwarten muss. Darauf aufbauend stellt sich die Frage, ob durch die Einstellungsmöglichkeit „nur für Freunde“ auch darüber getäuscht wird, dass auch diese Kommunikation
Z. B. FTC, Complaint HTC, S. Rz. ; FTC, Complaint Path, S. Rz. f.; FTC, Complaint Microsoft, S. Rz. ; FTC, Complaint Sears, S. Rz. . FTC, Deception Policy, II. FTC, Complaint HTC, S. Rz. ff.; FTC, Complaint Path, S. Rz. f.; FTC, Complaint Facebook, S. Rz. f.; Solove/Hartzog, Columbia L. Rev. , (). FTC, Complaint Facebook, S. Rz. f. FTC, D&O Facebook, S. .
262
Kapitel 4 USA
durch den Betreiber Facebook für kommerzielle Zwecke ausgewertet wird.³⁶⁹ Facebooks Datenrichtlinie lässt sich entnehmen, dass die Informationen, die das Unternehmen über den Nutzer erhält, für Werbezwecke verwendet werden.³⁷⁰ Da keine Einschränkungen vorgenommen werden, kommt es darauf an, ob der Nutzer aufgrund der Einstellungsmöglichkeit „nur für Freunde“ davon ausgehen durfte, dass der Betreiber des Sozialen Netzwerks für kommerzielle Zwecke keinen Zugriff auf diese Informationen nimmt. Vor dem Hintergrund der Rechtsprechung zur Auswertung privater Nachrichten durch Betreiber von E-Mail- und Nachrichtendiensten, wonach diese Praktik nicht zu einer normalen Geschäftspraktik gehört,³⁷¹ könnte von entsprechenden Privatheitserwartungen für Nachrichten mit einem eingeschränkten Empfängerkreis der Nutzer ausgegangen werden. In der Folge müsste der Betreiber die Auswertungspraxis ausdrücklich und klarstellend mindestens in der Privacy Policy erwähnen.
(2) Zukünftige Nutzungsmöglichkeiten Wenn ein Dienstebetreiber über seine Datennutzung informiert, muss er den Nutzer auch über die Datenweitergabe an Dritte in Kenntnis setzen und seine Einwilligung einholen, da die Übermittlung von Daten an Dritte für die Entscheidung, einen Dienst zu nutzen, erheblich ist.³⁷² Sollten zukünftig Profilinformationen etwa an Personalverantwortliche verkauft werden, sind zudem die Vorgaben des FCRA zu beachten.³⁷³
ee) Ergebnis Die Beispiele lassen erkennen, dass die FTC sehr genaue Angaben über die erhobenen Daten an prominenter Stelle fordert, so dass hier prinzipiell die gleichen Probleme aufgeworfen werden wie bei der Informationspflicht nach deutschem Datenschutzrecht. Das bedeutet im Fall von Facebook, dass zahlreiche Formulierungen im Hinblick auf die Datenerhebung und ‐nutzung zu vage sind.³⁷⁴ Vgl. die Fragestellung der Zulässigkeit der Auswertung privater Nachrichten in Campbell v. Facebook, Inc., F. Supp. d , – (D. N.D.Cal. ). Facebook, Datenrichtlinie, Wie verwenden wir diese Informationen?. Google, Inc. Gmail Litigation, No. –MD––LHK = WL , (D. N.D.Cal. ); Campbell v. Facebook, Inc., F. Supp. d , – (D. N.D.Cal. ). FTC, D&O Goldenshores, S. . Vgl. U.S. v. Spokeo, Case No. :-cv--MMM-SH, S. f. (D. C.D.Cal. ), abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases///spokeocmpt. pdf. Siehe oben: Teil , Kap. , C., II., ., b), bb), ().
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
263
In Fällen unzureichender bzw. irreführender Information darüber, welche Daten gesammelt und zu welchen Zwecken sie genutzt werden, legte die FTC in ihren Verfügungen nicht nur fest, wie die Betroffenen künftig über die Datensammlung zu informieren sind, sondern zusätzlich, dass eine ausdrückliche Zustimmung der Betroffenen dazu einzuholen ist.³⁷⁵ Auf diese Weise möchte die FTC erreichen, dass die Betroffenen aufgrund der ihnen zur Verfügung gestellten Informationen auch tatsächlich eine bewusste Entscheidung treffen.³⁷⁶
2. Unlautere Geschäftspraktiken Ob ein Verhalten nach 15 U.S.C. § 45(a)(1) FTCA als unlauter eingestuft wird, wird anhand eines Dreistufentests überprüft.³⁷⁷
a) Dreistufentest Auf der ersten Stufe wird festgestellt, ob das Verhalten zu einem erheblichen Schaden beim Verbraucher geführt hat oder dazu geeignet ist. Als Schaden gelten objektiv messbare Nachteile, nicht jedoch lediglich subjektiv empfundene wie emotionale Beeinträchtigungen.³⁷⁸ Erheblichkeit wird zum Beispiel bei finanziellen Einbußen oder Verletzungen der Gesundheit angenommen. Auch ein geringes Schadensmaß für den Einzelnen kann einen erheblichen Schaden konstituieren, wenn eine große Anzahl Verbraucher betroffen ist.³⁷⁹ Um die Erheblichkeit eines Schadens festzustellen, überprüft die FTC zudem, ob das Verhalten gegen etablierte Vorgaben verstößt, wie sie durch Gesetze, das Common Law, Industriestandards oder auf andere Weise gebildet wurden.³⁸⁰ Die FTC zieht auch gesetzliche Wertungen heran, etwa dazu, ob Privatheitserwartungen in Bezug auf bestimmte Datenarten bestehen, um ein nicht spezifisch reguliertes Verhalten als unlauter zu qualifizieren.³⁸¹
FTC, D&O Facebook, S. ; FTC, CD&O Path, S. Rz. ; FTC, Agreement Sears, S. ; FTC, Agreement Upromise, S. . Wimmer, in: Kuschewsky, Data Protection, S. . FTC, Unfairness Policy; Solove/Hartzog, Columbia L. Rev. , (). FTC, Unfairness Policy; MacCarthy, ISJLP , (); Mathews-Hofmann, § :., S. ; Fang, Berkeley Tech. L. J. , (); EC DG JFS, Data Protection USA, S. . FTC, Unfairness Policy; MacCarthy, ISJLP , (); Mathews-Hofmann, § :., S. ; Fang, Berkeley Tech. L. J. , (); EC DG JFS, Data Protection USA, S. . FTC, Unfairness Policy; Solove/Hartzog, Columbia L. Rev. , (); MathewsHofmann, § :., S. . Z. B. FTC, US v. Accusearch, Inc., Complaint, Count ; Solove/Hartzog, Columbia L. Rev. , ().
264
Kapitel 4 USA
Auf der zweiten Stufe zur Feststellung der Unlauterkeit wird geprüft, ob der Schadenseintritt vernünftigerweise vom Verbraucher vermieden werden kann. Grundsätzlich obliegt es dem Verbraucher, sich ausreichend zu informieren, bevor er ein Produkt kauft oder einen Dienst in Anspruch nimmt, um negative Folgen und Schäden zu vermeiden.³⁸² Wird seine freie Entscheidung durch die in Rede stehende Handlung verhindert oder unzumutbar erschwert, kann er einen Schadenseintritt nicht vernünftigerweise vermeiden.³⁸³ Auf der dritten Stufe findet schließlich eine Abwägung statt, welche die Vorteile einbezieht, die das fragliche Verhalten für Verbraucher und den Wettbewerb mit sich bringt. Eine Handlung wird nur dann als unlauter qualifiziert, wenn ihr Gesamteffekt schädigende Wirkung hat.³⁸⁴ Dabei berücksichtigt die FTC auch die Kosten, die entstehen, wenn dem Unternehmen eine Verhaltensänderung auferlegt wird. Dies sind nicht nur die Kosten der betroffenen Parteien, also der Verbraucher und des Unternehmens, sondern auch gesamtgesellschaftliche Kosten, wie ein erhöhter Verwaltungsaufwand und Innovationshemmung.³⁸⁵
b) Fallgruppen und ihre Anwendung auf Profile Auch wenn die FTC selbst keine offizielle Liste mit generell als unlauter einzustufenden Verhaltensweisen herausgegeben hat, lassen sich bestimmte Fallgruppen anhand des bisherigen Vorgehens der FTC ableiten. Die FTC hat Unlauterkeit u. a. angenommen bei rückwirkenden Änderungen der Datenschutzrichtlinie,³⁸⁶ heimlicher Sammlung sensibler Daten sowie unfairer Gestaltung des Designs oder der Voreinstellungen.³⁸⁷
aa) Rückwirkende Änderung Wie bereits dargestellt,³⁸⁸ wurde bei Facebook ein unlauteres Verhalten darin gesehen, dass durch die Änderung der Nutzungsbedingungen Privatsphäreeinstellungen der Nutzer hinfällig wurden, ohne dass die Mitglieder darauf in aus-
FTC, Unfairness Policy. FTC, Unfairness Policy; EC DG JFS, Data Protection USA, S. ; Solove/Hartzog, Columbia L. Rev. , (). FTC, Unfairness Policy. FTC, Unfairness Policy; EC DG JFS, Data Protection USA, S. ; Solove/Hartzog, Columbia L. Rev. , (); Mathews-Hofmann, § :., S. . FTC, Agreement Facebook. Solove/Hartzog, Columbia L. Rev. , (). Siehe oben: Teil , Kap. , D., IV.
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
265
reichender Form hingewiesen worden wären.³⁸⁹ Für die Profilbildungspraxis ist dies jedoch irrelevant, da die Änderungen keine Auswirkungen auf die Datensammlung und profilbasierten Nutzungen hatten.
bb) Heimliche Sammlung sensibler Daten Möglicherweise könnte die Datenerhebung über den Like Button als unlautere Praktik gewertet werden. Im Fall In re Aspen Way sah die FTC den heimlichen Einsatz einer Ausspähsoftware auf geleasten Laptops als unlautere Handlung an. Die Software ermöglichte es, die Tasteneingaben aufzuzeichnen, Screenshots von jeder Nutzeraktivität zu erstellen und Aufnahmen über die Webcam zu tätigen.³⁹⁰ Zur Begründung der Unlauterkeit führt die FTC aus, dass durch die Überwachung eine Erhebung sensibler Daten zur Gesundheit und finanziellen Situation ermöglicht wurde. Dies begründe einen erheblichen Schaden für die Betroffenen, den sie aufgrund der Heimlichkeit des Vorgehens nicht vernünftigerweise vermeiden konnten und welcher nicht durch ausgleichende Vorteile aufgewogen werde.³⁹¹ Über die Datenerhebung durch Social Plugins wie den Like Button werden Internetnutzer auf der besuchten Webseite oft nicht informiert und sie können diese auch nicht wie bei Cookies ohne Weiteres selbst feststellen.³⁹² Die so erhobenen Daten können Rückschlüsse etwa auf die Gesundheit und finanzielle Verhältnisse des Seitenbesuchers zulassen.³⁹³ Zu einer Verifizierung kommt es jedoch erst durch den Abgleich mit weiteren Daten.³⁹⁴ Darin liegt ein Unterschied zu In re Aspen Way, bei dem die Software den direkten Zugriff auf eindeutige Informationen ermöglichte. Dennoch kann auch bei der Datenerhebung über Social Plugins ein erheblicher Schaden angenommen werden, jedenfalls dann, wenn sich die Daten zu einer verifizierten Tatsache verdichtet haben. Aufgrund der Heimlichkeit der Datenerhebung über Social Plugins fehlt Betroffenen die Möglichkeit diesen Schaden zu vermeiden. Ein Überwiegen der Vorteile des Like Button besteht nicht, da seine Funktionalität auch ohne eine damit einhergehende Datenerhebung erhalten werden kann.³⁹⁵ Es erscheint somit
FTC, D&O Facebook. FTC, Complaint Aspen Way, S. Rz. . FTC, Complaint Aspen Way, S. Rz. f. Z. B. KG MMR , – Like Button; siehe oben: Teil , Kap. , B., IV., ., a), cc). Siehe oben: Teil , Kap. , C., II. und Kap. , B., III. Siehe oben: Teil , Kap. , C., II., ., e). Siehe oben: Teil , Kap. , C., II., ., b), bb).
266
Kapitel 4 USA
vertretbar, die heimliche Datenerhebung über Social Plugins als unlautere Handlung einzustufen.
cc) Unfaire Gestaltung von Design und Voreinstellungen Eine Voreinstellung, wonach alle Daten für alle anderen Mitglieder des Sozialen Netzwerks einsehbar sind, könnte eine unfaire Ausgestaltung sein. So stufte die FTC im Fall Frostwire,³⁹⁶ der eine Filesharing-Software betraf, die Voreinstellung, dass zahlreiche Files automatisch mit der Installation des Programms öffentlich geteilt wurden, als unfair ein.³⁹⁷ Nutzer wurden nicht ausreichend über diese unmittelbare Konsequenz der Installation informiert und mussten auch nicht damit rechnen, da es sich um eine unübliche Praxis handelt. Nutzer, die nicht alle Ordner teilen wollten, mussten diese einzeln aus der automatischen Auswahl entfernen.³⁹⁸ Anders als in Frostwire werden bei Facebook Informationen der Profilseite nicht ohne weiteres Zutun des Nutzers geteilt, sondern erst nach Eingabe und Bestätigung des Nutzers, der die Möglichkeit hat, für die verschiedenen Kategorien im Profil (also zum Beispiel Status, religiöse Ansichten, Kontaktinformationen etc.) je eine Einstellung vor dem Teilen zu wählen. Unlauterkeit liegt insoweit nicht vor. Für die Profilbildung und -nutzung durch die Betreiber spielen Design und Voreinstellungen nur insoweit eine Rolle, als dadurch die Bereitschaft beeinflusst wird, Informationen einzustellen.³⁹⁹
3. EU-US Safe Harbor- bzw. Privacy Shield-Prinzipien Die Safe Harbor-Prinzipien sollen ebenso wie das neue Privacy Shield⁴⁰⁰ eine Annäherung des US-amerikanischen Privatheitsschutzes an unionsrechtliche Datenschutzstandards bewirken, sie führen aber nicht zu einem exakten Gleichlauf mit diesen. Die Regelung betrifft die Informationspflicht, Wahlmöglichkeit, Datenweitergabe, Sicherheit und Datenintegrität sowie das Auskunftsrecht und die Durchsetzung.⁴⁰¹ Im Hinblick auf die Profilbildung und ‐nutzung durch Betreiber Sozialer Netzwerke sind insbesondere die Informationspflicht und die Wahlmöglichkeit relevant.
FTC, Complaint Frostwire. FTC, Complaint Frostwire, S. Rz. . FTC, Complaint Frostwire, S. Rz. . Siehe oben: Teil , Kap. , D., V., ., b). Siehe oben: Teil , Kap. , C., II., ., c), bb). Entscheidung //EG, Anhang I.
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
267
a) Informationspflicht Das Safe Harbor- bzw. Privacy Shield-Prinzip der Information besagt, dass die Organisation Privatpersonen u. a. darüber informieren muss, zu welchem Zweck sie ihre Daten erhebt und verwendet, sowie an welche Dritte die Daten weitergegeben werden.⁴⁰² Dies entspricht den unionalen Vorgaben zum Inhalt der Information nach Art. 2 lit. h DSRL im Hinblick auf das Zweckbindungsgebot. Ähnlich wie bei der unionsrechtlichen Informationspflicht sind die Angaben dem Betroffenen unmissverständlich und deutlich erkennbar zu machen. Auch hinsichtlich des Zeitpunkts der Information besteht grundsätzlich Gleichlauf zwischen den Vorgaben des EU-Datenschutzrechts und den Safe Harbor-Prinzipien, nämlich bevor erstmalig die Daten erhoben werden. Allerdings ist dies nach den Safe Harbor-Prinzipien kein zwingendes Erfordernis.⁴⁰³ Die Formulierung „oder so bald wie möglich“ lässt einen breiten Spielraum für Datenverarbeiter.⁴⁰⁴ Wie die Ausführungen im deutschen Teil gezeigt haben, fehlt es an einer ausreichenden Information im Hinblick auf die Profilbildung und ‐nutzung durch die Betreiber Sozialer Netzwerke.⁴⁰⁵ Da Facebook angibt, mit den Safe HarborPrinzipien übereinzustimmen, liegt darin eine täuschende Geschäftspraktik nach 15 U.S.C. § 45(a)(1) FTCA.
b) Wahlmöglichkeit Nach den Safe Harbor-Prinzipien benötigt der Datenverarbeiter die ausdrückliche Zustimmung des Betroffenen nur, wenn sensible Daten an Dritte weitergegeben werden sollen oder eine Zweckänderung geplant ist,⁴⁰⁶ nach dem Privacy Shield grds. bei jeder Verarbeitung besonderer personenbezogener Daten.⁴⁰⁷ Eine Widerspruchsmöglichkeit genügt in Fällen, in denen personenbezogene Daten an Dritte weitergegeben werden oder für einen Zweck verwendet werden sollen, der mit dem von der betreffenden Person genehmigten Erhebungszweck unvereinbar ist.⁴⁰⁸ Darin liegt ein signifikanter Unterschied zum bisherigen Einwilligungserfordernis nach unionalem Datenschutzrecht. Das Privacy Shield sieht eine jederzeitige Widerspruchsmöglichkeit bei einer Datennut-
Entscheidung //EG, Anhang I, Informationspflicht. Entscheidung //EG, Anhang I, Informationspflicht. Böhm, Adequacy Safe Harbor Decision, S. . Siehe oben: Teil , Kap. , B., IV., ., a), cc) und C., II., ., b), bb), (). Entscheidung //EG, Anhang I, Wahlmöglichkeit, Abs. . EC, EU-U.S. Privacy Shield, Rn. . Die Widerspruchsmöglichkeit wird hier als Opt-out und die ausdrückliche Zustimmung als Opt-in bezeichnet, s. Entscheidung //EG, Anhang I, Wahlmöglichkeit.
268
Kapitel 4 USA
zung für Zwecke der Direktwerbung vor und entspricht insoweit Art. 21 II DSGVO.⁴⁰⁹
c) Anwendung auf Profile Sozialer Netzwerke In Bezug auf die Profilbildung durch Betreiber Sozialer Netzwerke ist fraglich, ob die Auswertung der Daten und ihre Nutzung für kommerzielle Zwecke mit dem ursprünglichen Erhebungszweck unvereinbar ist. Da Nutzer nicht ausreichend über die Profilbildung und -nutzung informiert werden, haben sie ihre Genehmigung allenfalls für den ersichtlichen Zweck der Kommunikation erteilt. Folglich kann die Nutzung der Daten zu kommerziellen Zwecken als unvereinbar mit dem ursprünglichen Erhebungszweck angesehen werden. Insoweit ist ein Gleichlauf mit den obigen Ausführungen zu täuschenden Geschäftspraktiken anzunehmen, wonach die Auswertung der Kommunikation zu kommerziellen Zwecken auf Kommunikationsplattformen nicht erwartet wird.⁴¹⁰ Auch die Auswertung von Nutzungsdaten etwa für Werbezwecke könnte als unvereinbar mit dem ursprünglichen Zweck angesehen werden, soweit sie aufgrund technischer Notwendigkeit anfallen und eine Auswertung für den Betrieb nicht erforderlich ist. In Bezug auf die von Drittseiten empfangenen Nutzungsdaten entspricht diese Auslegung den Vorgaben der FTC in Bezug auf OBA,wonach für webseitenübergreifendes Tracking eine Opt-out-Möglichkeit bestehen muss.⁴¹¹ Insoweit müsste eine Widerspruchsmöglichkeit im Hinblick auf die Profilbildung und ‐nutzung bei Sozialen Netzwerken vorgesehen werden. Dies ist bei Facebook nicht der Fall, so dass es auch nicht den Anforderungen der Safe HarborPrinzipien im Hinblick auf die Wahlmöglichkeit entspricht und damit eine weitere täuschende Geschäftspraktik nach 15 U.S.C. § 45(a)(1) FTCA gegeben ist. Dies gilt auch unter dem neuen Privacy Shield, das bei einer Datenverarbeitung zu Direktwerbungszwecken eine jederzeitige Widerspruchsmöglichkeit vorsieht.⁴¹²
d) Ergebnis Mangels ausreichender Information und Wahlmöglichkeit des Nutzers verstößt die Profilbildungs- und -nutzungspraxis der Betreiber Sozialer Netzwerke im Ergebnis also auch gegen die Safe Harbor- bzw. Privacy Shield-Prinzipien. Ein Verstoß
EC, EU-U.S. Privacy Shield, Rn. . Siehe oben: Teil , Kap. , D., V., ., c), dd), (). FTC, Consumer Privacy , S. , . Dazu ausführlich unten: Teil , Kap. ., F., II., ., a). Siehe oben: Kap. , D., V., ., b).
D. Die Rolle der FTC für den Schutz von US-Privacy-Interessen
269
gegen Safe Harbor-Grundsätze wird von der FTC ohne weitere Begründung als relevante Irreführung qualifiziert.⁴¹³
VI. Ergebnis Zur Profilbildung und ‐nutzung durch Betreiber Sozialer Netzwerke hat es noch kein FTC-Verfahren gegeben. Betrachtet man jedoch die jüngsten Verfügungen der FTC im Bereich der Online-Privacy und überträgt die dort gefundenen Maßstäbe und Kriterien zu Informationspflichten und Wahlmöglichkeiten Betroffener auf die Profilbildung und ‐nutzung Sozialer Netzwerke, zeigt sich, dass die FTC hier im Wesentlichen zu vergleichbaren Ergebnissen gelangen dürfte, wie sie sich aus der Anwendung des deutschen Datenschutzrechts ergeben. Die FTC fordert eine vollständige, einfach verständliche und deutlich hervorgehobene Information über die Datenerhebung sowie die Einholung der ausdrücklichen Zustimmung der Betroffenen, wenn der Betreiber in der Datenschutzbestimmung über seine Datenerhebungspraxis informiert. Eine Verpflichtung, überhaupt über die Datenerhebung zu informieren, folgt daraus jedoch nicht. Eine Informationspflicht besteht jedoch für jedes Unternehmen, das Safe Harbor-zertifiziert ist, wodurch die obenstehenden Vorgaben auch für Facebook eingreifen. Bei den Anforderungen an die Transparenz geht die FTC weiter als die Vorgaben des deutschen Datenschutzrechts, indem sie eine Angabe in den Privacy Policies nicht in jedem Fall genügen lässt, sondern eine separate und ins Auge fallende Information erfordert. Außerdem wird für die Prüfung der Informiertheit auf die Perspektive eines verständigen Verbrauchers abgestellt, dessen Vorstellungen über den Datenschutz des Dienstes nicht nur von der Datenschutzrichtlinie, sondern auch durch das Design und Werbemaßnahmen u. ä. beeinflusst werden. Diese Umstände können bei dem Ansatz der FTC einbezogen werden, wodurch eine realitätsnahe Beurteilung der Informiertheit möglich ist. In Fällen unzureichender Information sieht die FTC zudem ein ausdrückliches Zustimmungserfordernis vor.
Siehe bspw. FTC, Complaint American International Mailing Rn. . und ; FTC, Complaint Facebook Rn. ; FTC, Complaint MySpace Rn. ; FTC, Complaint World Innovators Rn. . und .
270
Kapitel 4 USA
E. Gliedstaatliche Regelungen Auch Staaten können im Bereich des Privatheitsschutzes einfachgesetzliche Regelungen erlassen, die über die Regelungen des Bundes hinausgehen dürfen.⁴¹⁴ Daneben fällt die Ausgestaltung der Privacy Torts als Deliktsrecht in den gliedstaatlichen Kompetenzbereich.⁴¹⁵
I. Einfachgesetzliche Regelungen ausgewählter Staaten Das Regelungswerk der US-Bundesstaaten im Bereich der Privacy variiert hinsichtlich der erfassten Bereiche und der Reichweite des Schutzes stark.⁴¹⁶ Die Internetindustrie der USA ist zu großen Teilen im Silicon Valley beheimatet. Vor diesem Hintergrund ist es bedeutsam, dass sich gerade Kalifornien im Datenschutz besonders hervorgetan hat.⁴¹⁷ Kalifornien hat nicht nur das Right to Privacy in seiner Verfassung festgeschrieben,⁴¹⁸ sondern auch Gesetze erlassen, die dem Datenschutz dienen.⁴¹⁹ Im Folgenden wird deshalb als Beispiel für gliedstaatliche Regelungsmöglichkeiten ein Überblick über Kaliforniens Normierungen zum Privatheitsschutz für den privaten Sektor gegeben, die auch für die Profilbildung und ‐nutzung Sozialer Netzwerke eine Rolle spielen können.
Siehe oben: Teil , Kap. , A., I., . Siehe oben: Teil , Kap. , A., II., ., b). Genz, Datenschutz, S. ; Gindin, SDLR , f. (). Die Tendenz geht zu einer verstärkten Privacy-Gesetzgebung der US-Staaten: Allein in wurden in über zehn Staaten Privacy-Laws erlassen, s. Sengupta, N. Y. Times . . . Mathews-Forsheit, § :., S. . Auch New York bemüht sich um eine Vorreiterrolle beim Schutz der Privatheit im Internet, bislang jedoch vergeblich. Der vorgebrachte Gesetzentwurf, wonach die Erhebung von Personally Identifiable Information (PII) nur mit Einwilligung des Betroffenen möglich sein sollte (N.Y. Assemb. B. A), wurde nicht mehr weiter verfolgt, s. http://assembly.state.ny.us/leg/?default_fld=&bn=A&term=&Summary=Y&Actions= Y&Text=Y&Votes=Y. Siehe oben: Teil , Kap. , B., III. EC DG JFS, Data Protection USA, S. , ff. Überblick über Gesetze zum Schutz der OnlinePrivatheit auf Bundesebene und in Kalifornien: http://www.privacy.ca.gov/privacy_laws/index. shtml#online.
E. Gliedstaatliche Regelungen
271
1. California Online Privacy Protection Act Durch die Einführung des Online Privacy Protection Act (CalOPPA)⁴²⁰ in 2004 ist Kalifornien derzeit der einzige Staat, der jeden Webseitenbetreiber, der Daten der Einwohner erhebt, verpflichtet, auf der Homepage eine deutlich sichtbare Datenschutzerklärung bereitzustellen und sich an diese zu halten.⁴²¹ Aufgrund des weiten Anwendungsbereichs kommt das Gesetz in seiner Wirkung einem Bundesgesetz gleich.⁴²² Es fehlt allerdings an klar definierten Rechtmitteln bzw. Strafen für den Fall der Nichtbeachtung.⁴²³ Die Datenschutzerklärung muss unter anderem Angaben darüber enthalten, welche Kategorien von sog. Personally Identifiable Information (PII)⁴²⁴ erhoben werden und an welche Parteien die Informationen weitergegeben werden können. PII wird in § 22577(a) CalOPPA definiert als Daten, die einer bestimmten Person zugeordnet werden können, wie insbesondere Name, Adresse, Sozialversicherungsnummer oder das Kfz-Kennzeichen.⁴²⁵ PII in diesem Sinne erfassen nur unmittelbar identifizierende Daten und damit nur einen kleinen Ausschnitt der Informationen, die vom Begriff der personenbezogenen Daten nach dem unionsrechtlichen Konzept erfasst sind. Die Datensammlung – auch entgegen der gewählten Browsereinstellung donot-track⁴²⁶ – sowie die Nutzung und Weitergabe sind online uneingeschränkt möglich, sofern der Betroffene in der Datenrichtlinie darüber aufgeklärt wird. Eine Widerspruchsmöglichkeit muss nicht vorgesehen werden.⁴²⁷ Für die Profilbildung Sozialer Netzwerke bietet das Gesetz deshalb keine Handhabe zur Einschränkung. Am 1. Januar 2015 trat in Kalifornien eine Ergänzung des CalOPPA in Kraft, die unter der Überschrift Privacy Rights for California Minors in the Digital World Regelungen zum Schutz der Privatheit Minderjähriger trifft.⁴²⁸ Erfasst sind Webseiten, Apps und sonstige Online-Dienste, die sich an in Kalifornien wohnhafte Minderjährige richten oder deren Betreiber Kenntnis davon haben, dass ihre Dienste auch von diesen genutzt werden, Cal. Bus. & Prof. Code §§ 22580(a),
Cal. Bus. & Prof. Code §§ – . Mathews-Forsheit, § :., S. . Mathews-Forsheit, § :., S. . Maxwell, Nexus: Chap. J. L. & Pol’y , (). In den US-Gesetzen existiert keine einheitliche Definition von PII. Dazu: Schwartz, ZD , ; Schwartz/Solove, N.Y.U. L. Rev. – (); Schwartz/Solove, Cal. L.Rev. , (). Cal. Bus. & Prof. Code § (a). Versuche auf Bundesebene, eine Do-Not-Track-Gesetzgebung einzuführen, sind bislang gescheitert, vgl. Do-Not-Track Online Act th Congress (). EC DG JFS, Data Protection USA, S. ; Spies, ZD , V. Cal. Bus. & Prof. Code §§ – .
272
Kapitel 4 USA
22581(a). Gem. Cal. Bus. & Prof. Code § 22581(a)(1) sind die betroffenen Anbieter grundsätzlich dazu verpflichtet, registrierten minderjährigen Mitgliedern die Löschung ihrer Inhalte und Informationen zu ermöglichen. Allerdings genügt es zur Einhaltung der Vorschrift, dass die Inhalte und Informationen nicht mehr für andere Nutzer oder die Öffentlichkeit sichtbar sind, Cal. Bus. & Prof. Code § 22581(d)(1), so dass auch diese Neuregelung keine Auswirkungen auf die Profilbildungsmöglichkeiten hat.
2. California Shine the Light Act Kalifornien hat darüber hinaus das Shine the Light-Gesetz⁴²⁹ erlassen, das Unternehmen vorschreibt, Betroffene darüber zu informieren, welche Kategorien von Daten an Dritte zu Marketingzwecken weitergegeben werden und zwar zusammen mit den Namen und Telefonnummern der Unternehmen, die Daten erhalten haben. Alternativ kann dem Betroffenen auch die Möglichkeit eingeräumt werden, der Datenweitergabe insgesamt zu widersprechen. Auch dieses Gesetz kann im Hinblick auf die Profilbildung nicht herangezogen werden. Für zukünftige Nutzungsmöglichkeiten der Datensätze durch Facebook kann es jedoch für die erforderliche Transparenz sorgen, wenn auch die Wahlmöglichkeit gegenüber unionsrechtlichen Vorgaben zurückbleibt. Private können bei Verletzungen einen Unterlassungsanspruch sowie Schadensersatz bis zu USD 3.000 pro Verstoß gerichtlich geltend machen, California Civil Code (Cal. Civ.) § 1798.84(c).⁴³⁰
3. California Invasion of Privacy Act Kaliforniens Invasion of Privacy Act (CIPA)⁴³¹ entspricht im Wesentlichen dem Wiretap Act. § 632 statuiert einen Schutz vertraulicher Kommunikation, der allerdings bei Internetsachverhalten keine Anwendung findet.⁴³²
Cal. Civ. Code § . (). Mathews-Forsheit, § :., S. ; Wimmer, in: Kuschewsky, Data Protection, S. ; Maxwell, Nexus: Chap. J. L. & Pol’y , (). Cal. Pen. Code § – . People v. Nakai, Cal. App.th , (Cal. Ct. App. ); Campbell v. Facebook, Inc., F. Supp. d , (D. N.D.Cal. ).
E. Gliedstaatliche Regelungen
273
4. Unfair Competition Laws und Uniform Deceptive Trade Practices Acts In allen Staaten existieren zudem auch als Little FTC Acts bekannte⁴³³ Gesetze zu täuschenden Handelspraktiken, Uniform Deceptive Trade Practices Acts (UDTPA), oder zum unlauteren Wettbewerb, Unfair Competition Laws (UCL), die täuschende und unlautere Handelspraktiken verbieten und auch im Bereich der Privacy grundsätzlich eine prägende Rolle spielen.⁴³⁴ Im Ergebnis scheitern jedoch auf das UCL und den UDTPA gestützte Klagen vor den US-Gerichten, da bei der Erhebung personenbezogener Daten im Internet zu kommerziellen Zwecken ein objektiv messbarer Schaden nicht bewiesen werden kann,⁴³⁵ was jedoch Voraussetzung für ein Klagerecht (standing) ist.⁴³⁶
5. Rechtsdurchsetzung Die Durchsetzung erfolgt typischerweise zum einen durch Behörden (state agencies), insbesondere den Generalstaatsanwälten (state general attorneys),⁴³⁷ und zum anderen durch Klagen Privater.⁴³⁸ 2001 richtete Kalifornien eine Aufsichtsbehörde für den Datenschutz (Office for Privacy Protection) mit der Befugnis zur Überwachung der Verarbeitung personenbezogener Daten ein.⁴³⁹ Zur Verbesserung der Durchsetzung wurde 2012 in Kalifornien eine eigene Privacy Enforcement and Protection Unit geschaffen.⁴⁴⁰ Ähnliche Einrichtungen finden sich auch in Colorado, New York und Wisconsin.⁴⁴¹ Daneben können die state general attorneys auch Richtlinien (guidelines) herausgeben, die zwar keine Bindungswirkung haben, aber richtungsweisende Empfehlungen für Unternehmen darstellen.
Sovern, Fordham L. Rev. , (). Solove/Schwartz, Privacy Law, S. ; Sovern, Fordham L. Rev. , (). In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d , (D. Del. ); In re Facebook Privacy Litigation, F. Supp. d , (D. N.D.Cal. ); Dwyer v. Am. Express Co., N.E.d , (Ill. Ct. App. ). Bspw. Cal. Bus. & Prof. Code § ; Minn. Stat. § D., subd. . Scott, Computer Info., .; Grimm/Roßnagel, DuD , , . Mathews-Forsheit, § :., S. ; Sovern, Fordham L. Rev. , f. (). Genz, Datenschutz, S. . Cal. Health & Saf. Code § ()(a). Mathews-Forsheit, § :., S. ; Maxwell, Nexus: Chap. J. L. & Pol’y , ().
274
Kapitel 4 USA
6. Ergebnis Bislang haben die gliedstaatlichen Regelungen im Hinblick auf die Profilbildung und ‐nutzung Sozialer Netzwerke – bis auf die Verpflichtung, eine Privacy Policy bereitzustellen – noch keinen Einfluss genommen.
II. Common Law Privacy Torts Im folgenden Abschnitt wird analysiert, wie die Rechtsprechung, die in erheblichem Maße zur Konturierung des Begriffs der Privacy beiträgt,⁴⁴² Privacy Torts im Hinblick auf die Profilbildung und ‐nutzung auslegt.
1. Intrusion into seclusion Nach Rest.2d Torts, § 652B liegt das Delikt des Eingriffs in den Privatbereich vor, wenn eine Person absichtlich körperlich oder auf andere Weise in die Abgeschiedenheit oder Angelegenheiten einer anderen Person eindringt und dies von einer vernünftigen Person als in hohem Maße beleidigend empfunden wird.
a) Eindringen in den Privatbereich Da auch das Eindringen in nicht-räumliche Bereiche eine Verletzungshandlung darstellt,⁴⁴³ könnte das Delikt grundsätzlich auf die Datenerhebung und ‐nutzung im Internet angewendet werden.⁴⁴⁴ US-Gerichte⁴⁴⁵ und große Teile der Literatur⁴⁴⁶ lehnen dies jedoch aufgrund konzeptioneller Charakteristika des Delikts ab.⁴⁴⁷
aa) Datenerhebung Ein Eingriff in den Privatbereich wird nur angenommen, wenn die Information nicht bereits öffentlich ist und damit berechtigte Privatheitserwartungen beste-
Genz, Datenschutz, S. ; Harper, in: AICGS Policy Report, S. . ALI, Comment b) Rest.d Torts, § B. Solove, Stan. L. Rev. , (); Purtova, Property Rights, S. . Z. B. U.S. v. Gines-Perez, F. Supp. d , (D. P.R. ); Yath v. Fairview Clinics, NP, N.W.d , (Minn. Ct. App. ). Richards, JTHTL , (); Litman, Stan. L. Rev. , (); Schwartz, Vand. L. Rev. , (); Kang, Stan. L. Rev. , (). Purtova, Property Rights, S. .
E. Gliedstaatliche Regelungen
275
hen.⁴⁴⁸ Dies ist in Übertragung der third-party doctrine des vierten Verfassungszusatzes grundsätzlich bei Informationen der Fall, die der Betroffene freiwillig Dritten offenbart hat⁴⁴⁹ und in der Regel bei Sachverhalten, die sich für die Öffentlichkeit sichtbar abspielen (public locus doctrine).⁴⁵⁰ Folglich genießen nach der herrschenden Rechtsprechung öffentlich zugängliche Informationen keinen Privatheitsschutz, sondern nur „geheime oder private“ Daten.⁴⁵¹ Nach Ansicht der Gerichte besteht hinsichtlich frei im Internet verfügbarer Daten keine Zurückgezogenheit.⁴⁵² Nach einem Bericht des Senatsausschusses für Handel, Wissenschaft und Transport aus dem Jahr 2013 muss ein vernünftiger Verbraucher etwa damit rechnen, dass sog. data broker ohne Einwilligung der Betroffenen auf öffentlich zugängliche Informationen zugreifen, um detaillierte Profile über ihre Charakteristika zu erstellen und ihr zukünftiges Verhalten vorherzusagen. Mangels berechtigter Privatheitserwartungen bestehe kein Eingriff in den Privatbereich.⁴⁵³ Unternimmt der Betroffene jedoch Maßnahmen zum Schutz seiner Privatsphäre, wie etwa eine Eingrenzung der Öffentlichkeit bei Sozialen Netzwerkseiten, könnte von einer Zurückgezogenheit gesprochen werden.⁴⁵⁴ Ob dies auch gegenüber den Betreibern Sozialer Netzwerke gilt, ist davon abhängig, ob bzgl. des erhobenen Datums berechtigte Privatheitserwartungen gegenüber dem Betreiber des Sozialen Netzwerks bestehen. Bei Inhalts- und Nutzungsdaten, die auf der Website des Sozialen Netzwerks erhoben werden, handelt es sich um freiwillig preisgegebene Daten, weshalb insoweit keine berechtigten Privatheitserwartungen bestehen.⁴⁵⁵ Fraglich ist, ob dies auch für private Nachrichten gelten kann. Die Rechtsprechung hat anerkannt, dass die Offenbarung einer Information gegenüber Siehe oben:Teil , Kap. ., B., II., ., a); Abernathy v. Thornton, So.d , (Ala. ); Pearson v. Dodd, F.d , f. (D.C. Ct. App. ); Johnson v. Stewart, So.d , (Ala. ). Siehe oben: Teil , Kap. ., B., II., ., a); Johnson v. Stewart, So.d , f. (Ala. ); Zhu, N.Y.U. L. Rev. , (). Fogel v. Forbes, Inc., F. Supp. , (E.D. Pa. ). Remsburg v. Docusearch, Inc., NH , (N.H. ); Nader v. General Motors Corp., N.Y.d , (N.Y. Ct. App. ). U.S. v. Gines-Perez, F. Supp. d , (D. P.R. ); Yath v. Fairview Clinics, NP, N.W.d , (Minn. Ct. App. ). Staff of S. Comm. on Commerce, Science, and Trans., Data Broker, S. . Konop v. Hawaiian Airlines, Inc., F.d , f. (th Cir. ); Pabarcus, Wm. Mitchell L. Rev. , , ff. (). Yath v. Fairview Clinics, NP, N.W.d , f. (Minn. Ct. App. ); Sandler v. Calcagni, F. Supp. d , C. (D. Me. ); Moreno v. Hanford Sentinel, Inc., Cal. App. th , (Cal. Ct. App. ). Zu Nutzungsdaten einer Kreditkarte Dwyer v. Am. Express Co., N.E.d , (Ill. Ct. App. ).
276
Kapitel 4 USA
einem Dritten nicht zwingend zu einer vollständigen Aufgabe berechtigter Privatheitserwartungen führt.⁴⁵⁶ Private Nachrichten können insoweit mit Briefen verglichen werden, bei denen vernünftigerweise davon ausgegangen werden kann, dass zwar die Verbindungsdaten von der Post wahrgenommen werden, nicht jedoch der Inhalt. In der Sache Google, Inc. Gmail Litig. entschied das Landgericht des Northern District (N.D.) of California 2013, dass die Auswertung von E-Mails zu Werbezwecken nicht zu den üblichen Geschäftspraktiken zählt.⁴⁵⁷ Bei der Datenerhebung mittels Social Plugins und Pixel Tags kann die Freiwilligkeit der Datenpreisgabe in Frage gestellt werden, da sie sich in der Regel der Kenntnis des Betroffenen entzieht.⁴⁵⁸ Informieren Betreiber Sozialer Netzwerke in ihrer Privacy Policy über die Datenerhebungspraktiken, bestehen insoweit keine berechtigten Privatheitserwartungen der Nutzer. Dies gilt auch für die Datenerhebung auf Drittseiten mittels Tracking-Technologien.⁴⁵⁹ Auch ohne eine entsprechende Aufklärung der Nutzer kann es an einer berechtigten Privatheitserwartung fehlen, wenn ein vernünftiger Verbraucher davon ausgehen muss, dass sein Surfverhalten im Internet von Betreibern Sozialer Netzwerke überwacht wird. Eine gerichtliche Entscheidung dazu fehlt.
bb) Profilbildung In Dwyer v. Am. Express Co. ⁴⁶⁰ klagten American Express-Kunden aufgrund der Unternehmenspraxis, Kundenprofile anhand des Kaufverhaltens zu generieren. Das zuständige US-Gericht entschied, dass das Erheben und Zusammenführen der Kundendaten sowie die Profilbildung, also das Generieren neuer Daten über den Nutzer anhand der vorhandenen Daten, kein Eindringen in die Abgeschiedenheit darstellt, weil es sich um freiwillig preisgegebene Daten handelt.⁴⁶¹ Dieser Argumentation folgend können sämtliche Daten, die bei der Nutzung Sozialer Netzwerkseiten anfallen – also sowohl Nutzungs- als auch Inhaltsdaten – durch den Betreiber zusammengeführt und ausgewertet werden, da diese Daten
Sanders v. ABC, Inc., Cal.th , (Cal. ); Shulman v. Group W Productions, Inc., Cal. Rptr.d , (Cal. ). Google, Inc. Gmail Litigation, No. –MD––LHK = WL , (D. N.D.Cal. ). Brotherton, Elmory L.J. , (). Deering v. CenturyTel, Inc., No. CV– – –BLG–RFC = WL , (D. Mont. ). Dwyer v. Am. Express Co., N.E.d (Ill. Ct. App. ). Dwyer v. Am. Express Co., N.E.d , (Ill. Ct. App. ).
E. Gliedstaatliche Regelungen
277
im Rahmen der Nutzung des Dienstes entstehen und deshalb nach der Wertung des Gerichts als freiwillig zur Verfügung gestellte Daten gelten. Überträgt man jedoch die den Sondervoten in United States v. Jones ⁴⁶² und der Entscheidung Klayman v. Obama ⁴⁶³ zugrundeliegende Wertung⁴⁶⁴ auf die Profilbildung durch Betreiber Sozialer Netzwerke, kann in der Erstellung von Persönlichkeitsprofilen ein Eingriff in den Privatbereich gesehen werden, wenn die Auswertung der über den Zeitraum mehrerer Jahre gespeicherten Daten ein Abbild des Lebens einer Person ergibt und Rückschlüsse auf vertrauliche Informationen möglich sind. Auch bzgl. der Datenerhebung durch Private gilt, dass die Privatheitserwartungen hinsichtlich aggregierter Daten größer sind als für jedes Datum für sich genommen (Mosaik-Theorie).⁴⁶⁵ In United States Department of Justice v. Reporters Committee for Freedom of the Press ⁴⁶⁶ stellte der US Supreme Court bereits 1989 fest, dass die Herausgabe eines Vorstrafenregisters an die Presse einen unberechtigten Eingriff in den Privatbereich darstellen kann, auch wenn die Informationen einzeln öffentlich zugänglich sind (practical obscurity).⁴⁶⁷ Inwieweit die Rechtsprechung der Mosaik-Theorie im Bereich der Profilbildung durch Private folgen wird, bleibt abzuwarten.
cc) Datenweitergabe Die Weitergabe von Daten, die der Betroffene selbst freiwillig zugänglich gemacht hat, stellt grundsätzlich keinen Eingriff in den Privatbereich dar.⁴⁶⁸ Geschützt sind nur Daten, von denen Betroffene vernünftigerweise erwarten dürfen, dass sie auch nach der Weitergabe an Dritte privat bleiben. Angenommen wurde dies für medizinische Daten,⁴⁶⁹ nicht jedoch für Informationen über den Arbeitsplatz,⁴⁷⁰ Telefonnummern⁴⁷¹ oder die Versicherungshistorie.⁴⁷²
U.S. v. Jones, S. Ct. (). Klayman v. Obama, F. Supp. d , (D. D.C. ). Siehe oben: Teil , Kap. , B., II., ., a), cc), (). Zhu, N.Y.U. L. Rev. , (). U.S. Dept. of Justice v. Reporters Committee, U.S. (). U.S. Dept. of Justice v. Reporters Committee, U.S. , , (). Johnson v. Stewart, So.d , f. (Ala. ). Solove/Schwartz, Information Privacy, S. . Remsburg v. Docusearch, Inc., NH , (NH ). Johnson v. Stewart, So.d , (Ala. ); Seaphus v. Lilly, F. Supp. , (D. N.D. Ill. ). Tureen v. Equifax, Inc., F.d , (th Cir. ).
278
Kapitel 4 USA
dd) Ergebnis Nach der bisherigen Rechtsprechung liegt in der Datenerhebung und -nutzung durch Soziale Netzwerke grundsätzlich kein Eindringen in die Abgeschiedenheit. In Ausnahmefällen, insbesondere bei Gesundheitsdaten, können berechtigte Privatheitserwartungen bestehen. Ob die Erstellung von lebensabbildenden Persönlichkeitsprofilen künftig in Folge der Sondervoten in United States v. Jones als Eingriff in den Privatbereich gewertet wird, ist offen.
b) In hohem Maße beleidigend Hinzu kommt, dass das Eindringen von einer vernünftigen Person als in hohem Maße beleidigend bzw. anstößig (highly offensive) empfunden werden muss.⁴⁷³ Zur Bestimmung werden objektive Merkmale herangezogen, nämlich die Schwere und Form des Eingriffs in die Privatsphäre, sowie in welchem Kontext er erfolgt und mit welcher Intention.⁴⁷⁴ Die Fälle, die sich gegen das Internettracking wenden, stützen sich meist nicht auf Intrusion,⁴⁷⁵ da jede Datenerhebung für sich genommen keinen schwerwiegenden Eingriff in die Privatsphäre des Betroffenen darstellt.⁴⁷⁶ Ausgehend von den Sondervoten in United States v. Jones ⁴⁷⁷ könnte auf die Datenaggregation und ‐auswertung abgestellt werden. Die Generierung sensibler Informationen aus scheinbar belanglosen Daten wie etwa im Beispiel der Analyse des Kaufverhaltens zum Targeting von Schwangeren⁴⁷⁸ oder die weitgehend vollständige Abbildung der Persönlichkeit könnten von einer vernünftigen Person als in hohem Maße anstößig empfunden werden.⁴⁷⁹
Rest.d Torts, § B; Wolf v. Regardie, A.d , (D.C. Ct. App. ). PETA v. Bobby Berosini, Ltd., P.d , f. (Nev. ); Shulman v. Group W Productions, Inc., Cal. Rptr.d , (Cal. ); Remsburg v. Docusearch, Inc., NH , (NH ). In re DoubleClick, Inc. Privacy Litig., F. Supp.d (D. S.D.N.Y ); In re Google, Inc. Cookie Placement Consumer Litig., F. Supp. d (D. Del. ). Ablehnung der Voraussetzung im Offline-Bereich: Dwyer v. Am. Express Co., N.E.d , (Ill. Ct. App. ); Belgum, Rich. J.L. & Tech. Rz. (); Hotaling, CommLaw Conspectus , (); Solove, Stan. L. Rev. , , (); Pabarcus, Wm. Mitchell L. Rev. , (). Siehe oben: Teil , Kap. , B., II., ., a), aa), (). Siehe oben: Einl., I. Zhu, N.Y.U. L. Rev. , f. ().
E. Gliedstaatliche Regelungen
279
2. Appropriation und Right of Publicity Gem. Rest.2d Torts, § 562C liegt eine Verletzung der Privatheit auch dann vor, wenn jemand den Namen oder das Bildnis einer anderen Person unbefugt für seine Zwecke oder zu seinem eigenen Vorteil verwendet. Geschützt werden soll das Recht des Einzelnen an seiner eigenen Person, soweit sie durch seinen Namen oder sein Bildnis wiedergegeben wird.⁴⁸⁰ In der Literatur wird zwischen Appropriation und dem Right of Publicity unterschieden.⁴⁸¹ Dabei bezieht sich Appropriation auf psychische Verletzungen bzw. Verletzungen der Würde, wohingegen es bei dem Right of Publicity um materielle Interessen, also das Verwertungsrecht hinsichtlich der eigenen Person geht.⁴⁸² Die einzelnen Staaten haben meist eine der beiden oder beide Ausprägungen anerkannt, oft ohne eine Unterscheidung, wie die Literatur sie trifft, vorzunehmen.⁴⁸³ Die h.M. der Literatur hält das Delikt grundsätzlich für geeignet, einen Rechtsbehelf gegen die Nutzung persönlicher Informationen für zielgerichtete Werbung zu bieten,wenn aus diesen Informationen ein materieller Vorteil gezogen wird.⁴⁸⁴ So wendeten sich Facebook-Nutzer gegen die Verwendung ihres Bildes in Werbeanzeigen, die ihren Freunden für Produkte gezeigt werden, die der Nutzer zuvor „gelikt“ hat („Sponsored Stories“).⁴⁸⁵ Das Verfahren wurde durch eine Einigung beendet,⁴⁸⁶ die derzeit vor dem Federal Court of Appeals des neunten Gerichtsbezirks überprüft wird.⁴⁸⁷ Vor den US-Gerichten gescheitert sind bislang die Versuche, das Delikt auf die Datenaggregation und -weitergabe anzuwenden.⁴⁸⁸ In Shibley v. Time, Inc. wies das Gericht eine Sammelklage ab, die sich gegen die Praxis von Zeitschriften wie dem Time Magazine und Playboy richtete, Abonnementenlisten ohne die Einwilligung der Betroffenen an Briefwerbungstreibende zu verkaufen. Nach Ansicht des Gerichts schützt das Delikt der unbefugten kommerziellen Nutzung lediglich davor,
ALI, Comment a) Rest.d Torts, § C. McClurg, Nw. U. L. Rev. , (); Purtova, Property Rights, S. . McClurg, Nw. U. L. Rev. , (). Bergelson, U.C. Davis L. Rev. , (); Purtova, Property Rights, S. ; McClurg, Nw. U. L. Rev. , (). McClurg, Nw. U. L. Rev. , ff. (); Solove, Stan. L. Rev. , (); Lin, Berkeley Tech. L.J. , (). Fraley v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ). Einigung abrufbar unter: http://ia.us.archive.org//items/gov.uscourts.cand. /gov.uscourts.cand....pdf. Revisionantrag abrufbar unter: http://www.citizen.org/documents/Fraley-v-Facebook-Objec tion.pdf. Dwyer v. Am. Express Co., N.E.d , (Ill. Ct. App. ); Shibley v. Time, Inc., Ohio App. d , (Ohio Ct. App. ).
280
Kapitel 4 USA
dass der Name oder das Bild der Betroffenen dazu verwendet wird, ein Produkt zu bewerben.⁴⁸⁹ In Dwyer v. Am. Express Co. lehnte das Gericht eine unbefugte Nutzung im Fall des Verkaufs von Namenslisten von Kreditkartenbesitzern mit der Begründung ab, dass der individuelle Name an sich keinen Wert besitze, sondern erst die von der Kreditkartengesellschaft aggregierte Liste. Dem Einzelnen entstünde also kein materieller Verlust.⁴⁹⁰ Im Ergebnis lässt sich festhalten, dass nach der derzeitigen Rechtsauslegung das Delikt Appropriation nicht auf die Profilbildung und ‐nutzung Sozialer Netzwerke angewendet wird.⁴⁹¹
3. Disclosure Eine personenbezogene Datenweitergabe findet bei Sozialen Netzwerken über das vom Nutzer festgelegte Maß in der Regel nicht statt.⁴⁹² Sollten die Datensätze zukünftig für Auskunftszwecke gegenüber Dritten genutzt werden, könnte das Delikt der unbefugten Veröffentlichung gem. Rest.2d Torts, § 652D zur Anwendung kommen. Es greift ein, sofern private Daten über eine bestimmte Person ohne ihre Zustimmung an die Öffentlichkeit weitergeben werden, sofern dies von einer vernünftigen Person als im hohen Maße beleidigend bzw. anstößig empfunden wird. In Sozialen Netzwerken öffentlich eingestellte Daten werden nicht als private Daten qualifiziert, da es insoweit an berechtigten Privatheitserwartungen fehlt.⁴⁹³ Nur soweit Informationen betroffen sind, die der Allgemeinheit nicht ohnehin zugänglich sind, ist der Schutzbereich eröffnet („open to the public eye“ rule). ⁴⁹⁴ In Übertragung der third-party doctrine dürfen grundsätzlich auch Daten, die Nutzer Sozialer Netzwerke auf ihrer Profilseite öffentlich zugänglich machen, veröffentlicht werden.⁴⁹⁵
Shibley v. Time, Inc., Ohio App. d , f. (Ohio Ct. App. ). Dwyer v. Am. Express Co., N.E.d , (Ill. Ct. App. ). Dazu kritisch McClurg, Nw. U. L. Rev. , ff. (); Solove, Stan. L. Rev. , (). Siehe oben: Teil , Kap. , C., III., . Siehe oben: Teil , Kap. , E., II., ., a); Sandler v. Calcagni, F. Supp. d , C. (D. Me. );Yath v. Fairview Clinics, NP, N.W.d , f. (Minn. Ct. App. ); Mills, Privacy, S. ; Moreno v. Hanford Sentinel, Inc., Cal. App. th , (Cal. Ct. App. ). Fry v. Ionia Sentinel-Standard, Mich. App. , (Mich. Ct. App. ). Moreno v. Hanford Sentinel, Inc., Cal. App. th , (Cal. Ct. App. ); Bentley v. Trinity Christian Academy, Case No. -CA--MR = WL (Ky. Ct. App. ).
E. Gliedstaatliche Regelungen
281
Sofern Facebook zukünftig Profilinformationen selektiv etwa an Arbeitgeber, Versicherer oder Kreditinstitute herausgibt, begründet dies keine Verletzung der Privatheit nach dem disclosure tort, da eine Weitergabe von Daten an nur Einzelne nicht erfasst wird, sondern nur Veröffentlichungen gegenüber der Allgemeinheit.⁴⁹⁶ Sofern Betreiber Sozialer Netzwerke Informationen zukünftig tatsächlich der Öffentlichkeit zugänglich machen sollten, indem sie etwa selbst als Nachrichtenkanal tätig werden, muss die Veröffentlichung für eine vernünftige Person gem. Rest.2d Torts, § 652D(a) in hohem Maße anstößig (highly offensive) sein, um eine Verletzung der Privatheit zu begründen. Dies wird beispielsweise bei der Veröffentlichung von Daten zur Gesundheit⁴⁹⁷ oder Sexualität⁴⁹⁸ angenommen. Der Eingriff kann durch ein legitimes Interesse der Öffentlichkeit an den Informationen gerechtfertigt werden (newsworthyness), Rest.2d Torts, § 652D(b).
4. False light Hinsichtlich zukünftiger Nutzungsmöglichkeiten erscheint prinzipiell auch die Annahme einer Falschdarstellung gem. Rest.2d Torts, § 652E denkbar, wenn durch die Analysealgorithmen falsche Informationen in das Profil des Betroffenen einfließen und diese veröffentlicht werden. Ebenso wie beim disclosure tort muss die Veröffentlichung gegenüber der Allgemeinheit erfolgen, so dass insoweit auf die obige Darstellung verwiesen wird.⁴⁹⁹ Voraussetzung ist zudem, dass die Falschdarstellung höchst beleidigend für eine vernünftige Person ist und der Täter wissentlich oder zumindest fahrlässig gehandelt hat, Rest.2d Torts, § 652E(a)(b).
5. Einwilligung Für alle Deliktsgruppen gilt, dass eine vorherige Zustimmung des Betroffenen die Handlung rechtfertigt, Rest.2d Torts, § 892 A.⁵⁰⁰ Die Einwilligung kann sowohl ausdrücklich als auch konkludent erfolgen.⁵⁰¹
ALI, comment on Rest.d Torts, § D; Lin, Berkeley Tech. L.J. , (). Z. B. Karraker v. Rent-A-Center, Inc., F.d , (th Cir. ). Greenwood v. Taft, Stettinius & Hollister, Ohio App. d , (Ohio Ct. App.); Simpson v. Burrows, F. Supp. d , (D. Or. ). Young v. Barker, Mich. App. , (Mich. Ct. App. ); siehe oben: Teil , Kap. , E., II., . Lin, Berkeley Tech. L.J. , (); McClurg, Nw. U. L. Rev. , ().
282
Kapitel 4 USA
Fraglich ist, ob hinsichtlich der Datennutzung von Betreibern Sozialer Netzwerke von einer wirksamen Einwilligung gesprochen werden kann. Das ist jedoch schon deshalb nicht der Fall, weil über die Profilbildung und -nutzung nicht hinreichend aufgeklärt wird.⁵⁰² Darüber hinaus wäre auch bei einer ausreichenden Aufklärung problematisch, ob ein vernünftiger Betreiber eines Sozialen Netzwerks in der Anmeldung eines Mitglieds eine konkludente Einwilligung sehen darf.⁵⁰³ Da Mitglieder Sozialer Netzwerke derzeit lediglich bestätigen müssen, die Datenschutzerklärung gelesen zu haben⁵⁰⁴ und Studien belegen, dass sie dies aber in der großen Mehrheit nicht tun,⁵⁰⁵ bleiben ohne eine zusätzliche, affirmative Handlung wie das aktive Setzen eines Häkchens Zweifel, die zu Lasten des Betreibers gehen, der den rechtfertigenden Tatbestand beweisen muss.⁵⁰⁶
6. Rechtsdurchsetzung Das Common Law wird im Rahmen von zivilrechtlichen Klagen durchgesetzt. Wie im Rahmen der Durchsetzung des ECPA dargestellt,⁵⁰⁷ werden bei Internetsachverhalten gegen Eingriffe in die Privatheit zunehmend Sammelklagen erhoben.⁵⁰⁸ Klagen gegen Profilbildungs- und -nutzungspraktiken waren jedoch, wie in diesem Abschnitt dargestellt, nicht erfolgreich und scheitern vielfach bereits am erforderlichen Klagerecht.⁵⁰⁹
7. Ergebnis Der Standard der vernünftigen Privatheitserwartungen führt bei Sozialen Netzwerken für Informationen, die Freunden oder der Öffentlichkeit zugänglich ge-
Z. B. Neff v. Time, Inc., F. Supp. , (D. W.D.Pa. ); Jones v. Corbis Corp., F. Supp. d , (D. C.D.Cal. ). Siehe oben: Teil , Kap. , B., IV., ., a), aa) und C., II., ., b). McClurg, Nw. U. L. Rev. , (). Siehe oben: Teil , Kap. , C., II., ., a). Siehe oben: Teil , Kap. , B., II., ., a). Kimbrough v. Coca-Cola/USA, S.W.d , f. (Tex. Ct. App. ). Siehe oben: Teil , Kap. , C., I., . Sachs, Marketing, S. ; Schwartz, DJT , S. O f., O ; Schwartz, in: Stern/Peifer/ Hain, Datenschutz, S. ; Lane v. Facebook, Inc., F.d (th Cir. ); Fraley v. Facebook, Inc., F. Supp. d (D. N.D.Cal. ). Siehe oben: Teil , Kap. , B., III., .
F. Selbstregulierung
283
macht werden, zu einem Verlust des Schutzes und wird als unpassend empfunden.⁵¹⁰ Die Gerichte bewerten zudem einzelne Datenerhebungen isoliert. Bei der Profilbildung ergibt sich die besondere Gefahr jedoch erst aus der Zusammenschau der erhobenen Daten und ihrer Auswertung.⁵¹¹ Eine Übertragung der in den Sondervoten zu United States v. Jones gefunden Wertung bzgl. der Schutzwürdigkeit von Privatheitserwartungen bei aggregierten Daten würde zu einer Erweiterung des Privatheitsschutzes gegenüber der Profilbildung durch Betreiber Sozialer Netzwerke führen. Die große Mehrheit der Datenerhebungs- und ‐nutzungsfälle wird aufgrund des Unternehmenssitzes großer Internetfirmen im Silicon Valley vor dem 9. Gerichtsbezirk, insbesondere im N.D. of California, verhandelt. Eine Rechtsprechungsänderung in diesem Gerichtsbezirk hätte deshalb über die Staatsgrenzen hinausreichende Konsequenzen.⁵¹² Im Ergebnis bleibt festzuhalten, dass die Privacy Torts derzeit aufgrund der engen Auslegung des Privatheitsbegriffs Daten, die bei Interaktionen im Internet anfallen, nicht schützen, obwohl sie durchaus von den Betroffenen als persönlich empfunden werden.⁵¹³
F. Selbstregulierung In den USA dient die Selbstregulierung vielfach der Normierung gesetzlich nicht geregelter Bereiche.⁵¹⁴
I. Gesetzlich vorgesehene Möglichkeiten Soweit wie bei der Profilbildung im Online-Bereich gesetzliche Regelungen fehlen, steht es Interessenverbänden frei, sich selbstgegebenen Regelungen zu unterwerfen, die nur insoweit von der FTC überprüft werden, als sie Bestandteil der Privacy Policy des Unternehmens sind.⁵¹⁵
Siehe oben: Teil , Kap. , B., II., ., a), aa), () und E., II., ., a); Peltz-Steele, J. Internet L. , (). Solove, Stan. L. Rev. , (). Jacobus/Watson, Rich. J.L. & Tech. , (). Belgum, Rich. J.L. & Tech. Rz. (); EC DG JFS, Data Protection USA, S. ; Karas, Am. U. L. Rev. , (). Kranig/Peintinger, ZD , , . Siehe oben: Teil , Kap. , D., V., ., a).
284
Kapitel 4 USA
Im Bereich des Online-Privatheitsschutzes besteht die Möglichkeit zur Registrierung von Kodizes im Rahmen des COPPA. Danach können u. a. Industriegruppen Selbstregulierungskonzepte als gesetzeskonform von der FTC anerkennen lassen.⁵¹⁶
II. Initiativen Da sich die bekannten US-amerikanischen Betreiber Sozialer Netzwerke keiner Selbstregulierung in den USA unterworfen haben, werden im Folgenden die Selbstregulierungsinitiativen dargestellt, die Sachverhalte der Profilbildung und ‐nutzung im Internet, allen voran die Werbenutzung, betreffen. Ziel dieser Ausführungen ist es zu zeigen, wie der Privatheitsschutz in den USA bei vergleichbaren Sachverhalten gewährleistet werden kann und was in der Praxis in den USA derzeit tatsächlich durchsetzbar ist.
1. OBA-Selbstregulierungsprinzipien der FTC Die FTC setzte sich bereits Ende der 1990er Jahre mit den Risiken der OnlineProfilbildung auf verschiedenen Ebenen auseinander.⁵¹⁷ Neben Verfahren gegen täuschende oder unlautere Privacy Policies ⁵¹⁸ von Webseitenbetreibern gestaltete die FTC Workshops und Berichte zu verschiedenen Einzelproblemen zur Förderung der Selbstregulierung.⁵¹⁹ Nachdem der Gesetzgeber nicht tätig wurde, sah sich die FTC 2007 genötigt, selbst Vorschläge für eine Selbstregulierung zum OBA zu entwerfen, um mit der technischen Entwicklung mitzuhalten.⁵²⁰ Die FTCSelbstregulierungsprinzipien zum OBA dienen als Blaupause für potentiell jedes Unternehmen, das verhaltensbezogene Online-Werbung schaltet.⁵²¹ 2009 erfolgte eine Revision dieser Regeln.⁵²² Mittlerweile geht die FTC mit ihren Anforderungen an die Online-Datenerhebung und ‐nutzung über die OBA-Prinzipien hinaus, wie sich in ihrem ersten Report Protecting Consumer Privacy in an Era of Rapid Change von 2010 und in der
C.F.R. § . „Safe Harbor Programs“; Mathews-Savitt, § :., S. . FTC, Online Profiling Report, Teil , S. ; FTC, Consumer Privacy , S. . Der Begriff der Selbstregulierung wird in den USA sehr weit verstanden und umfasst auch Privacy Policies, s. Kranig/Peintinger, ZD , , . FTC, Online Profiling Report, Teil , S. f. FTC, OBA . FTC, Principles OBA, S. . FTC, Principles OBA.
F. Selbstregulierung
285
überarbeiteten Fassung von 2012 zeigt.⁵²³ Die neuen Vorgaben werden nachfolgend berücksichtigt.
a) Erfasste Werbesysteme Der Anwendungsbereich der OBA-Selbstregulierungsprinzipien der FTC erfasst das Tracking von Internetnutzern mit dem Ziel, dem Einzelnen auf seine Interessen abgestimmte Werbung zeigen zu können. Nicht einbezogen ist sog. First Party-Werbung – also Werbung, die ausschließlich auf der Analyse von Daten der eigenen Homepage basiert – ebenso wenig Kontextwerbung, bei der die geschaltete Werbung auf einem einzelnen Seitenbesuch oder einer einzelnen Suchanfrage basiert.⁵²⁴ Die Entscheidung, Kontextwerbung aus dem Anwendungsbereich herauszunehmen, basiert darauf, dass sie keine Profilbildung erfordert und deshalb weniger riskant für die Privatheit ist.⁵²⁵ First-Party-Werbung nimmt die FTC vom Anwendungsbereich der Selbstregulierungsprinzipien aus, weil sie eher mit den Erwartungen der Nutzer übereinstimme. Als Beispiel wird der Fall genannt, dass Nutzer aufgrund eines auf der Homepage getätigten Kaufs Werbung für damit im Zusammenhang stehende Produkte bekommen. Dies sei eine Form der Werbung, die der Nutzer nachvollziehen könne.⁵²⁶ Überträgt man diese Wertungen auf die Datenerhebung der Betreiber Sozialer Netzwerke für Werbezwecke, zeigt sich, dass sich im besonderen Maße die Risiken des OBA realisieren: zum einen erwarten die Nutzer eines Sozialen Netzwerks nicht, dass ihre als privat empfundene Kommunikation und Interaktion zu Werbezwecken ausgewertet wird.⁵²⁷ Zum anderen findet durch den Einsatz von ThirdParty-Systemen eine website-übergreifende Profilbildung statt.
b) Erfasste Daten Welche Daten vom Anwendungsbereich US-amerikanischer Datenschutzgesetze erfasst werden, ist nicht einheitlich. Auch wenn z.T. die gleichen Termini Verwendung finden, können sie unterschiedlich definiert sein.⁵²⁸ Die FTC bestimmt den Anwendungsbereich hinsichtlich der erfassten Daten ausgehend vom Risi-
FTC, Consumer Privacy /. FTC, Principles OBA, S. . FTC, Principles OBA, S. ; Berger, Santa Clara Computer & High Tech. L.J. , (). FTC, Principles OBA, S. f. Siehe oben: Teil , Kap. , B., II., ., a) und Teil , Kap. , D., V., ., c), dd), (). Schwartz, ZD , .
286
Kapitel 4 USA
kopotential. Nach den Ausführungen der FTC verliert im Kontext der Online-Datensammlung die Unterscheidung zwischen PII, verstanden als unmittelbar personenbezogene Daten,⁵²⁹ und non-PII, definiert als nicht unmittelbar personenbezogene Daten,⁵³⁰ zunehmend an Berechtigung, da eine nachträgliche Zusammenführung mit identifizierenden Daten ein alltägliches Phänomen im Internet sei.⁵³¹ Zudem erweise sich, dass mit zunehmender Profildichte auch bei pseudonymisierten Datensätzen auf die dahinterstehende Person geschlossen werden kann.⁵³² Als Beispiel dafür führt die FTC den oben beschriebenen AOLFall⁵³³ an.⁵³⁴ Anhand verschiedener Studien weist die FTC zudem nach, dass die Internetnutzer auch in der Sammlung von als non-PII qualifizierten Daten einen Eingriff in ihre Privatsphäre sehen und nicht damit einverstanden sind, dass diese zu Werbezwecken genutzt werden.⁵³⁵ Die FTC zieht daraus drei Konsequenzen: 1. Vom Anwendungsbereich der Selbstregulierungsprinzipien werden alle Daten erfasst, die ohne unverhältnismäßigen Aufwand einer einzelnen Person oder einem Endgerät zugeordnet werden können.⁵³⁶ Ob diese Zuordnung ohne unverhältnismäßigen Aufwand möglich ist, hängt von den Umständen des Einzelfalls und der zur Verfügung stehenden Technik ab.⁵³⁷ Damit entspricht der Ansatz der FTC im Wesentlichen der relativen Theorie zur Bestimmbarkeit einer Person nach deutschem Datenschutzverständnis.⁵³⁸ 2. Eine eindeutige Zuordnung zu einer Person ist nicht erforderlich, sondern vielmehr die Identifizierung eines Endgeräts, das auch von mehreren genutzt werden kann. Dies ist eine Erweiterung gegenüber dem deutschen Ansatz der Bestimmbarkeit und führt dazu, dass auch die Erhebung von Daten eines vom Sozialen Netzwerk ausgeloggten Nutzers zweifelsfrei erfasst ist, wenn die Zuordnung über Cookies oder andere endgerätbezogene Identifizierungstools erfolgt.
FTC, Principles OBA, S. Fn. ; FTC, Online Profiling Report, Teil , S. Fn. . FTC, Principles OBA, S. Fn. . FTC, Principles OBA, S. . FTC, Principles OBA, S. f. Siehe oben: Einl., I. FTC, Principles OBA, S. Fn. . FTC, Principles OBA, S. f. Beispielhaft sei hier die Studie von TRUSTe herausgegriffen. Danach haben Prozent der Teilnehmer der Studie kein gutes Gefühl dabei, wenn Werbetreibende ihren Browserverlauf dazu nutzen, ihnen relevante Werbung zu schalten, auch wenn sie nicht mit ihrem Namen oder anderen identifizierenden Merkmalen in Verbindung gebracht werden können, s. TRUSTe, Attitudes. FTC, Principles OBA, S. . FTC, Principles OBA, S. . Siehe oben: Teil , Kap. , C., I., ., b), bb), ().
F. Selbstregulierung
3.
287
Profile werden von den Selbstregulierungsprinzipien erfasst, wenn sie einen Detailierungsgrad erreichen, der eine Identifizierung der dahinter stehenden Person ermöglicht. Ebenso sollen verhaltensbasierte Profile auch dann erfasst sein, wenn sie zwar nicht mit einer spezifischen Person verbunden sind, aber dafür verwendet werden, personalisierte Werbung für ein bestimmtes Endgerät zu schalten.⁵³⁹
Damit ist die Reichweite der FTC-Selbstregulierungsprinzipien für OBA weiter als der Anwendungsbereich unionaler Datenschutzgesetze, deren Schutz nicht bei rein endgerätbezogenen Daten bzw. Profilen greift.⁵⁴⁰ Übertragen auf das Soziale Netzwerk Facebook heißt das, dass grundsätzlich die Datenerhebung auf Drittseiten zu Werbezwecken vom Anwendungsbereich umfasst wäre, die mit Hilfe von Identifizierungstools wie Cookies und IP-Adresse einem Endgerät zugeordnet werden können.
c) Vorgaben Die für die Profilbildung und ‐nutzung relevanten Vorgaben der FTC beziehen sich auf die Wahlmöglichkeit des Betroffenen, die Transparenz der Datenerhebung und Verarbeitung und Nutzung sowie auf die zulässige Speicherdauer.
aa) Wahlmöglichkeit Hinsichtlich allgemein akzeptierter Praktiken (commonly accepted practices) und First Party-Marketing bedarf es grundsätzlich keiner Wahlmöglichkeit (choice).⁵⁴¹ Eine Ausnahme bildet die webseitenübergreifende Datenerhebung. Insoweit fordert die FTC eine Wahlmöglichkeit für die Betroffenen, allerdings keine ausdrückliche Einwilligung (affirmative express consent).⁵⁴² Eine solche muss nur für die Sammlung besonders sensibler Daten und für grundlegend andere Nutzungen (materially different manner) eingeholt werden.⁵⁴³ Für das webseitenübergreifende Tracking genügt nach Ansicht der FTC damit grundsätzlich eine Opt-out-Möglichkeit.
FTC, Principles OBA, S. . Siehe oben: Teil , Kap. , C., I., ., b), bb). FTC, Consumer Privacy , S. , . FTC, Consumer Privacy , S. f., . FTC, Consumer Privacy , S. ; FTC, Principles OBA, S. .
288
Kapitel 4 USA
Auch die Übermittlung von Daten an einen Dritten⁵⁴⁴ erfordert nach Ansicht der FTC eine Wahlmöglichkeit im Sinne eines Opt-outs.⁵⁴⁵ Wie gezeigt, spielt die Form des data enhancement, also der Anreicherung der Profile durch Daten aus dem Offline-Bereich auch bei Sozialen Netzwerken zunehmend eine Rolle.⁵⁴⁶ Die Entscheidung soll zu einem Zeitpunkt abgefragt werden, der den Kontext der Entscheidungsfindung berücksichtigt. Beim Ausfüllen von Online-Formularen kann dies bedeuten, dass dem Nutzer bei der Eingabe bzw. direkt im Anschluss seine Entscheidungsmöglichkeit bzgl. besonders sensibler Daten oder der Erhebung durch Dritte eingeblendet wird.⁵⁴⁷ Bei Sozialen Netzwerken wird ohne weitere Differenzierung oder Begründung die Errichtung eines Mitgliederkontos als passender Zeitpunkt für die Entscheidungsabfrage angesehen.⁵⁴⁸ Für wichtige Produkte soll ein Koppelungsverbot gelten. Danach darf ein Vertragsabschluss nicht von einer Datennutzung abhängig gemacht werden, die über das für die Vertragsdurchführung erforderliche Maß hinausgeht.⁵⁴⁹ Die FTC nennt nicht ersetzbare Medizinprodukte oder das Internet selbst als Beispiele für wichtige Produkte. Das Verständnis scheint vergleichbar mit der Vorstellung von einer essentiellen Leistung im deutschen Recht und spielt deshalb im Bereich Sozialer Netzwerke keine Rolle.⁵⁵⁰
bb) Transparenz Die Transparenzforderungen der FTC stützen sich auf drei Säulen: 1. Datenschutzerklärungen sollen bzgl. Länge, Verständlichkeit und Auffindbarkeit nutzerfreundlich gestaltet werden, 2. Betroffenen soll grundsätzlich ein Einsichtsrecht in die dem Unternehmen über ihn zur Verfügung stehenden Daten eingeräumt werden und 3. die Unternehmen sollen sich um eine Stärkung der Medienkompetenz der Nutzer bemühen.⁵⁵¹ Die FTC plant konkrete Vorschläge für diesbezügliche Standards unter Einbeziehung von Interessengruppen im Rahmen von Workshops zu erarbeiten.⁵⁵²
Die Diskussion wird nicht für die Datenübermittlung innerhalb eines Konzerns geführt. FTC, Consumer Privacy , S. . Siehe oben: Teil , Kap. , C., I., . FTC, Consumer Privacy , S. f. FTC, Consumer Privacy , S. . FTC, Consumer Privacy , S. f. Siehe oben: Teil , Kap. , C., II., ., b), aa). FTC, Consumer Privacy , vii. Zu den Details s. S. ff. FTC, Consumer Privacy , S. .
F. Selbstregulierung
289
cc) Datensparsamkeit und zulässige Speicherdauer Die Datenerhebung und -speicherung soll sich am Grundsatz der Erforderlichkeit für die Geschäftszwecke des Unternehmens orientieren.⁵⁵³ Konkrete Vorgaben werden daraus nicht abgeleitet. Betreiber müssen Betroffene aber über die Zwecke informieren und bei wesentlicher Abweichung hiervon eine Wahlmöglichkeit einräumen.⁵⁵⁴
d) Ergebnis Im Ergebnis fällt die Profilbildung und ‐nutzung durch Betreiber Sozialer Netzwerke im beschriebenen Umfang in den Anwendungsbereich der Selbstregulierungsprinzipien der FTC, die eine Annäherung an unionsrechtliche Vorgaben ergeben. Bis heute hat sich jedoch kein Soziales Netzwerk diesen Selbstregulierungsprinzipien unterworfen. Dass sich die Selbstregulierungsprinzipien nur auf die Datennutzung zu Werbezwecken beziehen, trifft im Übrigen keine Aussage über potentielle Gefahren anderer Nutzungen. Die Beschränkung auf OBA ergibt sich daraus, dass es der FTC nach eigenen Angaben noch an einer ausreichenden Informationsgrundlage zu anderen Nutzungen fehlte, um diese sachgerecht einordnen zu können.⁵⁵⁵
2. Wirtschaftsinitiativen Die drei bekanntesten Initiativen der Wirtschaft, die ein besonderes Maß an Privatheitsschutz gewährleisten sollen, sind die Network Advertising Initiative (NAI) mit einer Mitgliederzahl von knapp 100 Unternehmen aus dem Third-Party Advertising-Bereich in 2015,⁵⁵⁶ die Digital Advertising Alliance (DAA), die sich aus sieben Verbänden zusammensetzt,⁵⁵⁷ und TRUSTe, die weltweit Tausende Webseiten zertifizieren.⁵⁵⁸
FTC, Consumer Privacy , S. ; FTC, Principles OBA, S. . FTC, Consumer Privacy , S. . FTC, Principles OBA, iv. https://www.networkadvertising.org/join-nai. http://www.aboutads.info/associations. TRUSTe, Privacy Solutions, S. .
290
Kapitel 4 USA
a) Network Advertising Initiative (NAI) Auf dem Online Profiling Workshop der FTC im November 1999 gaben Vertreter der Werbeindustrie die Gründung der Network Advertising Initiative, kurz NAI, bekannt und erarbeiten orientiert an den FIPPS⁵⁵⁹ Grundsätze zur Selbstregulierung der Online-Profilbildung,⁵⁶⁰ die grundsätzlich die Zustimmung der FTC fanden.⁵⁶¹ Nachdem die FTC ihre eigenen Prinzipien für OBA aufstellte, orientieren sich die überarbeiteten NAI-Prinzipien an den Vorschlägen der FTC.⁵⁶² Die letzte Revision der Ausarbeitungen erfolgte 2015. Die NAI-Prinzipien sind für ihre Mitglieder bindend. Die Einhaltung wird einmal jährlich durch die Initiative selbst überprüft und öffentlich dokumentiert.⁵⁶³ Aufgrund der Freiwilligkeit der Mitgliedschaft und mangelnden Sanktionen ist die Wirkung begrenzt.⁵⁶⁴
b) Digital Advertising Alliance (DAA) Die Digital Advertising Alliance (DAA) besteht aus Verbänden, die u. a. Verleger, Internetservice-Provider, die Werbeindustrie und Auskunfteien repräsentieren.⁵⁶⁵ Die von ihnen erstellten Prinzipien werden durch das Council of Better Business Bureau (CBBB) und die Direct Marketing Association (DMA) durchgesetzt.⁵⁶⁶ Inhaltlich sind sie mit den NAI-Prinzipien vergleichbar, bleiben aber in einigen Punkten dahinter zurück.⁵⁶⁷ Auch hier fehlt es an ausreichenden Sanktionsmechanismen.⁵⁶⁸ Zusätzlich hat die DAA ein Bildsymbol für OBA (Advertising Option Icon) entwickelt, mit dem der Internetnutzer darüber aufgeklärt wird, warum ihm bestimmte Werbeanzeigen gezeigt werden und ihm ein Opt-out ermöglicht.⁵⁶⁹
Siehe oben: Teil , Kap. , A., II., ., c). FTC, Online Profiling Report, Teil , II., C. FTC, Online Profiling Report, Teil , III. NAI, Code of Conduct , S. . NAI, Code of Conduct , S. . Rubinstein, ISJLP ff. (); EC DG JFS, Data Protection USA, S. , . Generell zur Durchsetzungsmöglichkeiten bei Selbstregulierungsinitiativen s. Sachs, Marketing, S. f. DAA, OBA Principles, S. . DAA, OBA Principles, S. . NAI, Code of Conduct , S. . Rubinstein, ISJLP ff. (); EC DG JFS, Data Protection USA, S. , . http://www.aboutads.info/.
F. Selbstregulierung
291
c) TRUSTe Weit verbreitet ist das Datenschutzsiegel (Privacy Seal) von TRUSTe, das auch Facebook für sich in Anspruch nimmt. Unternehmen, die das TRUSTe-Siegel führen wollen, müssen eine Privacy Policy haben und sich an Vorgaben halten, die sich an den FIPPS orientieren.⁵⁷⁰ TRUSTe stellt konkrete Anforderungen, welche Informationen in den Datenschutzrichtlinien zu veröffentlichen sind, wie zum Beispiel, welche PII gesammelt und zu welchen Zwecken sie verwendet werden. Außerdem muss der Nutzer bei Datennutzungen, die nicht zu erwarten sind, sowie bei der Datenweitergabe an Dritte eine Widerspruchsmöglichkeit haben.⁵⁷¹ Problematisch ist allerdings die mangelhafte Durchsetzung. Diverse Untersuchungen der letzten Jahre haben gezeigt, dass die Compliance der Unternehmen mit den Vorgaben gering ist und dass TRUSTe nichts dagegen unternimmt.⁵⁷² Die FTC hat deshalb ein Verfahren gegen TRUSTe eingeleitet, das mit einem Vergleich beendet wurde, in dem die FTC dem Unternehmen u. a. erweiterte Pflichten zur Dokumentation der durchgeführten Überprüfungen auferlegt.⁵⁷³
III. Ergebnis In den USA gelten bisherige Ansätze einer Selbstregulierung im Bereich der Internetwerbung nicht als Erfolgsgeschichte und werden von der juristischen Literatur kritisiert.⁵⁷⁴ Hauptkritikpunkte sind, dass die Prinzipien der Wirtschaftsinitiativen dem hohen Standard der FTC nicht gerecht werden⁵⁷⁵ und es an einer effektiven Durchsetzung fehlt.⁵⁷⁶ Zudem sind wichtige Branchenvertreter – allen voran Betreiber Sozialer Netzwerke – aufgrund der Freiwilligkeit der Regeln nicht beigetreten und haben auch keinen Anreiz dies zu ändern, da die Nutzer aufgrund der bestehenden Informationsasymmetrie keinen Druck auf die Betreiber aus-
TRUSTe, Certification Standards. TRUSTe, Certification Standards, C. Privacy Practices. Eine Übersicht bietet Galexia, Trustmark. FTC, D&O TRUSTe. Froomkin, Stan. L. Rev. , – (); Rubinstein, ISJLP ff. (); Schinasi, Colum. J. Transnat’l L. , (). Turow, The Daily You, S. . Bei Profilen mit von Beginn an bestehendem direkten Personenbezug genügt nach den NAI-Prinzipien eine Widerspruchslösung (Opt-out), NAI, Code of Conduct, II. C. . B. EC DG JFS, Data Protection USA, S. , ; Rubinstein, ISJLP , ().
292
Kapitel 4 USA
üben.⁵⁷⁷ Außerdem gelten die Initiativen als kurzlebig und nicht geeignet, auf lange Sicht einen stabilen Schutz der Betroffenen zu gewährleisten.⁵⁷⁸
G. Gestaltungsbedarf Die bisherigen rechtlichen Antworten auf Risiken für die Privatheit durch OnlineProfilbildung werden in den USA kritisch im Hinblick auf ihre Auswirkungen in der Praxis für den Einzelnen und die Gesellschaft gesehen. Literatur⁵⁷⁹ und Gesetzgeber⁵⁸⁰ sowie die FTC⁵⁸¹ und das Department of Commerce (DOC)⁵⁸² erarbeiten deshalb neue Lösungen, die den betroffenen Interessen besser gerecht werden sollen. Eine Umsetzung durch die Politik steht noch aus. Ansatzpunkte für Verbesserungen ergeben sich im materiellen Recht wie bei der Rechtsdurchsetzung.
I. Mängel des materiellen Rechts Die obige Untersuchung ergibt, dass Soziale Netzwerke in den USA faktisch nur durch die FTC und einige wenige eng gefasste gliedstaatliche Gesetze reglementiert werden. Treibende Kraft sind in den USA im Bereich der Privacy derzeit die Verfahren der FTC. Neuregelungen oder erweiterte Gesetzesauslegungen erfolgen trotz eines hohen Problembewusstseins aktuell nicht.
Kang, Stan. L. Rev. , (); Rubinstein, ISJLP , (). FTC, Consumer Privacy , S. ; Schwartz, Vand. L. Rev. , f., f. (). Livingston, Alb. L.J. Sci. & Tech , ff. (); Serwin, PVLR (); Bamberger/ Mulligan, Stan. L. Rev. , f. (); MacCarthy, ISJLP, , (); Picker, Unjustified by Design, S. (zu ad-icons); Serwin, SDLR , (); Solove, Harv. L. Rev. (). Electronic Bill of Rights (Al Gore): Self-Regulation with Enforcement Mechanisms; Online Personal Privacy Act, S. , th Cong. § (); Consumer Privacy Protection Act of , H.R. , th Cong. § (); Personal Data Privacy and Security Act, S. , th Cong. (), (Patrick Leahy) H.R., th Cong. (st Sess. ) (Boucher Bill); Best Practice Act, House Bill ( Juli ) th Cong. (d Sess. ) (Rush Bill); Do-Not-Track Online Act of , S. , th Congress (); Commercial Privacy Bill of Rights Act of , S. , th Congress () (Kerry/McCain Bill); Building Effective Strategies To Promote Responsibility Accountability Choice Transparency Innovation Consumer Expectations and Safeguards Act, H.R. , th Congress (); Consumer Privacy Protection Act of , H.R. , th Congress () (Stearns Bill); White House, Consumer Data Privacy () (Bill of Rights). FTC, Consumer Privacy ( und ); FTC, Online Profiling Report: A Report to Congress, . DOC IPTF, Dynamic Framework.
G. Gestaltungsbedarf
293
1. Unzureichende Regulierung der Profilbildung Sozialer Netzwerke Die von der FTC entworfenen Selbstregulierungsprinzipien zum OBA erscheinen auch hinsichtlich der Profilbildung und ‐nutzung durch Betreiber Sozialer Netzwerke zu Werbezwecken vielversprechend. Allerdings ist ihre Anwendung nicht verpflichtend und bietet deshalb keine durchsetzbare Regulierung für den hier relevanten Sachverhalt. Wichtige Problemfelder wie die Risiken auch pseudonymer Profilbildung bleiben unreglementiert, obwohl ihr Gefahrenpotential erkannt wurde.⁵⁸³ Insoweit besteht erhebliche Rechtsunsicherheit⁵⁸⁴ und damit ein Gestaltungsbedarf.
2. Unzulänglichkeit von Transparenz und Wahlmöglichkeiten In vielen Punkten hat sich die FTC Vorgaben des unionalen Datenschutzrechts angenähert, insbesondere bei dem Erfordernis, Nutzer umfassend über die Datenverarbeitung aufzuklären und ihnen eine Wahlmöglichkeit einzuräumen. Das hat zur Folge, dass sich bzgl. der Informiertheit und Freiwilligkeit der Wahl die gleichen Probleme stellen wie in der EU. Insoweit wird auf die Ausführungen zum bestehenden Gestaltungsbedarf im deutschen Länderbericht verwiesen.⁵⁸⁵ Da in dem Erfordernis einer ausdrücklichen Einwilligung die Gefahr nutzungs- und wirtschaftshemmender Effekte gesehen wird, ist Opt-out der Standard, wodurch schwieriger sicherzustellen ist, dass die Entscheidung bewusst getroffen wird.
3. Keine Löschpflichten Der Begrenzung der Aufbewahrungsfrist durch Gesetz steht in den USA grundsätzlich der starke Schutz des First Amendment entgegen.⁵⁸⁶ Löschpflichten sind den USA im Bereich der Privacy jedoch nicht unbekannt⁵⁸⁷ – so finden sich beispielsweise feste Löschfristen im Video Privacy Protection Act (VPPA), 18 U.S.C. § 2710(e). In den vorliegend einschlägigen Gesetzen finden sich jedoch keine entsprechenden Regelungen, ebenso wenig wie der Grundsatz der Datenminimierung,⁵⁸⁸ so dass die Daten grundsätzlich auf unbestimmte Zeit gespeichert
FTC, Online Profiling Report, Teil . Schwartz, DJT , S. O . Siehe oben: Teil , Kap. , C., II., ., b), bb), () und E., II., ., b); White House, Big Data, S. . Schwartz, DJT , S. O ; Tennis, in: Akrivopoulou/Athanasios, Personal Data, S. . Schwartz, DJT , S. O . Schwartz, DJT , S. O .
294
Kapitel 4 USA
werden können. Gefordert wird eine Begrenzung der Aufbewahrungsfrist, orientiert an der Erforderlichkeit für die Geschäftszwecke.⁵⁸⁹
II. Durchsetzungsdefizit Die Durchsetzung durch die FTC hat sich im Einzelfall als sehr effektiv erwiesen. Die weit überwiegende Anzahl von Verfahren konnte durch eine gemeinsame Vereinbarung beendet werden.⁵⁹⁰ Allerdings ist auch die FTC eine relativ kleine Behörde⁵⁹¹ mit weiteren Aufgabenfeldern, wodurch sie nur punktuell tätig werden kann⁵⁹² und ansonsten auf Vorbildwirkung hoffen muss.⁵⁹³ Bei durchschnittlich 10 Verfahren pro Jahr⁵⁹⁴ kann nicht von einer flächendeckenden Durchsetzung gesprochen werden. Aufgrund der geringen personellen und finanziellen Ausstattung, ist die FTC vielfach darauf angewiesen, dass Verbraucher oder die Presse auf Missstände aufmerksam machen.⁵⁹⁵ Außerdem kann die FTC für die Verletzung des FTCA keine Geldbußen verhängen, sondern erst bei der Verletzung einer Verfügung eine Strafzahlung von bis zu USD 16.000 pro Verstoß einfordern.⁵⁹⁶ Im Verhältnis zum Umsatz großer USKonzerne sind die zu zahlenden Strafen in der Regel relativ gering.⁵⁹⁷ Die höchste Gesamtstrafzahlung bislang⁵⁹⁸ wurde 2012 gegen Google verhängt und belief sich auf USD 22.5 Millionen.⁵⁹⁹
III. Ergebnis Im Ergebnis besteht im materiellen Recht eine deutliche Überschneidung des Gestaltungsbedarfs im Hinblick auf die Profilbildung durch Betreiber Sozialer
FTC, Consumer Privacy , S. . Fang, Berkeley Tech. L. J. , (); Solove/Hartzog, Columbia L. Rev. , (). Siehe oben: Teil , Kap. , D., I.; Solove/Hartzog, Columbia L. Rev. , (). Solove/Hartzog, Columbia L. Rev. , (). Schinasi, Colum. J. Transnat’l L. , f., (); Schwartz, Vand. L. Rev. , (); Lin, Berkeley Tech. L.J. , (). Siehe oben: Teil , Kap. , D., I. Solove/Hartzog, Columbia L. Rev. , (). Siehe oben: Teil , Kap. , D., III. Solove/Hartzog, Columbia L. Rev. , (). Solove/Hartzog, Columbia L. Rev. , (). FTC, Order Google, S. .
H. Weißbuch der Obama-Regierung
295
Netzwerke in der EU und den USA. Beide Seiten des Atlantiks sehen Gestaltungsbedarf hinsichtlich der Grenzen umfassender Profilbildung sowie bei der Legitimation der Profilnutzung durch eine informierte und freiwillige Wahl des Betroffenen. Auch bei der Durchsetzung besteht jenseits und diesseits des Atlantiks starker Verbesserungsbedarf.
H. Weißbuch der Obama-Regierung: Consumer Data Privacy in a Networked World Auf den Gestaltungsbedarf reagierte die Obama-Regierung Anfang 2012 mit dem Weißbuch Consumer Data Privacy in a Networked World. ⁶⁰⁰ Ziel dieses Programmsatzes ist es, einen national einheitlichen Standard für den Verbraucherdatenschutz zu schaffen⁶⁰¹ und weltweite Innovationen in der digitalen Welt in einer Weise zu ermöglichen, die das Verbrauchervertrauen verdient.⁶⁰² Der Entwurf basiert auf den Empfehlungen des Reports Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework ⁶⁰³ der Internet Policy Task Force des Department of Commerce (DOC IPTF) von 2010.⁶⁰⁴ Dieser Report entstand auf Grundlage eines Konsultationsprozesses, an dem Vertreter der Wirtschaft, Zivilgesellschaft, Forschung, Politik und Exekutive beteiligt waren. Das aktuelle Weißbuch der Obama-Regierung bezieht diese Empfehlungen ebenso mit ein wie die Kommentare, die nach Veröffentlichung des Reports der DOC IPTF eingegangen sind.⁶⁰⁵ Darauf aufbauend setzen sich die neuen Vorschläge zum Privatheitsschutz aus vier Grundbausteinen zusammen: 1. Sieben Prinzipien des Privatheitsschutzes, welche die sog. Consumer Privacy Bill of Rights (CPBR) bilden, 2. ihre Konkretisierung durch auszuhandelnde Codes of Conduct (CoC), 3. ihre verlässliche Durchsetzung durch die FTC und 4. die Verbesserung der Interoperabilität mit internationalen Partnern.⁶⁰⁶ Im Februar 2015 veröffentlichte das Weiße Haus den Consumer Privacy Bill of Rights Act ⁶⁰⁷ (CPBRA) als Diskussionsentwurf (Administration Discussion Draft),
White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, Februar . White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. , , . DOC IPTF, Dynamic Framework. White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. . Administration Discussion Draft: Consumer Privacy Bill of Rights Act of .
296
Kapitel 4 USA
d. h., der Vorschlag benötigt noch einen Fürsprecher im Kongress (congressional sponsor), bevor er als offizieller Gesetzentwurf eingebracht werden kann.⁶⁰⁸ In den CPBRA haben in abgeschwächter Form⁶⁰⁹ die ersten drei Punkte des Weißbuchs Eingang gefunden.⁶¹⁰ Mit der Ausarbeitung weiterer Mechanismen zur Verbesserung der Interoperabilität wurden das DOC und das Außenministerium (Department of State, DOS) beauftragt.⁶¹¹ Im Folgenden werden der Diskussionsentwurf des CPBRA sowie die Rahmenvorgaben des Weißbuchs zur Verbesserung der Interoperabilität vorgestellt. Gesetzgebungsvorschläge zum Webtracking⁶¹² wurden bereits abgelehnt und bleiben deshalb außer Betracht.⁶¹³
I. Diskussionsentwurf: Consumer Privacy Bill of Rights Act Auf der Grundlage der Commerce Clause,⁶¹⁴ die dem Bund die Gesetzgebungskompetenz für den zwischenstaatlichen Handel einräumt, soll der CPBRA die bislang bedingt durch den sektoralen Ansatz bestehenden Lücken im Privatheitsschutz mit einem national einheitlichen Mindeststandard schließen. Dieser Mindeststandard wird in Title I des Vorschlags (Privacy Bill of Rights) festgelegt. Seine Durchsetzung ist in Title II geregelt und die Konkretisierung durch CoC in Title III. Title IV befasst sich insbesondere mit dem Verhältnis des CPBRA zu gliedstaatlichen Regelungen zum Privatheitsschutz.
1. Privacy Bill of Rights und ihre Anwendung auf Profile Der in Title I geregelte Anwendungsbereich umfasst persönliche Daten (personal data), die von einem privaten Verantwortlichen, der in den USA zwischenstaatlichen Handel betreibt, verarbeitet werden, Sec. 4 CPBRA. Während das Weißbuch persönliche Daten als alle Daten definierte, aggregierte Daten eingeschlossen, die einer bestimmten Person (specific individual)
Singer, N. Y. Times . . . Consumer Privacy Groups, Letter to the President . . . CPBRA, Titel I-III. White House, Consumer Data Privacy (), S. . Etwa Do-Not-Track Online Act von (H.R. – th Congress ( – )) und (S. – th Congress ( – )). Eine Übersicht über die im . Kongress eingebrachten Gestzgebungsvorschläge zur Privacy ist abrufbar unter: https://www.ana.net/getfile/. U.S. Const. Art. I, § , cl. .
H. Weißbuch der Obama-Regierung
297
oder einem bestimmten Endgerät zugeordnet werden können,⁶¹⁵ schränkt Sec. 4(a) (1) CPBRA die Definition ein. Zum einen wird klargestellt, dass es für die Bestimmbarkeit auf die Möglichkeiten der verantwortlichen Stelle ankommt (relative Betrachtungsweise). Zum anderen werden öffentlich legal zugängliche Daten nicht umfasst. Sec. 4(a)(2) CPBRA nimmt zudem bestimmte Datenkategorien vom Anwendungsbereich aus, wie etwa Daten, die der Identifizierung von Cyberbedrohungen dienen. Sofern die verantwortliche Stelle Maßnahmen trifft, die vernünftigerweise dazu geeignet sind, die Bestimmbarkeit des Betroffenen zu verhindern und sich öffentlich dazu verpflichtet, keine Versuche zur Identifizierung zu unternehmen, sind auch diese Daten (de-identified data) vom Anwendungsbereich ausgenommen, Sec. 4(a)(2)(A) CPBRA. Gem. Sec. 4(b) CPBRA unterfallen bestimmte natürliche und juristische Personen nicht dem CPBRA, wie nicht kommerziell tätige Privatpersonen, Unternehmen mit weniger als 25 Angestellten, die nur Mitarbeiterdaten verarbeiten oder Unternehmen, deren Datenverarbeitungsprozesse nicht bestimmte sensible persönliche Daten und weniger als 10.000 Menschen im Jahr betreffen. Die FTC wird in Title IV, Sec. 405 CPBRA ermächtigt, weitere Ausnahmen zu regeln.
a) Transparenz Die verantwortliche Stelle soll gem. Title I, Sec. 101(b) CPBRA ihre Praxis und Zwecke des Datenumgangs klar beschreiben, angefangen bei der Angabe, welche Daten dem Unternehmen zur Verfügung stehen – also welche Daten sie erheben und welche ihnen von Dritten zur Verfügung gestellt werden – über die Darstellung, wie diese verwendet und etwa an Dritte weitergegeben werden bis hin zur Angabe, wann Daten gelöscht oder anonymisiert werden (transparency). Die Information hat rechtzeitig sowie gut erreichbar und leicht verständlich zu erfolgen, Title I, Sec. 101(a) CPBRA. Der CPBRA stellt damit in konkretisierter Form grundsätzlich die gleichen Anforderungen an die Informationspflichten verantwortlicher Stellen wie das deutsche Datenschutzrecht, so dass für die Anwendung auf Profile auf die Ausführungen im deutschen Teil⁶¹⁶ verwiesen werden kann.
White House, Consumer Data Privacy (), S. . Siehe oben: Teil , Kap. , C., II., . und ., b).
298
Kapitel 4 USA
b) Individuelle Kontrolle Nach dem Prinzip der individuellen Kontrolle (individual control) müssen datenerhebende Unternehmen Betroffenen eine Wahlmöglichkeit bzgl. der Erhebung und Nutzung ihrer persönlichen Daten zur Verfügung stellen, Title I, Sec. 102(a) CPBRA. Die Entscheidungsabfrage hat zu einer Zeit und an einer Stelle zu erfolgen, die auf vernünftige Weise die Entscheidungsfindung des Einzelnen ermöglicht, Title I, Sec. 102(b)(2) CPBRA. Sie ist in ebenso gut verständlicher wie leicht erreichbarer Form zu implementieren, Title I, Sec. 102(b)(1) CPBRA. Das Weißbuch weist darauf hin, dass Unternehmen wie etwa Soziale Netzwerke, denen große Datenmengen zur Verfügung stehen und die Profile ihrer Nutzer bilden, sicherstellen müssen, dass sie ihren Mitgliedern die Entscheidung an prominenter Stelle und in abgestufter Form bzgl. der Erhebung, Nutzung (use) und Weitergabe ihrer Daten ermöglichen.⁶¹⁷ Dies gilt bei Sozialen Netzwerken auch für den Fall der Datenerhebung auf Drittseiten.⁶¹⁸ Grundsätzlich sind eine Widerrufsmöglichkeit und die anschließende Löschung der Daten vorzusehen, Title I, Sec. 102(c) CPBRA. Alternativ genügt es, wenn die verantwortliche Stelle dem Betroffenen die Möglichkeit einräumt, seine Daten auf Verlangen zu de-identifizieren, Title I, Sec. 102(b) CPBRA. Im Fall grundlegender Änderung (material change) von Nutzungspraktiken sind die Betroffenen im Voraus zu informieren. Hinsichtlich bereits erhobener Daten müssen zusätzliche Kontrollmechanismen eingerichtet werden, wie etwa die Einholung einer ausdrücklichen Einwilligung, Title I, Sec. 102(e) CPBRA. Ausnahmen vom Erfordernis der individuellen Kontrolle bestehen in abschließend genannten Fällen, wie der Datenverarbeitung zur Aufdeckung von Betrugsfällen oder zur Durchsetzung von Nutzungsbedingungen, Title I, Sec. 102(d) i.V.m. Sec. 4(n) CPBRA.
c) Berücksichtigung des Kontexts Der Grundsatz respect for context in Title I, Sec. 103(b) CPBRA sieht vor, dass die verantwortliche Stelle im Hinblick auf Datenverarbeitungen, die innerhalb des Kontextes nicht vernünftig erscheinen (not reasonable in light of context), ein privacy risk management durchzuführen hat. Kriterien, die in die Bestimmung des Kontextes einfließen, sind nicht abschließend in Sec. 4(k) CPBRA aufgezählt.
White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. f.
H. Weißbuch der Obama-Regierung
299
Das durchzuführende privacy risk management besteht aus zwei Komponenten. Zum einen aus einer von der verantwortlichen Stelle durchzuführenden Risikoanalyse in Bezug auf potentielle Folgen für die Privatheit der Betroffenen. Zum anderen aus auf das Ergebnis der Risikoanalyse abgestimmten Ausgleichsmaßnahmen wie eine Verstärkung von Transparenz und individueller Kontrolle, Title I, Sec. 103(b) CPBRA. Im Hinblick auf Soziale Netzwerke führt das Weißbuch aus, dass eine Datenauswertung für die Verbesserung des Dienstes eine zu erwartende Nutzung darstellt, wohingegen die Profilbildung zum Zweck der Übermittlung an Dritte eines besonderen Hinweises und einer Wahlmöglichkeit bedürfe.⁶¹⁹ Entscheidend sei – auch im Hinblick auf die Datennutzung für Werbezwecke – was ein Mitglied im Kontext Sozialer Netzwerke erwarte.⁶²⁰ Für die Datenanalyse entfallen diese Vorgaben zur Respektierung des Kontexts, wenn die Analyse durch eine von der FTC anerkannte Prüfungskommission für Privatheit (Privacy Review Board) genehmigt und überwacht wird, Title I, Sec. 103(c) CPBRA. Die Kriterien, anhand derer das Privacy Review Board eine Genehmigung zu erteilen hat, sind in Title I, Sec. 103(c)(1) – (4) CPBRA festgelegt. Danach ist u. a. eine Abwägung erforderlich, ob die potentiellen Vorteile der Datenanalyse die potentiellen Risiken für die Privatheit überwiegen. Führt die Datenanalyse bei mehreren Betroffenen zu negativen Kreditentscheidungen i.S.d. Sec. 4(m) CPBRA i.V.m. 15 U.S.C. § 1691(d)(6) Fair Credit Opportunity Act, muss die verantwortliche Stelle eine zusätzliche Auswirkungsanalyse und Dokumentation durchführen, um sicherzustellen, dass es nicht zu einer Diskriminierung aufgrund besonders sensibler Daten kommt, Title I, Sec. 103(d) (1) – (3) CPBRA.
d) Erforderlichkeitsprinzip Unternehmen sollen nur Daten erheben, die sie für ihren nach dem obigen Kontext-Prinzip bestimmten Geschäftszweck benötigen (focused collection), Title I, Sec. 104(a). Über dieses Erforderlichkeitsprinzip wird auch die Speicherdauer der Daten begrenzt, Title I, Sec. 104(b) CPBRA.⁶²¹ Ausgenommen sind Datenverarbeitungen zu den in Sec. 4(n) CPBRA abschließend genannten Zwecken sowie Datenanalysen unter Aufsicht von Privacy Review Boards. Werden Maßnahmen zur Verstärkung von Transparenz und indi-
White House, Consumer Data Privacy (), S. f. White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. .
300
Kapitel 4 USA
vidueller Kontrolle getroffen, ist eine über die Erforderlichkeit hinausgehende Datenverarbeitung und ‐aufbewahrung möglich, Title I, Sec. 104(c) CPBRA.
e) Datensicherheit Abhängig von den Missbrauchsrisiken des Datensatzes einer verantwortlichen Stelle muss diese gem. Title I, Sec. 105 CPBRA ausreichende Sicherungsmaßnahmen vor Verlust, unautorisiertem Zugriff, Zerstörung und Änderung treffen (security).⁶²² Die im Weißbuch bestehende Vorgabe, im Missbrauchsfall die betroffenen Verbraucher und die zuständigen Behörden zu informieren,⁶²³ hat in den CPBRA keinen Eingang gefunden.
f) Einsichtnahme und Richtigkeit Verbrauchern soll ein Recht auf Einsichtnahme (access) in ihre bei einem Unternehmen gespeicherten Daten eingeräumt werden, Title I, Sec. 106(a) CPBRA. Das Ausmaß und die Art des Zugangs werden u. a. nach dem Gefahrenpotential für die Privatheit und den Kosten für die verantwortliche Stelle bestimmt. Die verantwortliche Stelle hat mit vernünftigen und in Bezug auf potentielle Privatheitsrisiken angemessenen Verfahren sicherzustellen, dass die gespeicherten Daten korrekt sind, Title I, Sec. 106(b) CPBRA (accuracy). Dies gilt u. a. nicht für Daten, die direkt vom Betroffenen selbst stammen, Title I, Sec. 106(b)(2)(B) CPBRA. Gem. Title I, Sec. 106(c)(1) CPBRA muss die verantwortliche Stelle ein vernünftiges und in Bezug auf die potentiellen Privatheitsrisiken angemessenes Verfahren vorsehen, in dem Betroffene die Richtigkeit oder Vollständigkeit der zu ihnen bestehenden Daten bestreiten und ihre Berichtigung oder Löschung verlangen können. Die Berichtigung oder Löschung von Daten, die nicht zu einer negativen Kreditentscheidung führen können, kann verweigert werden, bis sich der Betroffene authentifiziert, Title I, Sec. 106(c)(2) CPBRA. Danach bleibt eine Weigerung in den in Title I, Sec. 106(c)(3) CPBRA abschließend genannten Fällen zulässig, etwa wenn der Löschung oder Änderung gesetzliche Verpflichtungen entgegenstehen.
White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. .
H. Weißbuch der Obama-Regierung
301
g) Verantwortlichkeit Das Verantwortlichkeitsprinzip (accountability) aus Title I, Sec. 107 CPBRA sieht vor, dass Unternehmen Maßnahmen ergreifen sollen, die ihre Konformität mit der CPBR sicherstellen. Dies kann durch ein Maßnahmenbündel von Mitarbeiterschulungen, internen und externen Audits sowie der Einführung eines Verantwortlichen für den Datenschutz im Unternehmen, Chief Privacy Officer (CPO), geschehen. Bei Datenübermittlungen muss der Vertragspartner vertraglich auf die Einhaltung der Prinzipien verpflichtet werden.⁶²⁴
2. Durchsetzung des Consumer Privacy Bill of Rights Act Der Entwurf sieht in Title II eine direkte Durchsetzung des CPBRA durch die FTC und die Generalstaatsanwaltschaft der Bundesstaaten vor, Title II, Sec. 201 f. CPBRA.⁶²⁵ Eine Verletzung der CPBRA stellt gem. Title II, Sec. 201(a) CPBRA eine irreführende oder unlautere Handlung i.S.v. 15 U.S.C. § 45 FTCA dar. Der FTC stehen zur Durchsetzung ihre Kompetenzen aus dem FTCA zur Verfügung, Title II, Sec. 201(b) CPBRA. Hinsichtlich der Bußgelder trifft Title II, Sec. 203 CPBRA eine Sonderregelung. Danach kann die FTC neben Unterlassungsansprüchen auch Bußgelder bis zu einer Gesamtsumme von USD 25.000.000 geltend machen und falls nötig gerichtlich durchsetzen, Title II, Sec. 203(a)(3) CPBRA. Die Generalstaatsanwaltschaft eines Bundesstaates kann im Interesse der Bürger eine zivilrechtliche Klage beim District Court auf Unterlassung erheben, wenn die Verletzung des Title I CPBRA einen Schaden bei einer substantiellen Anzahl der Bürger des Bundesstaats verursacht, Title II, Sec. 202(a) CPBRA. Die FTC hat die Möglichkeit, sich an dem Zivilverfahren als Partei zu beteiligen oder auch die Hauptverantwortung für die Rechtsdurchsetzung zu übernehmen, Title II, Sec. 202(b)(2) CPBRA. Ein Klagerecht Privater ist gem. Title IV, Sec. 403 CPBRA ausgeschlossen.
3. Durchsetzbare Codes of Conduct als sicherer Hafen Zur Verbesserung der Gesetzeskonformität setzt der CPBRA in Title III auf eine Erhöhung der Anreize, sich einem durchsetzbaren CoC zu unterwerfen.
White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. , .
302
Kapitel 4 USA
a) Ausarbeitungsverfahren: Verhandlungslösung und Registrierung Der Entwurf des Weißen Hauses sieht die in den USA als Verfahren bereits gesetzlich geregelte Verhandlungslösung⁶²⁶ für die Implementierung von CoC als innovativen Schritt zur Umsetzung der CPBR unter Federführung des Wirtschaftsministeriums vor, Title III, Sec. 301(a)(2)(A) CPBRA.⁶²⁷ Bei der vorgesehenen Verhandlungslösung kann das Wirtschaftsministerium Interessenvertreter wie Industrieverbände, einzelne Unternehmen, Vertreter der Zivilgesellschaft wie Verbraucherverbände, Experten aus Forschung und Praxis einladen, um brancheneinheitliche Regelungen zu erzielen.⁶²⁸ Die FTC soll autorisiert werden, die von den Interessengruppen erarbeiteten CoC auf ihre Übereinstimmung mit dem CPBRA zu überprüfen und für den Fall von negativen Abweichungen abzulehnen oder bei Erfüllung der Voraussetzungen zu genehmigen, Title III, Sec. 301(a)(2)(A) CPBRA. Für den Fall der Annahme erfolgt periodisch – nicht eher als drei und nicht später als fünf Jahre nach der Genehmigung – sowie bei neuen Entwicklungen eine erneute Bewertung des CoC, Title III, Sec. 301(a)(6) CPBRA.⁶²⁹ Vor der Genehmigungsentscheidung der FTC ist der Öffentlichkeit Gelegenheit zur Kommentierung des CoC zu geben. Darüber hinaus muss die FTC die Gründe ihrer Entscheidung öffentlich zugänglich machen, Title III, Sec. 301(a)(3) CPBRA. Als wesentlichen Vorteile von CoC nennt das Weiße Haus in seiner Entwurfsbegründung die Flexibilität, Schnelligkeit und Dezentralität dieser Form der Regelungsfindung, die insbesondere auch durch die Einbeziehung internationaler Vertreter in den Meinungsbildungsprozess geeignet ist, eine Lösung auf globaler Ebene zu bieten.⁶³⁰ Alternativ können der FTC auch CoC zur Genehmigung vorgelegt werden, die in einem Verfahren entstanden sind, an dem alle interessierten Interessenvertreter gleichberechtigt teilnehmen konnten und in dem bestimmte Mindestanforderungen an die Transparenz des Prozesses erfüllt wurden, Title III, Sec. 301(a)(2)(B) CPBRA. Die genauen Vorgaben zur Erarbeitung eines CoC werden gem. Title III, Sec. 301(c) CPBRA von der FTC erarbeitet und veröffentlicht.
Negotiated Rulemaking Act of (NRA), U.S.C. §§ – . White House, Consumer Data Privacy (), S. . Rubinstein, ISJLP , (); ders., Berkeley Tech. L.J. , (); White House, Consumer Data Privacy (), S. . Zu den Ausgestaltungsmöglichkeiten eines solchen Regulierungsnetzwerks s. Baldwin/Cave/Lodge, Understanding Regulation, S. ff. White House, Consumer Data Privacy (), S. , . White House, Consumer Data Privacy (), S. f.
H. Weißbuch der Obama-Regierung
303
b) Teilnahmevorteil „sicherer Hafen“ Um einen Anreiz für die Erstellung und Implementierung von CoC zu schaffen, soll denen, die sich der Selbstregulierung unterwerfen, ein sicherer Hafen (safe harbor) gewährt werden, Title III, Sec. 301(d) CPBRA. Das bedeutet im Fall eines Verfahrens nach Title II CPBRA, dass der Betroffene eine ihm vorgeworfene Verletzung des Title I CPBRA vollständig widerlegen kann, sofern er seine Teilnahme an einem von der FTC genehmigten CoC und seine Konformität damit beweist.
c) Durchsetzung der Codes of Conduct durch private Verwalter Die Verwaltung und Durchsetzung der CoC wird Privaten übertragen, die von der FTC nach Überprüfung ihrer Eignung durch eine Zertifizierung zugelassen werden, Title III, Sec. 301(b)(1) und (2) CPBRA. Der Verwalter muss einmal jährlich der FTC einen Bericht über seine Arbeit vorlegen, Title III, Sec. 301(b)(4) CPBRA. Die Zertifizierung ist für maximal fünf Jahre gültig und kann von der FTC jederzeit wieder entzogen werden, wenn der Verwalter keinen adäquaten Datenschutz durchsetzt, Title III, Sec. 301(b)(3) CPBRA.
4. Verhältnis zu sonstigen Regelungen Gem. Title IV, Sec. 401 CPBRA werden die Anwendung und Durchsetzung gliedstaatlicher oder lokaler Regelungen auf verantwortliche datenverarbeitende Stellen grundsätzlich insoweit ausgeschlossen, als der CPBRA Vorgaben zur Datenverarbeitung vorsieht (preemption). Neben dem CPBRA bleiben gliedstaatliche und lokale Regelungen zur Datenverarbeitung in bestimmten, abschließend in Title IV, Sec. 401(d) CPBRA genannten Bereichen anwendbar, wie etwa Datenverarbeitungsregelungen im Bereich Finanzen und Gesundheit, in Bezug auf Minderjährige oder zur Verhinderung von Betrug. Auch können Regeln zur Notifizierungspflicht bei Datensicherheitsverletzungen (privacy breach notification) sowie das Tort Law parallel zu Anwendung kommen.
5. Realisierungschancen des Consumer Privacy Bill of Rights Act Politische Kommentatoren sind sich einig, dass die Chancen, dass der CPBRA im derzeitigen Kongress beschlossen wird, gering sind.⁶³¹ Gegen eine rasche Realisierung sprechen im Wesentlichen zwei Gründe: Zum einen stehen aktuell zahl-
Peterson,Washington Post . . ; Singer, N.Y. Times . . ; Dwoskin,WSJ . . ; Peltz-Steele, J. Internet L. , ().
304
Kapitel 4 USA
reiche Gesetzesvorhaben an, denen politisch Vorrang eingeräumt wird,⁶³² zum anderen findet der Vorschlag bei der republikanischen Mehrheit im Kongress kaum Befürworter.⁶³³ Auch von Seiten der FTC⁶³⁴ sowie von US-amerikanischen Datenschutzorganisationen⁶³⁵ und Abgeordneten, die sich für den Datenschutz einsetzen,⁶³⁶ steht der Vorschlag des Weißen Hauses in der Kritik. Ihrer Ansicht nach enthält der Vorschlag zu viele Ausnahmen und Schlupflöcher und stattet die FTC außerdem nicht mit den erforderlichen Mitteln aus, um die zusätzlichen Aufgaben im Zusammenhang mit der Beurteilung von CoC angemessen bewältigen zu können. Ein weiterer Kritikpunkt ist zudem, dass durch die Verdrängung gliedstaatlicher Regelungen nicht nur schärfere Vorgaben einzelner Bundesstaaten verhindert, sondern auch Bürgern die Möglichkeit genommen wird, ihre Rechte vor Gerichten selbst geltend zu machen, wie es gliedstaatliche Regelungen z.T. vorsehen.⁶³⁷
II. Internationale Interoperabilität datenschutzrechtlicher Regulierungen Zur Verbesserung der Interoperabilität von datenschutzrechtlichen Regulierungen stützt sich das Weißbuch auf drei Maßnahmen: gegenseitige Anerkennung von Gesetzgebungen zum Datenschutz im Bereich der Privatwirtschaft, internationale Aushandlung von CoC sowie einen Ausbau der Kooperation bei der Durchsetzung.⁶³⁸
Spainhour, Brooks Pierce . . . Peterson,Washington Post . . ; Singer, N.Y. Times . . ; Dwoskin,WSJ . . . Auf kritische Äußerungen von hochrangigen FTC-Vertretern nehmen bspw. Spainhour, Brooks Pierce . . und Peterson, Washington Post . . Bezug. Consumer Privacy Groups, Letter to the President . . . Markey, White House Privacy Bill of Rights Needs to Go Further, abrufbar unter: http://www. markey.senate.gov/news/press-releases/markey-white-house-privacy-bill-of-rights-needs-to-gofurther. Consumer Privacy Groups, Letter to the President . . ; siehe oben:Teil , Kap. , E., I., . White House, Consumer Data Privacy (), S. .
H. Weißbuch der Obama-Regierung
305
1. Gegenseitige Anerkennung Mit der wechselseitigen Anerkennung von Gesetzesstandards wird eine Durchsetzung anerkannter Prinzipien durch die zuständigen Institutionen des Partnerlands ermöglicht.⁶³⁹ Ziel ist es, globale Datenflüsse zu erleichtern. Im Verhältnis zwischen den USA und der EU wurde dazu die Safe HarborEntscheidung mit der Möglichkeit der Selbstzertifizierung der Unternehmen erlassen, die allerdings vom EuGH in seinem Urteil vom 06.10. 2015 für ungültig erklärt wurde.⁶⁴⁰ Im Verhältnis zur Asia Pacific Economic Cooperation (APEC) wählten die USA einen anderen Weg und traten 2012 dem Cross Border Privacy Rules (CBPR)-System⁶⁴¹ der APEC bei, das auf dem APEC Privacy Framework ⁶⁴² basiert.⁶⁴³ Bei dem APEC Privacy Framework handelt es sich um eine Absprache der APEC-Staaten, die u. a. neun Datenschutz-Prinzipien enthalten.⁶⁴⁴ Im Rahmen des CBPR-Systems beantragen interessierte datenverarbeitende Stellen eine Zertifizierung bei der für sie zuständigen Behörde, indem sie ihre Konformität mit den beschriebenen Prinzipien nachweisen.⁶⁴⁵ Dadurch wird ein Datenaustausch innerhalb des Rechtsraums der am CBPR-System der APEC teilnehmenden Länder ermöglicht.
2. Internationale Aushandlung der Codes of Conduct Das Weißbuch sieht vor, dass das DOC und das DOS weitere Mechanismen zur Verbesserung der Interoperabilität ausarbeiten.⁶⁴⁶ Insbesondere für Sektoren, die nicht der Safe Harbor- bzw. Privacy Shield-Regelung unterfallen, könnten CoC einen internationalen Datenaustausch ermöglichen. Dazu sollen Interessenver-
White House, Consumer Data Privacy (), S. . Siehe oben: Teil , Kap. , C., II., . CBPR-System – Policies, Rules, Guidelines, abrufbar unter: https://cbprs.blob.core.windows. net/files/Cross%Border%Privacy%Rules%-%Policies,%Rules%and%Guide lines%.pdf. APEC, Privacy Framework , abrufbar unter: http://www.apec.org/Groups/Committeeon-Trade-and-Investment/~/media/Files/Groups/ECSG/_ecsg_privacyframewk.ashx. DOS, Presseerklärung . . , abrufbar unter: http://-.commerce.gov/news/ press-releases////acting-us-commerce-secretary-rebecca-blank-announces-us-partici pation. APEC, Privacy Framework , S. ff. White House, Consumer Data Privacy (), S. ; Hirsch, Ohio St. L.J. , f. (); Voskamp/Kipker/Yamato, DuD , , ; Voskamp, Transnationaler Datenschutz, S. . White House, Consumer Data Privacy (), S. .
306
Kapitel 4 USA
treter, wie oben beschrieben,⁶⁴⁷ gemeinsam CoC aushandeln mit dem Unterschied, dass auch internationale Repräsentanten beteiligt sind. Das Ergebnis des Prozesses sollen CoC sein, die im gesamten Wirtschaftsraum der Kooperationspartner Geltung beanspruchen und für Rechtssicherheit sorgen.⁶⁴⁸ Der Vorschlag des Weißen Hauses skizziert darüber hinaus die Möglichkeit, das Safe Harbor-Abkommen durch international ausgehandelte CoC zu ergänzen.⁶⁴⁹ Um in den beteiligten Rechtsordnungen anerkannt zu werden, müssten die solchermaßen erarbeiteten CoC den Safe Harbor-Prinzipien entsprechen und könnten so für einzelne Branchen rechtssicherheitsfördernde Konkretisierungen festschreiben. Vorstellbar ist, dass die CoC – ähnlich wie beim oben beschriebenen CBPR-System der APEC⁶⁵⁰ – durch die jeweils zuständige Behörde genehmigt werden. Das Weißbuch enthält dazu keine Ausführungen.
3. Kooperation bei der Durchsetzung Die USA und auch die EU sind an Initiativen beteiligt, die der Schaffung von Rahmenbedingungen und der Vereinfachung internationaler Durchsetzungsprozesse dienen. Das Weißbuch der Obama-Regierung setzt auf eine Weiterführung und den Ausbau bestehender multi- und bilateraler Kooperationen zur Verbesserung der internationalen Durchsetzung.⁶⁵¹
a) Multilaterale Initiativen Basierend auf der Recommendation on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy ⁶⁵² der OECD aus dem Jahr 2007 wurde im März 2010 das Global Privacy Enforcement Network (GPEN) als bislang einziges globales Netzwerk gegründet, das sich ausschließlich der Zusammenarbeit bei der Durchsetzung widmet und in dem alle Datenschutzbehörden mitwirken können.⁶⁵³ Ziele des Netzwerks sind u. a. der Austausch von Best Practice-Lösungen sowie die Unterstützung von grenzüberschreitenden Durchsetzungsinitiativen.⁶⁵⁴
Siehe oben: Teil , Kap. , H., I., ., a). White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. . Die Überlegungen können gleichermaßen auf eine neue Kommissionsentscheidung wie das Privacy Shield übertragen werden. Siehe oben: Teil , Kap. , H., II., . White House, Consumer Data Privacy (), S. . OECD, Cross-border. GPEN, Action Plan; . Int. DSK, Aufsichtstätigkeit, S. . GPEN, Action Plan.
H. Weißbuch der Obama-Regierung
307
Die 34. Internationale Datenschutzkonferenz – die sich aus unabhängigen Datenschutzbehörden, Vertretern von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertretern aus Wissenschaft und Industrie zusammensetzt und dem Erfahrungsaustausch auf globaler Ebene dient – hat beschlossen, dass ihre Mitglieder in multilateralen Netzwerken zur Durchsetzung des Datenschutzes zusammenarbeiten sollen.⁶⁵⁵
b) Bilaterale Initiativen Zwischen der FTC und der irischen Datenschutzbehörde besteht seit 2013 ein Memorandum of Understanding (MOU) im Bereich des Datenschutzes im privaten Sektor,⁶⁵⁶ mit dem neben einem Informationsaustausch ein koordiniertes Vorgehen gegen grenzüberschreitende Privatheitsverletzungen erstrebt wird.⁶⁵⁷
4. Ergebnis Das Weißbuch der Obama-Regierung beschränkt sich beim Thema Interoperabilität weitgehend auf die Darstellung des Ist-Zustands. Der neue Vorschlag, den internationalen Datenaustausch durch ein internationales Aushandeln von CoC zu ermöglichen, wird in seiner Ausgestaltung dem DOS und dem DOC überlassen.⁶⁵⁸
III. Ergebnis Auch im Diskussionsentwurf des CPBRA findet sich keine konkrete Regulierung der Profilbildung. Der Entwurf adressiert jedoch die Kritik fehlender Mindeststandards im Datenschutz und trifft Vorgaben, die den unionalen Standards angenähert sind. Konkretisierungen dieser Vorgaben sollen von den betroffenen Industriezweigen durch CoC erarbeitet werden, so dass die Flexibilität, sich auf Besonderheiten einzelner Branchen einzustellen, erhalten bleibt. Wie ein solcher CoC für Profile Sozialer Netzwerke unter Einbeziehung der Vorschläge zur Erzielung von Interoperabilität mit unionsrechtlichen Datenschutzvorgaben ausgestaltet werden könnte, ist Gegenstand des dritten Teils dieser Untersuchung.
. Int. DSK, Welt ohne Grenzen, S. ; . Int. DSK, Zukunft des Datenschutzes, S. . FTC/ODPC Ireland, MOU. FTC/ODPC Ireland, MOU, II., C. White House, Consumer Data Privacy (), S. ; siehe oben: Teil , Kap. , H.
Teil 3: Verbesserung des Privatheitsschutzes durch transatlantische Standards Die vorausgehenden Länderberichte haben in Bezug auf die Profilbildung durch Betreiber Sozialer Netzwerke die Grenzen nationaler Rechtssetzung wie Durchsetzung aufgezeigt. Der deutsche Bericht hat eine erhebliche Diskrepanz zwischen den rechtlichen Vorgaben und der tatsächlichen Profilbildungspraxis offengelegt, der in der fehlenden Durchsetzbarkeit des nationalen Rechts gegenüber US-amerikanischen Unternehmen begründet liegt. Bzgl. der Anwendbarkeit unionalen Datenschutzrechts wird die DS-GVO Rechtssicherheit schaffen. Der Konkretisierungsbedarf des materiellen Rechts hinsichtlich einer rechtmäßigen Profilbildung bleibt jedoch bestehen. In den USA ist die FTC als Verbraucherschutzbehörde die treibende Kraft bei der Durchsetzung des Privatheitsschutzes. Sie ist jedoch im Verhältnis zu ihren Aufgaben eine relativ kleine Behörde, die sich auf wenige herausgehobene Fälle beschränken muss. Es fehlt an einer etablierten Durchsetzungspraxis in Bezug auf Profile, die Rechtssicherheit und einen effektiven Privatheitsschutz gewährleisten könnte. Vor diesem Hintergrund stellt sich die Frage, ob eine Verbesserung der Interoperabilität durch die Schaffung eines gemeinsamen Standards und durch eine Kooperation bei der Durchsetzung für beide Seiten eine vorteilhafte Lösung wäre und zu einem effektiveren Schutz der Privatheit führen könnte. Der letzte Teil der Arbeit untersucht zur Beantwortung dieser Frage die aktuelle Interessenlage in Bezug auf eine transatlantische Kooperation und wägt ihre Vor- und Nachteile gegenüber nationalen Lösungen ab. Anschließend wird überprüft, inwiefern eine Konvergenz bei den grundlegenden Prinzipien, die Verbesserung der Zusammenarbeit der Rechtssysteme auf untergesetzlicher Ebene und ein Ausbau der Kooperation bei der Durchsetzung möglich sind und zur Verbesserung des Privatheitsschutzes führen können.
Kapitel 5 Chancen von Interoperabilität Der folgende Abschnitt beantwortet zunächst die Fragen, ob eine transatlantische Zusammenarbeit zur Verbesserung des Privatheitsschutzes realistisch und geeignet ist und klärt zudem, warum sie nationalen Lösungen vorgezogen wird. Danach werden Optionen zur Verbesserung einer transatlantischen Kooperation, namentlich der Vorschlag des Weißen Hauses zur Verbesserung der Interoperabilität,¹ auf ihre Eignung für eine transatlantische Zusammenarbeit bei der Erarbeitung von gemeinsamen Vorgaben für Profile Sozialer Netzwerke im Vergleich zu alternativen Möglichkeiten überprüft.
A. Gründe für vereinheitlichte Standards Nachfolgend wird die aktuelle Interessenlage hinsichtlich des transatlantischen Datenaustauschs untersucht, um festzustellen, wie hoch die Bereitschaft beider Seiten ist, die Interoperabilität der rechtlichen Vorgaben im Bereich des Privatheitsschutzes zu verbessern. Im Anschluss ist zu klären, ob eine transatlantische Kooperation zum Schutz der Privatheit im Hinblick auf die Profile Sozialer Netzwerke gegenüber nationalen Lösungen vorteilig ist.
I. Aktuelle Interessenlage Die EU und Nordamerika sind die weltweit am stärksten miteinander vernetzten Wirtschaftsregionen. 2014 erwirtschafteten sie zusammengenommen 50 Prozent des Werts des Weltsozialprodukts,² 2015 waren es 35 Prozent bezogen auf die Kaufkraftparität.³ Das jährliche Handelsvolumen zwischen beiden Regionen beträgt etwa EUR 800 Milliarden.⁴ Die USA sind der wichtigste Handelspartner der EU. Etwa 14 Prozent der EU-Warenexporte erfolgen in die USA. Auf die EU wiederum entfällt mit 17 Prozent der größte Anteil des US-Warenhandels.⁵ Insbesondere Deutschland und die USA pflegen intensive Handels- und Investitionsbeziehungen, welche die USA zum wichtigsten Wirtschaftspartner
Siehe oben: Teil , Kap. , H., II., . CTR, Transatlantic Economy , S. ; ECIPE, Economic Importance, S. . CTR, Transatlantic Economy , S. . IW, TTIP, S. ; CTR, Transatlantic Economy , S. . IW, TTIP, S. .
312
Kapitel 5 Chancen von Interoperabilität
Deutschlands außerhalb der EU machen. Die deutschen Warenimporte aus den USA lagen 2014 bei EUR 48,6 Mrd., die deutschen Exporte in die USA bei EUR 96,1 Mrd. (8,5 Prozent der Gesamtausfuhren). Für die Vereinigten Staaten ist Deutschland der sechstgrößte Absatzmarkt.⁶ Die elektronische Verarbeitung personenbezogener Daten spielt praktisch in jedem Industriesektor durch die Erfassung von Kunden- oder Mitarbeiterdaten eine Rolle.⁷ Schätzungen zufolge wird die Hälfte aller Dienstleistungen durch Informations- und Telekommunikationsdienste unterstützt oder erst ermöglicht.⁸ Die Unterbrechung transatlantischer Daten- und Dienstleistungsströme würde laut einer Studie zu einem Absinken des Bruttoinlandsprodukts (BIP) der EU um 0,8 bis 1,3 Prozent führen.⁹ Trotz der großen wirtschaftlichen Bedeutung des transatlantischen Handels für beide Seiten und innerhalb der Weltwirtschaft müssen Unternehmen beim Export Handelshemmnisse überwinden.¹⁰ Im Bereich der Datenverarbeitung sind diese, wie gezeigt,¹¹ insbesondere in unterschiedlichen gesetzlichen Anforderungen begründet. Aufgrund der geringen Durchsetzung des EU-Datenschutzrechts gegenüber US-Unternehmen wirkt sich diese Disparität jedoch wirtschaftlich für Datenverarbeiter in den USA kaum aus.¹² Die EU erhöht jedoch mit der Ausdehnung des Anwendungsbereichs unionalen Datenschutzrechts durch das Urteil des EuGH in der Rechtssache Google Spain ¹³ sowie mit der DS-GVO (Art. 3 II DS-GVO)¹⁴ erheblich den Druck auf die USA, sich unionsrechtlichen Standards im Datenschutzrecht anzupassen. Aufgrund des Safe Harbor-Urteils des EuGH¹⁵ ist zudem die Neuverhandlung der Kommissionsentscheidung unerlässlich geworden. Die im Entwurf des Privacy Shield vorgesehenen strengeren Vorgaben sowie die verstärkte Überwachung und Durch-
BDI, Transatlantische Beziehungen, , abrufbar unter: http://www.bdi.eu/Transatlanti sche-Beziehungen.htm. ECIPE, Economic Importance, S. f.; Sebastian, Syracuse J. Sci. & Tech. L. Rep. , (). UNCTAD, Information Economy Report , XVII. ECIPE, Economic Importance, S. . IW, TTIP, S. Siehe oben: Teil , Kap. , A., I. Siehe oben: Teil , Kap. , C., IV., . EuGH . . – C-/, C-/, Slg. unv. = NJW , – VDS; EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain. Siehe oben: Teil , Kap. , C., I., ., b), cc) und E., I. EuGH . . , Rs. C-/, Slg. unv. – Safe Harbor.
A. Gründe für vereinheitlichte Standards
313
setzung¹⁶ setzen US-Unternehmen weiter unter Zugzwang, unionsrechtliche Datenschutzstandards zu übernehmen. Die Ausdehnung des Anwendungsbereichs nationalen Datenschutzrechts durch den EuGH über die weite Auslegung des Niederlassungsbegriffs¹⁷ führt bereits jetzt dazu, dass auch US-Unternehmen bei Datenverarbeitungen in der EU vermehrt mit Verfahren unionaler Datenschutzbehörden rechnen müssen. Dass die Aufsichtsbehörden auch gewillt sind, gegen namhafte US-amerikanische Konzerne vorzugehen, zeigen verschiedene Verfahren in der EU, die z. T. bereits vor der EuGH-Entscheidung angestrengt wurden. Beispielsweise leiteten die Datenschutzbehörden Frankreichs CNIL¹⁸ und Spaniens AEPD¹⁹ Verfahren wegen Googles 2012 erneuerter Datenschutzbestimmung ein und verhängten Strafen von EUR 150.000 bzw. 300.000 wegen der Verletzung nationalen Datenschutzrechts. In Deutschland gingen die Datenschutzbehörden wie dargestellt²⁰ mehrfach gegen Facebook vor,²¹ aber auch gegen Google wegen der Straßenaufnahmen für den Dienst „Street View“.²² Das Vorgehen der spanischen Datenschutzbehörde gegen Google führte zum Erlass des dargestellten EuGH-Urteils²³ Google Spain. ²⁴ Gegen das Tracking von Internetnutzern durch Facebook geht seit Juni 2015 die belgische Datenschutzbehörde CPVP gerichtlich vor.²⁵
Siehe oben: Teil , Kap. , C., II., ., c), bb). Siehe oben: Teil , Kap. , C., I., ., b), bb), (), (bb). CNIL, Deliberation No. – of the Sanctions Committee of CNIL imposing a financial penalty against Google Inc., . . , abrufbar unter: http://www.cnil.fr/fileadmin/docu ments/en/D-_Google_Inc_EN.pdf. AEPD, La AEPD Sanciona a Google por vulnerar gravemente los derechos de los ciudadanos, . . , abrufbar unter: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_pren sa//notas_prensa/common/diciembre/_NP_AEPD_POL_PRIV_GOOGLE.pdf. Siehe oben: Teil , Kap. , C., I., ., b), bb), (), (aa). OVG Schleswig ZD , , – Klarnamenpflicht; KG ZD , , – Freundefinder. HmbfDI, Vorab-Widerspruch gegen Veröffentlichungen in Google Street View: So funktioniert’s, Pressemitteilung vom . . , abrufbar unter: https://www.datenschutz-hamburg. de/uploads/media/pressemeldung---__Vorab-Widerspruch_GoogleStreetView__. pdf. Siehe oben: Teil , Kap. , C., I., ., b), bb), (), (bb). EuGH . . – C-/, Slg. unv. = NJW , = ZD , – Google Spain. Gibbs, Guardian . . ; Spiegel Online, Prozess in Belgien: Facebook ficht Cookie-Urteil wegen des Wortes Cookie an, . . , abrufbar unter: http://www.spiegel.de/netzwelt/netz politik/facebook-in-belgien-argumente-gegen-datr-cookie-urteil-a-.html. Das Gutachten der CPVP ist abrufbar unter: http://www.privacycommission.be/sites/privacycommission/files/ documents/recommendation___.pdf.
314
Kapitel 5 Chancen von Interoperabilität
Die rechtssicherheitschaffende Einführung der DS-GVO wird diese Entwicklung verstärken. Die Verordnung trat am 24.05. 2016 in Kraft und wird ab dem 25.05. 2018 unmittelbar gelten.²⁶ Der Compliance-Druck wird dabei durch verschärfte Geldbußen von bis zu 4 Prozent des weltweiten Firmenumsatzes zunehmen.²⁷ Die DS-GVO wird deshalb in den USA vielfach als Handelshemmnis empfunden, das zu einer Kostenerhöhung für Unternehmen und Verbraucher führt und den transatlantischen Handel einschränkt.²⁸ Um diesen Effekt abzumildern und betroffenen Unternehmen den Anpassungsprozess zu erleichtern sowie um rechtliche Risiken für sie zu minimieren, kann im Zuge einer transatlantische Kooperation eine verlässliche Grundlage geschaffen werden, die den wirtschaftlich wichtigen transatlantischen Handel und Austausch im Bereich der Datenverarbeitung sichert und unterstützt. Die Herstellung von Interoperabilität zwischen datenschutzrechtlichen Vorgaben der EU und den USA sowie eine verbesserte Zusammenarbeit bei der Durchsetzung sind geeignete Instrumente, die vor diesem Hintergrund gute Realisierungschancen haben. Aufgrund des sog. Brussels Effect,²⁹ wonach sich die internationale Gesetzgebung den hohen Standards der EU im Laufe der Zeit anpasst,³⁰ kann es so auf lange Sicht zu einem Export unionsrechtlicher Datenschutzstandards auch in die USA kommen.³¹
II. Vorteile Der Nutzen vereinheitlichter Regelungen liegt in der Erleichterung des internationalen Rechtsverkehrs.³² Derzeit monieren international tätige Betreiber Sozialer Netzwerke die Vielzahl an unterschiedlichen rechtlichen, einander zum Teil widersprechenden Vorgaben, die ihnen ein rechtskonformes Verhalten quasi unmöglich machten.³³ Eine Vereinheitlichung wesentlicher Vorgaben würde nicht
Art. DS-GVO; http://eur-lex.europa.eu/legal-content/DE/NOT/?uri=OJ:JOL___R_ . Art. V, VI DS-GVO. Sebastian, Syracuse J. Sci. & Tech. L. Rep. , f. (); ECIPE, Economic Importance, S. . Bradford, Nw. U. L. Rev. ff. (). Bennett, in: Agre/Rotenberg, Technology and Privacy, S. ; Bygrave, Data Privacy, S. ; Shaffer, Yale J. Int’l L. ff., (). Peltz-Steele, J. Internet L. , (). Zweigert/Kötz, Rechtsvergleichung, S. . So ließ Facebook den Versuch einer Selbstregulierung Sozialer Netzwerke in Deutschland mit der Begründung scheitern, man könne als international tätiges Unternehmen keine regionalen
A. Gründe für vereinheitlichte Standards
315
nur den Compliance-Druck deutlich erhöhen, sondern nähme den Betreibern auch die Last, sich mit den diversen nationalen gesetzlichen Vorgaben und regionalen Datenschutzbehörden auseinandersetzen und u. U. sogar unterschiedliche Ausgestaltungen eines Dienstes erstellen zu müssen.³⁴ Die Vereinheitlichung führt nicht nur durch die Arbeitsersparnis zu einer Kostenreduzierung, sondern zudem zu einer Verbesserung der internationalen Wettbewerbsbedingungen.³⁵ Durch eine Harmonisierung werden diese angeglichen, so dass die bisher aus Sicht der Betreiber Sozialer Netzwerke bestehenden Standortnachteile wegen strenger datenschutzrechtlicher Vorschriften entfallen.³⁶ Außerdem wäre eine gemeinsame Regelung geeignet, die bislang bestehende Rechtsunsicherheit durch klare Vorgaben zu beseitigen und damit zur besseren Voraussehbarkeit und erhöhten Rechtssicherheit beizutragen.³⁷ Durch einen Ausbau der Kooperation der Aufsichtsbehörden können zudem weitere Durchsetzungsschwierigkeiten angegangen werden. Mittel und Personal sind knapp bemessen.³⁸ Eine Verbesserung der Zusammenarbeit ermöglicht einen fachlichen Austausch, eine Kompetenzbündelung und erleichtert einen gezielten Einsatz von Mitteln sowie gegenseitige Unterstützung bei komplexen internationalen Strukturen.³⁹ Gerade eine verstärkte Zusammenarbeit mit der FTC bewirkt einen erheblichen Fortschritt, da die Behörde bereits ihre Schlagkraft verschiedentlich unter Beweis gestellt hat⁴⁰ und den Europäern als starker Partner gegenüber in den USA ansässigen Betreibern Sozialer Netzwerken zur Seite stehen könnte.
III. Nachteile Eine transatlantische Kooperation bedeutet zunächst einen erhöhten Aufwand an Zeit und Mitteln. Es bestehen bisher wenige Erfahrungen der Kooperation auf der untergesetzlichen Ebene, auf die zurückgegriffen werden könnte. Es bedarf der Kodizes unterzeichnen, s. http://www.heise.de/newsticker/meldung/Selbstregulierung-von-So cial-Networks-gescheitert-.html. Facebook, Response to EC , S. ; European Social Networks, Response to EC , S. . White House, Consumer Data Privacy (), S. , . FTC, Consumer Privacy , S. f.; Hans, Mich. Telecomm. & Tech. L. Rev. , (); Scott, Pac. McGeorge Global Bus. & Dev. L.J. , (). European Social Networks, Response to EC , S. f. Zweigert/Kötz, Rechtsvergleichung, S. . Siehe oben: Teil , Kap. , C., IV., ., a), bb). Brill, in: Hijmans/Kranenborg, Data Protection, S. . Siehe oben: Teil , Kap. , C., II., ., c), aa), (), (a) und Kap. , D., I.
316
Kapitel 5 Chancen von Interoperabilität
Implementierung neuer Strukturen, um eine reibungslose Abstimmung der Beteiligten zu ermöglichen. Die Gefahr, dass eine transatlantische Kooperation nur zum Preis der Absenkung des Schutzniveaus zu erreichen ist, besteht aufgrund der oben beschriebenen Breitenwirkung der DS-GVO auch für US-Unternehmen⁴¹ indes nicht.
IV. Ergebnis Die durch die Divergenz der Rechtsordnungen entstehenden Reibungsverluste und Unsicherheiten sind sowohl für die wirtschaftliche Entwicklung internationaler Sozialer Netzwerke als auch für den Privatheitsschutz nachteilig.⁴² Neben diesen generellen Erwägungen sprechen gerade die dargestellten aktuellen Entwicklungen der Gesetzgebung und Rechtsprechung in der EU und in den USA für die Verbesserung der transatlantischen Kooperation im Bereich des Privatheitsschutzes. Europäische wie US-amerikanische Forschung und Entscheidungsträger sind sich deshalb trotz des erheblichen Aufwands grundsätzlich einig, dass datenschutzrechtliche Herausforderungen des Internets einer internationalen Kooperation bedürfen.⁴³ Eine kompromisslose Durchsetzung unionsrechtlicher Standards entspricht weder wirtschaftlicher noch politisch gewollter Realität, welche die gesellschaftliche Bedeutung Sozialer Netzwerke im Blick hat.⁴⁴ Eine Kooperation wird als der entscheidende Punkt für die weitere Entwicklung der Internetwirtschaft bewertet.⁴⁵
B. Untergesetzliche Regulierungsmöglichkeiten und ihre Eignung für Profile Sozialer Netzwerke Zur Schaffung von Interoperabilität datenschutzrechtlicher Regulierungen setzt der Vorschlag der Obama-Regierung u. a. auf international ausgehandelte CoC.⁴⁶ Siehe oben: Teil , Kap. , C., I., ., b), cc) und Teil , Kap. , A., I., . DOC IPTF, Dynamic Framework, S. ; Hirsch, Ohio St. L.J. , (). Für viele Masing, SZ . . ; Schwartmann, RDV , ; de Hert/Papakonstantinou, ISJLP , (); Marcinkowski, Ohio St. L.J. , (); White House, Consumer Data Privacy (), S. ; Schinasi, Colum. J. Transnat’l L. , (); Schwartz, Harv. L. Rev. , (). Schwartz, Harv. L. Rev. , , (); Shaffer, Yale J. Int’l. L. (); siehe oben: Einl., I. White House, Consumer Data Privacy (), S. . Siehe oben: Teil , Kap ., H., II., .
B. Untergesetzliche Regulierungsmöglichkeiten
317
Damit wählt er eine Kombination aus staatlich-imperativer Regelungssetzung und freiwilliger Selbstregulierung betroffener Wirtschaftskreise, bei der in einem Zusammenspiel zwischen Staat und privaten Akteuren Regelungen gefunden und durchgesetzt werden. Hierfür wurde der Begriff der regulierten Selbstregulierung⁴⁷ geprägt, der als Selbstregulierung definiert wird, „die in einen gesetzlichen Rahmen eingepasst ist bzw. auf gesetzlicher Grundlage erfolgt“.⁴⁸ Im folgenden Abschnitt wird die Eignung von CoC für die Herstellung von Interoperabilität zwischen US-amerikanischen und deutschen Regeln zur Profilbildung und ‐nutzung durch Betreiber Sozialer Netzwerke bewertet und im Vergleich zu alternativen Lösungsansätzen dargestellt. Im Anschluss werden Optionen für ihre Durchsetzung im Wege der Kooperation erörtert.
I. Verfassungs- und unionsrechtliche Vorgaben Für die gesetzgeberische Gestaltung von Mechanismen der Selbstregulierung sind in Deutschland verfassungs- und unionsrechtliche Vorgaben zu berücksichtigen. Da in den USA dagegen weder staatliche Schutzpflichten noch eine mittelbare Drittwirkung der Grundrechte besteht, kann die Selbstregulierung in den USA gesetzesersetzend sein und auch über das hinausgehen, was gesetzlich regelbar wäre.⁴⁹ In Deutschland hängt die Möglichkeit zur Selbstregulierung davon ab, wie grundrechtsrelevant die betroffene Materie ist.⁵⁰ Soweit Eingriffe in das Grundrecht auf informationelle Selbstbestimmung geregelt werden, die einer gesetzlichen Erlaubnis bedürfen, ist eine gesetzesersetzende Selbstregulierung verfassungswidrig.⁵¹ Der Staat kann seine insoweit bestehende Schutzaufgabe weder inhaltlich noch verfahrensmäßig vollständig den interessierten Kreisen überlassen, sondern muss anleitende Rahmenvorgaben setzen, um eine verbindliche Selbstregulierung zu ermöglichen.⁵²
Z.T. wird der Begriff der Ko-Regulierung synonym verwendet; Schulz/Held, Regulierte Selbstregulierung, S. . Schulz/Held, Modern Government, S. f.; Baldwin/Cave/Lodge, Understanding Regulation, S. ; Marsden, Internet Co-Regulation, S. ; Hirsch, Ohio St. L.J. , (). Siehe oben: Teil , Kap. , B., I. und F. Schulz/Held, Regulierte Selbstregulierung, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Talidou, Regulierte Selbstregulierung, S. .
318
Kapitel 5 Chancen von Interoperabilität
Zum gleichen Ergebnis kommen die unionsrechtlichen Vorgaben. Eine regulierte Selbstregulierung reicht für eine effektive Umsetzung der DSRL nicht aus, da sie eine verbindliche und einklagbare gesetzliche Regelung fordert. Selbstregulierung im Rahmen des Datenschutzrechts kann also nur in Ausfüllung gesetzlicher Regelungen erfolgen.⁵³ Ihre Aufgabe in diesem Bereich ist es damit, die Regelungstiefe der gesetzlichen Vorgaben zu verstärken und den Besonderheiten der jeweiligen Branche Rechnung zu tragen.⁵⁴ Vor dem Hintergrund des Demokratieprinzips aus Art. 20 II GG ist neben grundsätzlichen materiellen Regeln sowie Überwachungs- und Durchsetzungsvorgaben ein transparenter Verfahrensrahmen zu schaffen, innerhalb dessen Verbände und Unternehmen spezifische Verhaltensregelungen treffen können.⁵⁵ Die Beteiligten müssen repräsentativ und rechenschaftspflichtig sein.⁵⁶ Für die sich ergebende Zusammenarbeit ist das Wettbewerbsrecht zu berücksichtigen.⁵⁷
II. Vor- und Nachteile untergesetzlicher Regelungsformen Gerade in Wirtschaftsbereichen, die einem raschen Wandel unterworfen sind, werden imperative staatliche Regulierungskonzepte als Hemmnisse wirtschaftlicher Entwicklung und gerade im internationalen Kontext als wenig praktikabel angesehen.⁵⁸ Für die Bedürfnisse der technologiegetriebenen, schnelllebigen Branche wird die flexiblere und unbürokratischere Selbstregulierung vielfach als vorzugswürdig angesehen.⁵⁹ Kodizes können durch die Betreiber schneller angepasst und damit besser auf dem neusten Stand gehalten werden als dies ein Gesetzgeber leisten kann.⁶⁰ Eine
Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Büllesbach, Transnationalität, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Himmels, Behavioural Targeting, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. ; Büllesbach, Transnationalität, S. ; EC, Europäisches Regieren, S. ; Himmels, Behavioural Targeting, S. . EC, Europäisches Regieren, S. . Schulz/Held, Regulierte Selbstregulierung, S. ; EC, Europäisches Regieren, S. . Zur kartellrechtlichen Zulässigkeit von datenschutzrechtlicher Selbstregulierung im Bereich des OBA s. Himmels, Behavioural Targeting, S. . Schulz/Held, Regulierte Selbstregulierung, S. ; Milina, Cardozo Arts & Ent. L.J. , f. (); Rubinstein, ISJLP , , (); Hirsch, Ohio St. L.J. , (). Talidou, Regulierte Selbstregulierung, S. ; Milina, Cardozo Arts & Ent. L.J. , f. (); Rubinstein, ISJLP , , (). Hirsch, Ohio St. L.J. , (); Schulz/Held, Regulierte Selbstregulierung, S. ; Milina, Cardozo Arts & Ent. L.J. , f. (); Rubinstein, I/S: , , (); Swire, in: NTIA, Privacy, S. ; Koukiadis, Internet Normativity, S. .
B. Untergesetzliche Regulierungsmöglichkeiten
319
Selbstregulierung hat im Kontext globalisierter Datenflüsse den Vorteil, dass sie auch ohne eine umfassende Einigkeit hinsichtlich der zugrundeliegenden Datenschutzkonzepte eine Regelung einzelner Problemfelder international bzw. transnational ermöglicht.⁶¹ Zudem können die Betreiber bei einer Selbstregulierung ihr Fachwissen und ihre Erfahrungen besser einbringen als bei einem normalen Gesetzgebungsverfahren, was insbesondere bei komplexen Sachverhalten wie der Profilbildung wichtig ist.⁶² Da die Interessen der Betreiber so ausreichende Berücksichtigung finden, ist auch der Ansporn größer, sich an die Regelungen zu halten, wodurch weniger Kontroll- und Durchsetzungskosten anfallen.⁶³ Allerdings birgt Selbstregulierung die Gefahr, dass die Beteiligung der Industrie sich in weniger ausgewogenen Regelungen niederschlagen könnte, sofern keine ausreichenden staatlichen Korrekturmechanismen bestehen.⁶⁴
III. Freiwillige oder regulierte Selbstregulierung Selbstregulierungsmodelle müssen auf drei Problemstellungen Antworten finden: 1. wer soll die Inhalte bestimmen, 2. wie können die Regulierungsobjekte zu einer Teilnahme an einer Selbstregulierung bewogen werden und 3. wie lässt sich die Einhaltung sicherstellen. Der Verfahrensrahmen gibt vor, auf welchem Weg und mit welchen Beteiligten der Inhalt der Kodizes erarbeitet wird. Beim Erstellungsprozess muss der Wunsch, einen möglichst hohen Standard zu garantieren, mit dem Bedürfnis verbunden werden, einen möglichst großen freiwilligen Input der Betreiber zu erzielen, um die Vorteile einer Selbstregulierung optimal nutzen zu können. Die bisherigen Erfahrungen Deutschlands und der USA haben gezeigt, dass auf die Freiwilligkeit von Betreibern internationaler Sozialer Netzwerke, sich an
Schuler-Harms, Netz-Communities, in: Eifert/Hoffman-Riem, Innovation, Recht, S. ; Büllesbach, Transnationalität, S. ; Marcinkowski, Ohio St. L.J. , (); Roßnagel/ Pfitzmann/Garstka, Modernisierung, S. ; Schulz/Held, Modern Government, S. ; Koukiadis, Internet Normativity, S. . Rubinstein, ISJLP, , (); Schulz/Held, Regulierte Selbstregulierung, S. ; Swire, in: NTIA, Privacy, S. . Büllesbach, Transnationalität, S. ; Schulz/Held, Regulierte Selbstregulierung, S. ; Talidou, Regulierte Selbstregulierung, S. ; Rubinstein, ISJLP , , (); Baldwin/ Cave/Lodge, Understanding Regulation, S. ; Koukiadis, Internet Normativity, S. f. So auch die Erfahrungen in den Niederlanden, s. Hirsch, Mich. St. L. Rev. , , f. (). Hirsch, Mich. St. L. Rev. , (); Koukiadis, Internet Normativity, S. .
320
Kapitel 5 Chancen von Interoperabilität
einer Selbstregulierung zu beteiligen, nicht gesetzt werden kann.⁶⁵ Es fehlt an einem Anreiz für eine Verhaltensänderung, da Mitglieder „ihrem“ Sozialen Netzwerk aufgrund aus ihrer Sicht fehlender Alternativen treu bleiben, auch wenn sie mit dem Umgang mit ihren Daten und Änderungen der Datenschutzbestimmungen nicht einverstanden sind.⁶⁶ Außerdem ist die effektive Durchsetzung einer solchen Regelung nicht gewährleistet, wenn sie der Wirtschaft überlassen wird, wie das Beispiel der Selbstregulierung der Werbeindustrie in den USA zeigt.⁶⁷ Das Ziel einer branchenweiten Regelung im transatlantischen Bereich kann mit den bestehenden Ansätzen nicht erreicht werden. Im Rahmen der regulierten Selbstregulierung kann der Staat hingegen in verschiedenem Maße eingreifen⁶⁸ und damit die Defizite der freiwilligen Selbstregulierung unter Erhaltung ihrer positiven Effekte⁶⁹ im vorliegenden Sachverhalt ausgleichen.
IV. Eignung branchenweiter Regelungen für die Regulierung von Profilen Sozialer Netzwerke Die Alternativen zu branchenweiten Regelungen sind Normierungen für den gesamten privaten Sektor oder BCR, die nur für einen Konzern gelten.⁷⁰ Wie den Länderberichten zu entnehmen, bedarf es gerade einer Konkretisierung bestehender allgemeiner Vorgaben für Profile Sozialer Netzwerke, die durch eine für den gesamten privaten Sektor geltende Normierung nicht erreichbar ist. BCR dienen dazu, die Hürde des angemessenen Schutzniveaus aus Art. 25 DSRL zu nehmen, nicht jedoch die Einhaltung nationalen Datenschutzrechts sicherzustellen.⁷¹ Für kleine und mittelständische Unternehmen ist regelmäßig der Aufwand an Zeit, Expertise und Kosten zu hoch, um selbst BCR, die über die Standardvertragsklauseln der EU hinausgehen, zu entwerfen und von der zuständigen Aufsichtsbehörde beurteilen zu lassen.⁷² Außerdem bedeuten sie ge-
Brown/Marsden, Regulating Code, S. . Siehe oben: Teil , Kap. , B., II., ., a). Siehe oben: Teil , Kap. , F., II. Baldwin/Cave/Lodge, Understanding Regulation, S. ; Koukiadis, Internet Normativity, S. . Koukiadis, Internet Normativity, S. f. Siehe oben: Teil , Kap. , D., I., . Siehe oben: Teil , Kap. , D., I., . Hirsch, Ohio St. L.J. , (); Voskamp, Transnationaler Datenschutz, S. .
B. Untergesetzliche Regulierungsmöglichkeiten
321
genüber branchenweiten CoC grundsätzlich einen erhöhten Aufwand für die Aufsichtsbehörden.⁷³ Demgegenüber bieten branchenweite CoC für den Verbraucher ein insgesamt verbessertes Schutzniveau, wodurch seine Wahlmöglichkeiten wachsen, was wiederum zu einer Verbesserung des Wettbewerbs führt. Am besten geeignet für die Regulierung der Profilbildung durch Betreiber Sozialer Netzwerke sind deshalb CoC.⁷⁴
Hirsch, Ohio St. L.J. , (). Hirsch, Ohio St. L.J. , ().
Kapitel 6 Formeller Rahmen transatlantischer Standards für Profile Sozialer Netzwerke Ziel dieses Kapitels ist es, die formellen Möglichkeiten der Erstellung und Durchsetzung von CoC in transatlantischer Kooperation auszuloten. Dazu werden in Abschnitt A. die derzeit bestehenden sowie in Abschnitt B. die im CPBRA geplanten Optionen nachfolgend dargelegt.
A. De lege lata Der folgende Abschnitt untersucht, ob nach der bestehenden Rechtslage bereits ein hinreichender Verfahrensrahmen sowie eine hinreichende Verbindlichkeit von CoC jenseits und diesseits des Atlantiks bestehen.
I. Bestehender Verfahrensrahmen Wie die Untersuchung der Selbstregulierungsmöglichkeiten in den USA gezeigt hat,¹ können derzeit im datenschutzrechtlichen Bereich außerhalb des COPPA keine CoC bei der FTC registriert werden. Außer der freiwilligen Selbstregulierung bestehen im Bereich des Online-Privatheitsschutzes keine weiteren Mittel zur Regulierung auf untergesetzlicher Ebene. In Deutschland besteht dagegen die Möglichkeit, einzelstaatliche oder gemeinschaftliche Verhaltensregeln bei der zuständigen Datenschutzbehörde zu registrieren bzw. ihre Kompatibilität mit der DSRL von der Artikel-29-Datenschutzgruppe überprüfen lassen. Nach der DS-GVO ist zudem eine EU-weite Geltung von CoC durch Beschluss der EU-Kommission möglich.² Transatlantische Wirkungen können die auf diese Weise registrierten CoC entfalten, indem sie Bestandteil der Privacy Policy der beteiligten Unternehmen werden und als solche von der FTC überprüfbar sind.
Siehe oben: Teil , Kap. , F., I. Siehe oben: Teil , Kap. , D., I., .
A. De lege lata
323
II. Verbindlicher Prüfungsmaßstab Damit in Deutschland oder der EU CoC von der zuständigen Behörde angenommen werden, müssen sie die Vorgaben des deutschen bzw. des unionalen Datenschutzrechts konkretisieren.³ Dadurch wird gewährleistet, dass die CoC datenschutzrechtliche Standards einhalten. Bei der freiwilligen Selbstregulierung in den USA erfolgt eine Überprüfung der selbst gesetzten Vorgaben, die in die Datenschutzerklärung des Unternehmens Eingang gefunden haben oder sich in anderen, den Verbraucher beeinflussenden Kriterien widerspiegeln wie etwa dem Design eines Dienstes.⁴ Prüfungsmaßstab der FTC ist 5 U.S.C. § 45(a)(1) FTCA sowie die EU-U.S. Privacy Shield-Regelung.⁵ Fraglich ist, ob auf diese Weise zuverlässig eine vereinheitlichte Behandlung von Profilen Sozialer Netzwerke herbeigeführt werden kann.
1. „Common Law“ der FTC? Die Entwicklung von feststehenden Vorgaben zum Datenschutz im Rahmen der FTCVerfahrenspraxis ist außerhalb des Segments der Datensicherheit⁶ bislang kaum Gegenstand wissenschaftlicher Literatur in den USA.⁷ Die Diskussion, ob sich aus den Verfügungen ein verlässliches Regelwerk ergibt, steht gerade erst am Anfang. Nach einer Ansicht kann die Gesamtschau der Anordnungen und Einigungen als funktional-äquivalent zum Common Law eingestuft werden.⁸ Auch wenn die FTC durch vorhergehende Verfügungen nicht formal gebunden ist, zeigt sich nach dieser Ansicht anhand der bisherigen Praxis eine in sich konsistente Entwicklung der gestellten Anforderungen, die zunehmend konkreter werden.⁹ Durch die Veröffentlichung der Verfügungen finden ihre Vorgaben Eingang in die Rechtsberatung und entwickeln sich so zu anerkannten Standards.¹⁰ Wie der US-amerikanische Länderbericht zeigt, wendet die FTC diese Standards allerdings nur an, wenn ein Unternehmen selbst Angaben zur Datenver Siehe oben: Teil , Kap. , D., I., . Siehe oben: Teil , Kap. , D., V., ., b). Siehe oben: Teil , Kap. , D., II. Bspw. Scott, Admin. L. Rev. , – (); Freedman, U. Pitt. J. Tech. L. & Pol’y (). Solove/Hartzog, Columbia L. Rev. , (); Dickenson, BUSLAW (); Serwin, SDLR (). Solove/Hartzog, Columbia L. Rev. , (); Schmitz, Mich. St. L. Rev. , (). Die Literatur zu den Verfahren im Bereich der Datensicherheit bleibt vorliegend außer Betracht. Solove/Hartzog, Columbia L. Rev. , , (). Solove/Hartzog, Columbia L. Rev. , f. ().
324
Kapitel 6 Formeller Rahmen transatlantischer Standards
arbeitung macht. Ist dies nicht der Fall, fordert die FTC keine Mindeststandards bzgl. Informationspflichten und Wahlmöglichkeiten ein.¹¹ Nach dem CalOPPA sind Online-Diensteanbieter allerdings verpflichtet, eine Datenschutzbestimmung mit Angaben zur Datenverarbeitung zu veröffentlichen, wenn sich ihr Angebot auch an Bürger Kaliforniens richtet.¹² Dadurch kann die FTC bei Sozialen Netzwerken de facto einen Mindeststandard durchsetzen. Dass eine Entwicklung hin zu Mindeststandards, die auch unabhängig von Angaben des einzelnen Unternehmens gelten, möglich ist und die Kompetenz der FTC nicht übersteigt,¹³ zeigen die Vorgaben der FTC im Bereich der Datensicherheit.¹⁴ Bislang hat die FTC jedoch auf der Basis des FTCA kein von den Angaben des Unternehmens unabhängiges Regelwerk etabliert, das für Datenverarbeiter einheitliche Standards für Informationspflichten und Wahlmöglichkeiten vorgibt und als Prüfungsmaßstab für CoC dienen könnte.
2. Angemessenheitsentscheidung der EU-Kommission Ein anderes Bild kann sich im Geltungsbereich der neuen Angemessenheitsentscheidung der EU-Kommission ergeben. Privacy Shield-zertifizierte Unternehmen sind verpflichtet, über ihre Datenerhebung zu informieren und dem Betroffenen eine Wahlmöglichkeit einzuräumen.¹⁵ Die Entscheidung setzt Mindeststandards auch in den Bereichen Datenweitergabe, Sicherheit und Datenintegrität sowie bzgl. Auskunftsrechten und der Durchsetzung.¹⁶ Als Bewertungsmaßstab für transatlantische CoC zur Profilbildung durch Betreiber Sozialer Netzwerke ist sie damit grundsätzlich geeignet.
3. Ergebnis Die FTC-Praxis zum Datenschutz kann einem verbindlichen Common Law nicht gleichgestellt werden. Aufgrund der Ungültigkeit der bestehenden Safe Harbor-Entscheidung besteht derzeit kein verbindlicher Prüfungsmaßstab für transatlantische CoC. Grundsätzlich ist eine Angemessenheitsentscheidung der EU-Kommission wie der Entwurf des Privacy Shield jedoch als verbindlicher Maßstab geeignet.
Siehe oben: Teil , Kap. , D., VI. Siehe oben: Teil , Kap. , E., I., . FTC v. Wyndham, F.d , – (rd Cir. ). Solove/Hartzog, Columbia L. Rev. , (). EC, EU-U.S. Privacy Shield, Rn. , ; zu Safe Harbor siehe oben: Teil , Kap. , D., V., . EC, EU-U.S. Privacy Shield, Rn. – .
B. De lege ferenda
325
III. Erfahrungen zu Verbreitung und Durchsetzung Wie die Länderberichte ergeben, haben die bestehenden Rahmenbedingungen von CoC im Privatheitsschutz nicht zu einer branchenweiten Durchdringung bei Sozialen Netzwerken geführt.¹⁷ In den USA zeigen die Erfahrungen mit Wirtschaftsinitiativen im Bereich des OBA zudem, dass keine effektive Durchsetzung durch Private besteht¹⁸ und der FTC aus Kapazitätsgründen nur ein punktuelles Vorgehen möglich ist.¹⁹
IV. Ergebnis Es fehlt derzeit in den USA an einem Mindeststandard im Datenschutz, an dem die CoC zu messen sind. Die Privacy Shield-Prinzipien sind grundsätzlich als Prüfungsmaßstab für CoC geeignet, so dass es denkbar ist, im Wege einer freiwilligen Selbstregulierung transatlantische Standards zu entwickeln, die sich in den USA an den Privacy Shield-Grundsätzen und in Deutschland am deutschen Datenschutzrecht messen lassen müssen. Ebenso können die Vorgaben der FTC für den Datenschutz als Maßstab herangezogen werden, wenn sie sich wie im Bereich der Datensicherheit zu einem eigenständigen Regelungswerk entwickeln. Für die Branche Sozialer Netzwerke bestehen aber keine Anreize, eine solche Selbstregulierung einzugehen, so dass eine Weiterentwicklung bzw. ein Wiederaufleben bestehender Instrumente für eine branchenweite Verbreitung und Durchsetzung transatlantischer CoC nicht ausreichen.
B. De lege ferenda Der Diskussionsentwurf des CPBRA²⁰ normiert einen neuen Verfahrensrahmen für die Erarbeitung von CoC und etabliert die CPBR als ihren Prüfungsmaßstab.
Siehe oben: Teil , Kap. , D., II. und Kap. , F., II. Siehe oben: Teil , Kap. , F., II., ., a). Siehe oben: Teil , Kap. , D., I. Siehe oben: Teil , Kap. , H., I.
326
Kapitel 6 Formeller Rahmen transatlantischer Standards
I. Verfahrensrahmen Das Ausarbeitungsverfahren zur Erstellung durchsetzbarer CoC für die USA regelt der CPBRA in Titel III.
1. Verhandlungslösung und Registrierung Wie im Landesbericht der USA dargestellt,²¹ sieht der Entwurf des CPBRA zwei Möglichkeiten der regulierten Selbstregulierung vor: Zum einen besteht wie in Deutschland und der EU die Möglichkeit, dass Interessenvertreter einen CoC erarbeiten und diesen zur Überprüfung der zuständigen Behörde vorlegen. Zum anderen kann das Wirtschaftsministerium Interessenvertreter wie Industrieverbände, einzelne Unternehmen, Vertreter der Zivilgesellschaft wie Verbraucherverbände sowie Experten aus Forschung und Praxis einladen, um brancheneinheitliche Regelungen zu erzielen. Auch diese werden von der FTC auf ihre Übereinstimmung mit der CPBR geprüft. Die Initiative geht hier anders als in der zuerst beschriebenen Variante nicht von der Industrie aus, sondern vom Wirtschaftsministerium, das so eine Anstoß- und Lenkungsfunktion für nicht regulierte Branchen einnimmt. In den USA wurden mit dem Verhandlungsmodell bereits grundsätzlich positive Erfahrungen gemacht, auf die für die konkrete Ausgestaltung zurückgegriffen werden kann.²²
2. Internationale Umsetzung Das Weißbuch der Obama-Regierung enthält keine Vorschläge, wie eine bi- oder multilaterale Aushandlung von CoC mit anschließender Registrierung zu gestalten ist.
a) Registrierung von Codes of Conduct Für die internationale Umsetzung bietet sich die Registrierung der Codes bei der jeweils zuständigen Aufsichtsbehörde des Landes bzw. der EU-Kommission und der FTC an.²³ Die Registrierung von CoC bei einer einzigen Stelle könnte aus Gründen der Vereinfachung erstrebenswert sein,²⁴ dies würde allerdings die Erschaffung eines
Siehe oben: Teil , Kap. , H., I., ., a). White House, Consumer Data Privacy (), S. f.; Rubinstein, ISJLP, , (). Hirsch, Ohio St. L.J. , (). Roßnagel/Pfitzmann/Garstka, Modernisierung, S. .
B. De lege ferenda
327
neuen Gremiums erfordern und erscheint international wenig praktikabel. Auf internationaler Ebene gibt es zwar bereits eine Kooperation von Datenschutzbehörden, nämlich die Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre. Auf die Abnahme von internationalen Selbstverpflichtungen ist sie allerdings zum jetzigen Zeitpunkt nicht ausgelegt. Die Ergebnisse ihrer bisherigen Arbeit sind u. a. Entwürfe für allgemeine internationale Datenschutzstandards²⁵ sowie zur Kooperation der Datenschutzbehörden.²⁶ Für die Auseinandersetzung mit den konkreten Bedürfnissen einer Branche ist die Runde zu groß und nicht ausreichend legitimiert.
b) Transatlantische Aushandlung mit Registrierung von Codes of Conduct Die vom Weißen Haus vorgeschlagene Verhandlungslösung in Kombination mit der Registrierung der Kodizes hat den Vorteil, die positiven Effekte der Einbeziehung beteiligter Interessengruppen mit einer Korrektur durch die Aufsichtsbehörden in der Entstehung der CoC zu verbinden. Die Gefahr, dass Industrieinteressen zu stark in den Vordergrund rücken, wird damit gegenüber der alleinigen Registrierungslösung minimiert. Mit der Verhandlungslösung, die durch den Staat initiiert wird, kann außerdem erreicht werden, dass auch regulierungsunwillige Branchen in Verhandlungen über CoC eintreten und verschiedene Interessenvertreter der Einladung des Wirtschaftsministeriums folgen. Die Verhandlungslösung bietet für internationale Sachverhalte zudem die Möglichkeit, bereits im Rahmen des Aushandlungsprozesses die Experten und Staatsvertreter der beteiligten Nationen zu hören und so einen transatlantisch akzeptablen Kompromiss herbeiführen zu können.²⁷ Eine solche Kollaboration erscheint gerade für wirtschaftlich bedeutende Global Player wie Soziale Netzwerke ein gut geeigneter Verhandlungsrahmen zu sein. Wie genau eine solche transatlantische Aushandlung ausgestaltet sein soll, bedarf der Ausarbeitung.²⁸ Vorgaben zur Transparenz des Aushandlungsprozesses, zu Beteiligungsrechten und zur Verbindlichkeit der Entscheidung müssen festgelegt werden.²⁹ Die Gruppengröße und Zusammensetzung müssen sorgfältig
. Int. DSK,Welt ohne Grenzen, S. ; . Int. DSK, Internationale Standards, S. ; . Int. DSK, Verankerung des Datenschutzes, S. . . Int. DSK, Zukunft des Datenschutzes, S. ; . Int. DSK, Aufsichtstätigkeit, S. . White House, Consumer Data Privacy (), S. . Mit der Ausarbeitung weiterer Mechanismen zur Verbesserung der Interoperabilität wurden das DOC und das DOS beauftragt, siehe oben: Teil , Kap. , H. Will, Privacy and Big Data, S. f.
328
Kapitel 6 Formeller Rahmen transatlantischer Standards
gewählt sein, um überhaupt ein Ergebnis erreichen zu können, das zudem ausgewogen und konsensfähig sein soll.³⁰ Es besteht die erhebliche Gefahr, dass allein aufgrund der Teilnehmeranzahl zügige Entscheidungen erheblich erschwert und dadurch ein Hauptvorteil von CoC konterkariert wird. Anleihen für die Ausgestaltung können dabei von bereits bestehenden Arbeitsgruppen zur Aushandlung internationaler Standards wie etwa der Working Party on Security and Privacy in the Digital Economy (WPSPDE) der OECD genommen werden.³¹
II. Verbindlicher Prüfungsmaßstab: CPBR Nach dem CPBRA hat die FTC die erarbeiteten CoC hinsichtlich ihrer Kompatibilität mit der CPBR zu überprüfen.³² Als föderales Gesetz, das in seinem Anwendungsbereich grundsätzlich gliedstaatliche Abweichungen verdrängt,³³ ergibt es einen einheitlichen, verbindlichen Prüfungsmaßstab.
III. Erzielung branchenweiter Verbreitung Der größte Antrieb für eine Selbstregulierung ist grundsätzlich der Wunsch der Unternehmen, eine gesetzliche Regulierung abzuwenden.³⁴ Die Verhandlungen zur DS-GVO haben aber bislang nicht zu einer entsprechenden Initiative von Betreibern Sozialer Netzwerke geführt. Überlegungen der FTC, generell ein Einwilligungserfordernis für Datenverarbeitung einzuführen,³⁵ könnten den Druck deutlich verstärken, sobald entsprechende Verfahren in die Wege geleitet werden. Im Wesentlichen bestehen zwei Möglichkeiten, wie eine branchenweite Beteiligung zu erreichen ist: entweder werden die Anreize zur Teilnahme erhöht oder es wird durch die zuständige Behörde verpflichtend eine branchenweite Verbindlichkeit eingeführt.
Hirsch, Ohio St. L.J. , (); Voskamp, Transnationaler Datenschutz, S. ; Will, Privacy and Big Data, S. . Voskamp, Transnationaler Datenschutz, S. ff. Title III, Sec. (a)()(A) CPBRA; siehe oben: Teil , Kap. , H., I., ., a). Title IV, Sec CPBRA; siehe oben: Teil , Kap. , H., I., . Schulz/Held, Modern Government, S. ; Swire, in: NTIA, Privacy, S. . So hält es der Vorsitzende der FTC David Vladek nach einem von Rubinstein zitierten Interview für denkbar, dass die FTC die Einwilligung anstelle des Widerspruchs zum Standard erklären wird, s. Rubinstein, ISJLP , Fn. ().
B. De lege ferenda
329
1. Erhöhung der Anreize Bestehende Anreize zur Selbstregulierung haben Betreiber Sozialer Netzwerke nicht zum Erlass von Kodizes bewogen. Die Komponenten einer Kosten-Nutzen-Rechnung müssen also signifikant verändert werden, um ein Umdenken zu bewirken.
a) Sicherer Hafen Die vom Weißen Haus vorgeschlagene³⁶ und im Bereich der Privatheitsbestimmungen für Kinder (COPPA) bereits praktizierte³⁷ Möglichkeit der Einführung eines „sicheren Hafens“ (safe harbor) für Betreiber, die sich freiwillig einer Selbstregulierung anschließen, erfordert, dass die Compliance durch zusätzliche Maßnahmen sichergestellt wird, wie unangekündigte Kontrollen durch unabhängige Stellen und regelmäßige Berichterstattung an die Aufsichtsbehörde, 15 U.S.C. § 6503.³⁸ Eine flächendeckende Teilnahme kann auf diesem Weg nicht gewährleistet werden. Die Kodizes können sich jedoch zu einem De-facto-Standard entwickeln, wenn die führenden Unternehmen der Branche beitreten. In der Folge könnten sich auch weitere Netzwerke vernünftigerweise nicht verschließen. Wenn der Anreiz also hoch genug ist, scheint auch auf diesem Wege eine branchenweite Durchsetzung wahrscheinlich.
b) Staatliche Gütesiegel Daneben kann der Nutzen, den Betreiber Sozialer Netzwerke aus einer Selbstregulierung ziehen können, verbessert werden, etwa durch eine Zertifizierung mit Gütesiegeln (Privacy-Seals). Dies hätte für die Unternehmen den Vorteil, mit einem Siegel werben und dadurch bei den Nutzern ein besonderes Vertrauen gewinnen zu können.³⁹ Die Siegel würden es den Nutzern zudem erleichtern, eine Entscheidung zu treffen, die ihren Privatheitswünschen entspricht. In diese Richtung zielt auch Art. 42 DS-GVO, mit dem die Einführung von Zertifizierungsverfahren gefördert werden soll.
White House, Consumer Data Privacy (), S. . C.F.R. § . „Safe Harbor Programs“. Rubinstein, ISJLP , (). Schulz/Held, Regulierte Selbstregulierung, S. ; Rubinstein, ISJLP , (); Will, Privacy and Big Data, S. .
330
Kapitel 6 Formeller Rahmen transatlantischer Standards
2. Branchenweite verpflichtende Verbindlichkeit Sollten die zusätzlichen Anreize versagen, bleibt die Option eines Teilnahmezwangs. Dadurch entfällt zwar der positive Nutzen der Freiwilligkeit wie etwa eine erhöhte Compliance durch Eigenmotivation, dennoch bleiben die übrigen Vorzüge wie das Einbringen der Expertise erhalten.
a) Internationale Vorbilder Im internationalen Umfeld gibt es Beispiele branchenweit verpflichtender Selbstregulierung, die sehr erfolgreich sind und die insoweit als Vorbild für eine entsprechende Regelung dienen können, wie beispielsweise §§ 117 ff. des australischen Telecommunications Act ⁴⁰. ⁴¹ Der australische Telecommunications Act bietet die Möglichkeit, von der Industrie unter Fristsetzung die Erarbeitung eines Codes zu verlangen, wenn dies im öffentlichen Interesse liegt und ein eigeninitiatives Tätigwerden nicht zu erwarten ist, § 118 (1), (3) Telecommunications Act. Nach erfolgreicher Registrierung kann die zuständige Behörde die Verbindlichkeit des Codes für den gesamten Industriezweig festlegen.⁴² Kommt die Branche der Aufforderung nicht fristgerecht oder nur unzureichend nach, kann die zuständige Behörde selbst einen Code entwerfen, der allgemeinverbindlich ist, § 123 Telecommunications Act. ⁴³ In der Praxis haben sich die Vorschriften der regulierten Selbstregulierung nach dem australischen Telecommunications Act bewährt und werden auch von der Literatur als Vorbild einer gelungenen Koregulierung angesehen.⁴⁴ Da die beschriebenen Parameter keine Branchenspezifika betreffen, können sie auch für den Bereich der Sozialen Netzwerke fruchtbar gemacht werden.
b) Negotiated Rulemaking Act, 5 U.S.C. §§ 561 – 570a In den USA besteht mit dem Negotiated Rulemaking Act (NRA) ebenfalls ein Verfahren zur Koregulierung. Danach sind die in der Verhandlung mit Interessenverbänden gefundenen Ergebnisse dem Normgeber als Vorschlag vorzulegen, der sie dann im
Telecommunications Act (Commonwealth). Groh, Ban Spam, S. ff.; Schulz/Held, Modern Government, S. ff. Groh, Ban Spam, S. . Groh, Ban Spam, S. . Schulz/Held, Modern Government, S. ; Groh, Ban Spam, S. , .
B. De lege ferenda
331
üblichen Verfahren erlassen kann.⁴⁵ Wird im Rahmen der Verhandlung keine Einigung erzielt, kann die zuständige Behörde selbst eine Regelung erlassen.⁴⁶
3. Ergebnis Der vom Weißen Haus vorgeschlagene sichere Hafen kann auch für Betreiber Sozialer Netzwerke eine ausreichende Motivation für die Teilnahme an einem CoC darstellen. Allerdings sollten zusätzliche Anreize wie Gütesiegel eingesetzt werden und weitere Optionen wie branchenweit verpflichtende CoC zur Verfügung stehen.
IV. Verbesserung der Durchsetzung Vor dem Hintergrund der negativen Erfahrungen in den USA mit privater Durchsetzung von Selbstregulierungsinitiativen⁴⁷ erscheint eine staatliche Durchsetzung dringend erforderlich, allerdings im Hinblick auf die stark begrenzten Ressourcen⁴⁸ kaum leistbar. Der Vorschlag des Weißen Hauses sieht deshalb eine Durchsetzung der CoC durch von der FTC zertifizierte und überprüfte Private vor, die jährlich Report erstatten.⁴⁹ Die Durchsetzung der CPBR selbst erfolgt durch staatliche Institutionen, namentlich durch die FTC und die Generalstaatsanwälte und ermöglicht, wo nötig, ein zusätzliches staatliches Vorgehen auch gegenüber Teilnehmern eines CoC.⁵⁰ Nachfolgend werden weitere flankierende Maßnahmen bzw. Konkretisierungen hinsichtlich einer transatlantischen Kooperation erwogen.
1. Kooperation der Aufsichtsbehörden Eine Zusammenarbeit mit anderen Behörden auf internationaler Ebene erhöht durch eine Kompetenz- und Ressourcenbündelung deutlich die Schlagkraft und Effizienz.⁵¹ Außerdem kann ein verbesserter Austausch der Behörden zu einer Angleichung der Normauslegung führen, was weiter zur Harmonisierung beiträgt. Entsprechend wird die Bedeutung internationaler Durchsetzungskooperationen von Datenschutzbehörden neben der grenzüberschreitenden Durchsetzung zu-
U.S.C. § (f); Rubinstein, ISJLP , (). Rubinstein, ISJLP , , (). Siehe oben: Teil , Kap. , F., II., ., a). Siehe oben: Teil , Kap. , D., I. und G., II. Siehe oben: Teil , Kap. , H., I., ., c). Siehe oben: Teil , Kap. , H., I., . White House, Consumer Data Privacy (), S. ; . Int. DSK, Zukunft des Datenschutzes, S. .
332
Kapitel 6 Formeller Rahmen transatlantischer Standards
nehmend anerkannt. Auch Art. 50 DS-GVO sieht vor, dass die internationale Zusammenarbeit zum Schutz personenbezogener Daten verbessert werden soll. So sollen wirksame Mechanismen der internationalen Zusammenarbeit bei der Durchsetzung entwickelt und der Austausch zwischen den Datenschutzbehörden gefördert werden sowie eine internationale Amtshilfe möglich sein.
2. Datenschutzaudits unabhängiger Privater Um eine effektive Durchsetzung der CoC unter der Verwaltung Privater zu gewährleisten, könnte auch im internationalen Kontext das Konzept privater Datenschutzaudits tragfähig sein. Es wird in den USA im Bereich des OnlinePrivatheitsschutzes diskutiert und befürwortet.⁵² Danach können datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige, zertifizierte Private prüfen und bewerten lassen sowie das Ergebnis veröffentlichen.⁵³ Auch Erwägungsgrund 100 DS-GVO regt die Einführung von Zertifizierungsverfahren sowie von Datenschutzsiegeln und ‐prüfzeichen an, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Erzeugnisse und Dienstleistungen ermöglichen sollen.
a) Regelmäßige Überprüfung Werden Website-Betreiber regelmäßig von unabhängigen Privaten auditiert und die Ergebnisse beispielsweise in Form von zusammenfassenden Mitteilungen unter Wahrung von Geschäftsgeheimnissen veröffentlicht, erhöht sich der Compliance-Druck gegenüber der derzeitigen Lage sporadischer staatlicher Überprüfung erheblich.⁵⁴ Im Bereich der Selbstregulierung erscheint es sinnvoll, Datenschutzaudits verpflichtend vorzusehen, um eine möglichst lückenlose Überprüfung zu gewährleisten. Dann sind auch private Datenschutzaudits ein geeignetes Teilstück auf dem Weg zu einer effektiven Rechtsdurchsetzung.⁵⁵ Schwartz, Vand. L. Rev. , (); Hans, Mich. Telecomm. & Tech. L. Rev. , (); Berger, Santa Clara Computer & High Tech. L.J. , (); Schmitz, Mich. St. L. Rev. , (). Kinast/Schröder, ZD , , f.; Talidou, Regulierte Selbstregulierung, S. . Die Idee der beliehenen Auditierung wird auch in den USA für das Scoring disktutiert, s. Citron/Pasquale, Wash. L. Rev. , f., (). Berger, Santa Clara Computer & High Tech. L.J. , (); Hans, Mich. Telecomm. & Tech. L. Rev. , (); Baldwin/Cave/Lodge, Understanding Regulation, S. . Schwartz, Vand. L. Rev. , (); Hans, Mich. Telecomm. & Tech. L. Rev. , (). So auch die Erfahrungen in den Niederlanden, s. Hirsch, Mich. St. L. Rev. , , ().
C. Ergebnis
333
b) Veröffentlichung der Ergebnisse Die Veröffentlichung der wichtigsten Resultate ermöglicht es Nutzern, eine informierte Auswahl von Diensten zu treffen.⁵⁶ Die Publizität ist gerade im Kontext Sozialer Netzwerke von Bedeutung, da die Profilbildung ansonsten von Betroffenen unbemerkt bleibt bzw. ihre Implikationen kaum zutreffend bewertet werden. Ergebnisberichte können in diesem Bereich ganz entscheidend zur erforderlichen Aufklärung und Sensibilisierung beitragen. Indem Nutzern eine fundierte Entscheidungshilfe an die Hand gegeben wird, erhöht sich wiederum der Anreiz für Betreiber, hohe Datenschutzstandards einzuhalten, um Mitglieder an sich zu binden. Auf diese Weise kann international eine erhebliche Wirkung durch die Veröffentlichug der Ergebnisse privater Datenschutzaudits erzielt werden.
c) Transatlantisches Gütesiegel Gleichzeitig können Betreiber im Falle einer hohen Compliance etwa mit Gütesiegeln für sich Werbung machen. Entscheidend für die Breitenwirkung eines Gütesiegels ist seine internationale Bekanntheit.⁵⁷ Ein Privacy Seal, das die Einhaltung von transatlantischen Standards dokumentiert, hätte das Potential, international einsetzbar zu sein. Um das Vertrauen der Nutzer in private Gütesiegel zu stärken, sollte der Staat die Anforderungen an die Prüfung und Bewertung durch klare Vorgaben vereinheitlichen. Bislang fehlt es hier noch an einem entsprechenden Ausführungsgesetz auf Bundesebene nach § 9a S. 2 BDSG.
C. Ergebnis Nach geltender Rechtslage sind gemeinsame Standards im Wege freiwilliger Selbstregulierung denkbar, es fehlt aber an verbindlichen Verfahrensvorgaben und Anreizen für Unternehmen. Mit der Verabschiedung des CPBRA würde in den USA sowohl ein praktikables Verfahren für die Erstellung und Registrierung von CoC etabliert als auch ein verlässlicher Bezugsrahmen für die Überprüfung durch die FTC entstehen. Eine transatlantische Aushandlung mit anschließender Registrierung erfordert auf beiden Seiten des Atlantiks weitere Regelungen. Gleiches gilt für die ergänzenden
Berger, Santa Clara Computer & High Tech. L.J. , (). Acatech, Internet Privacy , S. .
334
Kapitel 6 Formeller Rahmen transatlantischer Standards
Vorschläge zur Erzielung branchenweiter Verbreitung und zur Verbesserung der Durchsetzung.
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke Bei einem Vergleich des Privatheitsschutzes in der EU und den USA wird oft von unüberbrückbaren Differenzen gesprochen, die eine Harmonisierung in diesem Bereich unmöglich erscheinen lassen.¹ Setzt man allerdings nicht bei einer Harmonisierung des gesamten Datenschutzrechts zwischen den USA und der EU an, sondern lenkt den Blick auf branchenspezifische Sachverhalte und Regelungen auf untergesetzlicher Ebene, eröffnet sich eine neue Perspektive für Harmonisierungsmöglichkeiten in kleinen Schritten. Die Zielsetzung des Kapitels ist es, einen Inhalt gemeinsamer Standards zur Verbesserung des Privatheitsschutzes zu bestimmen, der auf den verfassungsrechtlichen Vorgaben und bestehenden Regelungen bzw. aktuellen Gesetzesentwürfen aufsetzt, um eine Lösung zu finden, die unmittelbar umsetzbar ist. Dies hat insbesondere zur Folge, dass die verfassungsrechtliche Gebotenheit des Verbots mit Erlaubnisvorbehalt für bestimmte wie bestimmbare personenbezogene Daten² ebenso wenig in Frage gestellt werden soll wie die Entscheidung des deutschen Gesetzgebers, der Einwilligung eine Gatekeeper-Funktion auch für die Profilbildung zuzuweisen. In Zusammenfassung der Erkenntnisse aus den Länderberichten und vor dem Hintergrund des von der Obama-Administration vorgeschlagenen CPBRA wird deshalb im Folgenden aufbauend auf der Praxis der zuständigen Behörden die Harmonisierungsmöglichkeit im konkreten Fall dargestellt.
A. Vom Regelungsbereich der CoC erfasste Daten Da vom Anwendungsbereich des unionalen Datenschutzrechts nur personenbezogene Daten erfasst sind,³ ergibt sich im Rahmen der Profilbildung durch Betreiber Sozialer Netzwerke erhebliche Rechtsunsicherheit aufgrund des Streits darüber, ob die Personenbeziehbarkeit relativ oder absolut zu bestimmen ist.⁴ Außerdem bereitet die Abgrenzung von pseudonymen und personenbeziehbaren Daten im Rahmen der
Miller/Poscher, FAZ . . , S. . Für eine Annäherung der US-amerikanischen und unionalen Datenschutzregelungen über einen abgestuften Schutz von unmittelbar personenbezogenen, mittelbar personenbezogenen und nicht personenbezogenen Daten s. Schwartz/Solove, Cal. L. Rev. , f., (). Siehe oben: Teil , Kap. , C., I., ., b), bb). Siehe oben: Teil , Kap. , C., I., ., b), bb), ().
336
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
Profilbildung in der Praxis erhebliche Schwierigkeiten, da jedes hinzukommende Datum die Wahrscheinlichkeit der Identifizierbarkeit erhöht.⁵ Diese Problematik lösen der CPBRA und die FTC, indem sie den Anwendungsbereich auf alle mit verhältnismäßigem Aufwand endgerätbeziehbaren Daten erweitern,⁶ so dass die Kenntnis der Identität des Betroffenen unerheblich ist und es keine Rolle spielt, ob ein Endgerät von einem oder mehreren Nutzern verwendet wird. Da mit einer (transatlantischen) Selbstregulierung vom unionsrechtlichen Schutzniveau nach oben hin abgewichen werden darf,⁷ ist die Endgerätbeziehbarkeit als Anknüpfungspunkt für eine gemeinsame Regelung möglich.
B. Anforderungen an Profilbildung und ‐nutzung Eine gemeinsame Regelung muss festlegen, unter welchen Bedingungen Profile zu welchen Zwecken gebildet und genutzt werden dürfen. Nach den Vorgaben des deutschen Rechts ist zwischen der Nutzung zu Werbe- und sonstigen kommerziellen Zwecken zu unterscheiden.
I. Profilbildung und -nutzung zu Werbezwecken Ziel einer Konkretisierung der Anforderungen an eine Profilbildung zu Werbezwecken im Rahmen von CoC soll die Verbesserung des Persönlichkeitsschutzes sein.
1. Deutschland Bei der Datennutzung zu Werbezwecken sind nach deutschem Recht zwei Konstellationen zu unterscheiden: Zum einen die Bildung und Verwendung pseudonymer Nutzungsprofile, die sich auf die Daten aus der Nutzung eines einzelnen Dienstes beschränken und bei denen dem Betroffenen ein Widerspruchsrecht zusteht, sowie zum anderen jegliche weitere Profilbildung, in die der Nutzer einwilligen muss.⁸ Die Arbeit konnte zeigen, dass diese Unterscheidung allerdings im Hinblick auf pseudonyme Nutzungsprofile bei Sozialen Netzwerken nicht ge-
Siehe oben: Teil , Kap. , G., II., . Sec. (a)() CPBRA; FTC, Protecting Consumers, vii; FTC, Principles OBA, S. . Siehe oben: Teil , Kap. , B., I. Siehe oben: Teil , Kap. , C., II., ., b) und ., f).
B. Anforderungen an Profilbildung und ‐nutzung
337
rechtfertigt ist, da die Nutzungsdaten etwa der Facebook-Website und ihre Analyse weitgehende Rückschlüsse auf die Person zulassen.⁹ Die Abwägungsentscheidungen nach Art. 6 I lit. f DS-GVO werden deshalb in diesen Konstellationen regelmäßig zugunsten des Betroffen ausfallen. Vor dem Hintergrund verhaltenswissenschaftlicher Studien, die zeigen, dass Menschen tendenziell eine Voreinstellung beibehalten,¹⁰ ist zur Verbesserung des Persönlichkeitsschutzes aus deutscher Sicht die Festlegung eines Einwilligungserfordernisses für die Profilbildung und ‐nutzung zu Werbezwecken im Rahmen transatlantischer CoC anzustreben.¹¹
2. USA Ein Einwilligungsvorbehalt müsste sich in den USA in die Praxis der FTC-Anordnungen einfügen. Zukünftig wird er ggf. am EU-U.S. Privacy Shield, der neuen Angemessenheitsentscheidung der EU-Kommission, und möglicherweise am CPBRA gemessen.
a) De lege lata Die bisherigen Safe Harbor-Prinzipien sahen ein Einwilligungserfordernis nur für eine Übermittlung sensibler Daten an Dritte und bei Zweckänderung vor,¹² das neue Privacy Shield bei jeder Verarbeitung besonderer personenbezogener Daten.¹³ Die FTC fordert dagegen eine Einwilligung bei unzureichender bzw. irreführender Information darüber, welche Daten zu welchen Zwecken erhoben und genutzt werden.¹⁴ Ein generelles Einwilligungserfordernis für Profilbildung lässt sich daraus nicht ableiten, sondern lediglich für die Fälle, in denen über die Profilbildungspraxis nicht ausreichend oder anderweitig irreführend informiert wird. Das bedeutet für eine transatlantische Regelung im Rahmen von CoC derzeit, dass ein Einwilligungserfordernis der Anordnungspraxis der FTC entspricht, solange Betreiber Sozialer Netzwerke ihre Informationen zur Profilbildung nicht so verbessern, dass sich Betroffene ein klares Bild vom Umfang, Analysemethoden und konkreter Werbenutzung machen können.
Siehe oben: Teil , Kap. ., C., II., ., b), cc) und E., II., . Calo, Geo. Wash. L. Rev. , (); siehe oben: Teil , Kap. , B., II., ., b). So auch Buchner, DuD , , . Entscheidung //EG, Anhang I, Wahlmöglichkeit, Abs. . EC, EU-U.S. Privacy Shield, Rn. . Siehe oben: Teil , Kap. , D., V., ., c), ee).
338
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
b) De lege ferenda Der Gesetzgebungsvorschlag der Obama-Regierung sieht die Widerspruchsmöglichkeit als Regelfall für die Datenerhebung durch Unternehmen vor.¹⁵ Das Weißbuch erkennt aber ein besonderes Regelungsbedürfnis für Unternehmen an, denen große Datenmengen zur Verfügung stehen und die Profile ihrer Nutzer bilden. Es sieht vor, dass Dienstebetreiber ihren Mitgliedern die Entscheidung an prominenter Stelle und in abgestufter Form bzgl. der Erhebung, Nutzung (use) und Weitergabe ihrer Daten ermöglichen müssen.¹⁶ Auch wenn nicht ausdrücklich eine Einwilligung gefordert wird, so widerspräche sie jedenfalls nicht den Vorgaben und der Zielsetzung des CPBRA.¹⁷
3. Transatlantische Lösung Auch wenn die Verfassungsgemäßheit eines gesetzlichen Einwilligungsvorbehalts für die Profilbildung zu Werbezwecken in den USA umstritten ist,¹⁸ widerspricht seine Aufnahme in transatlantischen CoC weder der aktuellen Spruchpraxis der FTC noch dem CPBRA als möglicherweise zukünftigem Prüfungsmaßstab.
II. Profilbildung und -nutzung zu sonstigen kommerziellen Zwecken Betreiber Sozialer Netzwerke könnten zukünftig versuchen, den Datensatz ihrer Mitglieder auch auf andere Weise als durch personalisierte Werbung kommerziell zu verwerten. Wie beschrieben, bietet sich insbesondere das Modell einer Auskunftei gegenüber Arbeitgebern, Versicherungen oder anderen potentiellen Vertragspartnern der Nutzer an.¹⁹
1. Deutschland Nach deutschem Recht hängt die Rechtmäßigkeit der Datenübermittlung von einer Abwägung der Interessen des Datenverarbeiters und des Betroffenen ab und ist zu Gunsten des Betroffenen zu entscheiden, wenn seine schutzwürdigen Interessen überwiegen. Die Abwägungsentscheidung ist für den Einzelfall durch den
Siehe oben: Teil , Kap. , H., I., ., b). Siehe oben: Teil , Kap. , H., I., ., b). Tomain, U. Cin. L. Rev. , (). Siehe oben: Teil , Kap. , B., II., ., b). Siehe oben: Teil , Kap. , C., III., .
B. Anforderungen an Profilbildung und ‐nutzung
339
Datenverarbeiter zu treffen.²⁰ Ein Verbot der Veröffentlichung von umfangreichen Persönlichkeitsprofilen mit Einwilligungsvorbehalt, wie es der „Rote Linie“-Gesetzentwurf der Bundesregierung aus dem Jahr 2010 vorsah,²¹ hat bislang keine Umsetzung gefunden. Zur Verbesserung des Persönlichkeitsschutzes bietet sich auch in diesen Konstellationen ein Einwilligungserfordernis an. Dem Betreiber wäre die mit einer Abwägungsentscheidung verbundene Unsicherheit genommen. Betroffenen würde die Möglichkeit eingeräumt, aktiv über die Weitergabe ihrer Daten zu entscheiden.
2. USA Fraglich ist, ob ein Einwilligungserfordernis für Datenübermittlungen vor USrechtlichen Prüfungsmaßstäben bestehen kann.
a) De lege lata Eine Einwilligung war nach den bisherigen Safe Harbor-Prinzipien erforderlich, wenn sensible Daten an Dritte weitergegeben werden sollten,²² nach dem Privacy Shield ist dies für jede Verarbeitung sensibler Daten der Fall.²³ Die FTC fordert zudem die Einholung einer Einwilligung, wenn der Datenverarbeiter zwar generell über seine Nutzungspraxis informiert, jedoch nicht oder nicht umfassend über die Weitergabe an Dritte.²⁴ Facebook hat sich im Rahmen des Übereinkommens mit der FTC dazu verpflichtet, seine Mitglieder darüber zu unterrichten, welche Datenkategorien an welche Kategorien von Dritten weitergegeben werden sollen und die Einwilligung dazu einzuholen.²⁵ Auch wenn sich aus der Anordnungspraxis der FTC kein generelles Einwilligungserfordernis für die Datenübermittlung ergibt, so steht die diesbezügliche Einholung der Einwilligung doch im Einklang mit dem Vorgehen der FTC bei einer unzureichenden Information über die Datennutzung.
Siehe oben: Teil , Kap. , C., II., ., d). BMI, Rote Linie-GesetzE, S. . Entscheidung //EG, Anhang I, Wahlmöglichkeit, Abs. . EC, EU-U.S. Privacy Shield, Rn. . Siehe oben: Teil , Kap. , D., V., ., c), dd), (). FTC, D&O Facebook, II.
340
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
b) De lege ferenda Der CPBRA nimmt mehrfach Bezug auf die Rechte von Unternehmen aus dem ersten Verfassungszusatz.²⁶ Danach ist die Datenweitergabe an ausgewählte Dritte in der Regel ebenso ohne Einwilligung möglich wie eine Veröffentlichung der Daten, wenn diese zuvor etwa auf der Profilseite vom Mitglied selbst eingestellt wurden und keine berechtigten Privatheitserwartungen bestehen.²⁷
3. Transatlantische Lösung Weil sich der Betreiber des beliebtesten Sozialen Netzwerks dazu verpflichtet hat, für Datenübermittlungen an Dritte die Einwilligung seiner Nutzer einzuholen, ist die Festschreibung im Rahmen transatlantischer CoC realistisch.
III. Informationspflicht und Einholung der Einwilligung Die Übernahme des Einwilligungserfordernisses in eine transatlantische Regelung dürfte folgenlos sein, solange seine im EU-Datenschutzrecht bestehenden Defizite im Hinblick auf die Profilbildung Sozialer Netzwerke nicht behoben werden. Hauptkritikpunkt an der bisherigen Einwilligungspraxis ist, dass die Erklärung bei komplexen Internetsachverhalten zu einer reinen Formalität ohne inhaltliche Bedeutung verkommt.²⁸ Gründe dafür sind, dass die Datenschutzerklärungen entweder gar nicht gelesen oder falsch verstanden werden.²⁹ Insbesondere wenn es um vielschichtige Sachverhalte wie die Profilbildung und ‐nutzung geht, wird der Durchschnittsnutzer überfordert. Weder könnte er Algorithmen zur Datenanalyse fachkundig und verständig beurteilen, noch ist er in der Lage, seine abstrakten Privatheitsvorstellungen in der konkreten Situation konsequent umzusetzen.³⁰ Auch fehlt es aus Sicht der Nutzer an echten Wahlmöglichkeiten.³¹ Wie sich aus den Länderberichten ergibt, ist damit die Konkretisierung der Informationspflichten und Wahlmöglichkeiten das Herzstück einer transatlanti-
§§ (c)()(A), (a)()(B), (c)()(A), (a) CPBRA; Peltz-Steele, J. Internet L. , (). Siehe oben: Teil , Kap. , E., II., . und . Siehe oben: Teil , Kap. , B., II., ., a). Siehe oben: Teil , Kap. , B., II., ., a). Siehe oben: Teil , Kap. , B., II., ., b). Siehe oben: Teil , Kap. , C., II., ., b), aa).
B. Anforderungen an Profilbildung und ‐nutzung
341
schen Selbstregulierung, um Nutzern selbstbestimmte Entscheidungen zu ermöglichen und Rechtsunsicherheit zu beseitigen.³²
1. Allgemeine Vorgaben Die Vorgaben für Zeitpunkt, Form und Inhalt einer Einwilligungserklärung sind grundsätzlich über die Safe Harbor-Prinzipien angeglichen worden.³³ Danach ist der Nutzer unmissverständlich und deutlich über Umfang und Zweck der Datenverarbeitung vor der Erhebung aufzuklären. Dem Unionsdatenschutzrecht lassen sich keine konkreten Angaben entnehmen, die diese Vorgaben spezifizieren, wodurch in der Praxis erhebliche Unsicherheit der Betreiber besteht, wie über eine Profilbildung und ‐nutzung tatsächlich im Einzelfall aufzuklären ist.³⁴ Auch die CPBR enthält insoweit keine Konkretisierungen. Die FTC sieht einen Schwerpunkt ihrer Arbeit darin, Transparenz in Bezug auf Datenverarbeitungsprozesse zu schaffen. Sie hat in ihrer Verfahrenspraxis in den letzten Jahren in verschiedenen Fällen konkrete Anforderungen entwickelt, wie über bestimmte Datenerhebungen und ‐nutzungen zu informieren ist. Sie können für eine gemeinsame Regelung als Vorbild dienen. So bestimmt die FTC, dass Nutzer in einem von der Datenschutzrichtlinie, den Nutzungsbedingungen und ähnlichen Seiten separaten Dokument über die Kategorien der erhobenen Daten zu informieren sind.³⁵ Wie allerdings eine Aufklärung über Profilbildung mittels Data Mining und anderen Analysemethoden vorzunehmen ist, hat die FTC bislang noch nicht ausgeführt. Eine transatlantische Festlegung, wie eine Information über Profile auszugestalten ist, würde demnach einen der größten Unsicherheitsfaktoren der Profilbildung auf beiden Seiten des Atlantiks eliminieren.
2. Konkrete Vorschläge Basierend auf den Ergebnissen der Studien zu Internetnutzung und Privatheitswünschen³⁶ sind neben technologischen³⁷ auch psychologische Komponenten zu beachten.
White House, Big Data, S. ; Mulligan, Stan. L. Rev. Online, , (); MacCarthy, ISJLP , (). Siehe oben: Teil , Kap. , D., IV., . Eine gewisse Verbesserung sah insoweit der Entwurf zur Novellierung des TMG vom . . vor, s. BT-Drs. /. FTC, CD&O Path, S. Rz. . Siehe oben: Teil , Kap. , B., I. und II., .
342
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
a) 2-Klick-Lösung Als gemeinsamer Standard für die Datenerhebung auf Webseiten Dritter über Social Plugins ist die bereits dargestellte 2-Klick-Lösung³⁸ geeignet. Die Schaltfläche ist dabei so konfiguriert, dass sie erst durch Anklicken aktiviert wird. Diese technische Lösung sollte mit einer Aufklärung etwa wie folgt verbunden werden: Dies ist ein Link zum Social Plugin des Anbieters xy. Das Social Plugin wird durch das Anklicken des Links aktiviert. Dadurch werden folgende Datenkategorien [zu benennen] an den Anbieter xy zu folgenden Zwecken [zu benennen] übermittelt, unabhängig davon, ob sie ein Mitglied von xy sind. Es gelten die Datenschutzhinweise von xy abrufbar unter [Link].³⁹
Um Webseitenbesucher unmittelbar zu informieren und weitere Klicks obsolet zu machen, sollte der Text erscheinen, wenn der Nutzer den Cursor über die Schaltfläche hält, sog. Mouse-Over.⁴⁰
b) Informationspräsentation und Auswahlmöglichkeiten Sowohl für die Ausgestaltung der Informationen über Datenerhebung und -nutzung als auch für die Einholung der Einwilligung ist darauf zu achten, dass die Formulierung und Gestaltung möglichst nutzerfreundlich erfolgt.
aa) Piktogramme Art. 13a DS-GVO-E der Version des EU-Parlaments sieht vor, dass Internetnutzer über die sie betreffende Datenverarbeitung durch sechs mit Text kombinierte Piktogramme zu informieren sind, die in Annex 1 zum Verordnungsentwurf abgebildet werden, s. Abb. 8 auf der nächsten Seite. Mit der übersichtlichen und durch Piktogramme visuell aufbereiteten Darstellung der Datenverarbeitungspraxis soll die Schwierigkeit adressiert werden, dass Internetnutzer Datenschutzbestimmungen vielfach nicht lesen und wenn sie es doch tun, sie diese nicht bzw. nicht richtig verstehen.⁴¹ Die Eindeutigkeit und Verständlichkeit der vom EU-Parlament vorgestellten Piktogramme ist allerdings
Acatech, Internet Privacy , S. . Siehe oben: Teil , Kap. , C., II., ., b), bb) und ., c). Schmidt, c’t . . ; Splittgerberders., Kap. Rn. . Splittgerber-ders., Kap. Rn. . Custers et al., scripted , , ; Splittgerber-ders., Kap. Rn. . Siehe oben: Teil , Kap. , B., II., ., a).
B. Anforderungen an Profilbildung und ‐nutzung
343
Abb. 8 Quelle: Annex 1 zum DS-GVO-E des Parlaments.
fraglich.⁴² Allgemein bestehen Zweifel, dass Piktogramme bei Datenschutzbestimmungen das Verständnis der Nutzer tatsächlich erhöhen.⁴³ Auch adressiert der Vorschlag nicht, dass Datenschutzbestimmungen neben ihrer Länge und Unverständlichkeit auch deshalb nicht gelesen werden, weil keine Wahlmöglichkeiten bestehen.⁴⁴ Im Kontext der Profilbildung durch Betreiber Sozialer Netzwerke bieten die vorgeschlagenen Piktogramme jedenfalls keine Verbesserung, da sie für Profilbildungspraktiken keinen gesonderten Hinweis und auch keine gesonderte Wahlmöglichkeit vorsehen. In die finale Version der DSGVO hat der Vorschlag des EU-Parlaments keinen Eingang gefunden.
Kritisch dazu aufgrund einer nicht repräsentativen Umfrage Petterson, in: Camenisch/FischerHübner/Hansen, Privacy and Identity Management, S. . Calo, Notre Dame L. Rev , (). Siehe oben: Teil , Kap. , B., II., ., a).
344
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
bb) Privacy Label Als Beispiel für ein nutzerfreundliches Design mit abgestuften und klar strukturierten Wahlmöglichkeiten kann das in Abbildung 9 dargestellte, von einer Forschungsgruppe der Carnegie Mellon entwickelte Privacy Label ⁴⁵ dienen. Es bietet in Tabellenform, die Text und in einer Legende erklärte Farbelemente verwendet, auf einer Bildschirmseite einen Überblick sowohl über die Datenerhebungs- und ‐nutzungspraktiken des Unternehmens als auch zu den diesbezüglichen Wahlmöglichkeiten der Nutzer. Die rote Farbe (hier schwarzgrau) ist als Warnung zu verstehen, dass Daten erhoben bzw. genutzt werden, wohingegen die blaue Farbe (hier hellgrau) anzeigt, dass keine Daten gesammelt oder genutzt werden. Die Kombination der Farbelemente mit dem Text Opt-in oder Opt-out zeigt an, ob für den Betroffenen eine Wahlmöglichkeit besteht.⁴⁶ Die Abbildung 9 (auf der nächsten Seite) ist als Beispiel für die Darstellungsweise zu verstehen und entspricht inhaltlich nicht dem in dieser Arbeit für Soziale Netzwerke entworfenen Konzept von Einwilligungs- oder Widerspruchsmöglichkeiten.
cc) Ergänzende Vorschläge unter Einbeziehung verhaltenswissenschaftlicher Studien Die Auswertung verhaltenswissenschaftlicher Studien im ersten Teil dieser Arbeit hat ergeben, dass die Diskrepanz zwischen abstrakt bestehenden Privatheitswünschen von Mitgliedern Sozialer Netzwerke und ihren tatsächlichen Verhaltensweisen zum einen in einer Uninformiertheit begründet ist⁴⁷ und zum anderen auf begrenzter Rationalität menschlichen Verhaltens basiert.⁴⁸ Zu einer tatsächlichen Verbesserung des Privatheitsschutzes durch die Implementierung des Einwilligungserfordernisses für die Profilbildung und -nutzung zu kommerziellen Zwecken kommt es nur, wenn diese Schwierigkeiten soweit als möglich ausgeglichen werden.
(1) Maßnahmen gegen Uninformiertheit Wie mehrere Studien herausgefunden haben, lesen Internetnutzer die Datenschutzbestimmungen auf Webseiten allgemein und auch von Sozialen Netzwerken im Besonderen in der Mehrzahl nicht, weil der Zeitaufwand im Verhältnis zum
Kelley, Privacy Label. Kelley, Privacy Label. Siehe oben: Teil , Kap. , B., II., ., a). Siehe oben: Teil , Kap. , B., II., ., b).
B. Anforderungen an Profilbildung und ‐nutzung
345
Abb. 9 Quelle: Kelley, Privacy Label Grafik abrufbar unter: http://cups.cs.cmu.edu/privacylabel-05-2009/current/1.php.
Nutzen zu hoch ist.Viele Nutzer setzten das Bestehen einer Privacy Policy mit dem Bestehen von Datenschutz gleich und gehen zudem davon aus, ohnehin keine Wahlmöglichkeiten zu haben.⁴⁹ Werden die Datenschutzbestimmungen gelesen, werden sie vielfach falsch oder nicht vollständig verstanden.⁵⁰
Siehe oben: Teil , Kap. , B., II., ., a). Siehe oben: Teil , Kap. , B., II., ., a).
346
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
(a) Aktive Entscheidungsabfrage Um zu verhindern, dass Datenschutzbestimmungen vom Nutzer ignoriert werden, bietet sich die aktive Abfrage von Entscheidungen an. Um das Soziale Netzwerk nutzen zu können, müsste das Mitglied also zunächst in den Feldern des Privacy Labels, die eine Einwilligung erfordern, aktiv ein Häkchen setzen. Dies hätte zudem den Vorteil, dass anders als bei einer voreingestellten Auswahl (Default) eine eindeutige Einwilligung gegeben ist.⁵¹ Darüber hinaus wird anders als bei einem Default keine Vorentscheidung getroffen, die als Beeinflussung gewertet werden könnte⁵² und außerdem einen De-facto-Standard vorgibt.⁵³
(b) Reduzierung des zeitlichen Aufwands und Verbesserung der Verständlichkeit Repräsentative Tests zeigen, dass Nutzer Datenschutzbestimmungen in Form des Privacy Labels im Vergleich zu verschiedenen Textformvarianten besser und schneller verstehen und die Beschäftigung damit als angenehmer empfinden.⁵⁴ Um zusätzliche Hilfestellungen zu geben bzw. mögliche Fragen zu beantworten, sollten in einer Kurzform über jedem Feld in einem Mouse-over⁵⁵ Informationen dazu erscheinen, was genau unter den Begriffen wie beispielsweise demographische Daten oder Gesundheitsinformationen zu verstehen ist und welche Nutzungen etwa von Marketingzwecken umfasst sind, also zum Beispiel personalisierte Werbung.⁵⁶ Zusätzliche Informationen sollten in einer Langversion über einen Link im Mouse-over erreichbar sein (multi-layer-approach).⁵⁷ Zur Verbesserung des Verständnisses sollte auf Allgemeinverständlichkeit und Neutralität der Formulierungen geachtet und dies in zielgruppenspezifischen Tests überprüft werden. Können Betreiber Sozialer Netzwerke durch unabhängige Studien belegen, dass der durchschnittliche Nutzer seine Datenschutzbestimmungen richtig versteht, könnte er von anlasslosen Überprüfungen der Datenschutzbehörden bzw. der FTC freigestellt werden (safe harbor).⁵⁸
Custers et al., scripted , , ; dazu siehe oben: Teil , Kap. , C., II., ., b), ee), (). Sunstein, U. Chi. L. Rev. , f. (). Siehe oben: Teil , Kap. , B., II., ., b). Kelley, Privacy Label. Zum Begriff siehe oben: Teil , Kap. , B., III., ., a). Custers et al., scripted , , . Doerfel et al., Informationelle Selbstbestimmung, S. ; Custers et al., scripted , , ; Calo, Notre Dame L. Rev , (). Calo, Notre Dame L. Rev , ().
B. Anforderungen an Profilbildung und ‐nutzung
347
Zu Aufklärung über die Profilerstellung ist allein eine abstrakte Umschreibung, welche Informationen potentiell in einem KDD-Prozess herausgefiltert werden können, nicht in gleicher Weise geeignet, einem Betroffenen in begreifbarer Weise vor Augen zu führen, welches Wissen der Betreiber tatsächlich über ihn gewinnt. Durch die Datenanalyse und etwaige Datenpreisgabe durch Dritte kann der Datenbestand weit über das hinausgehen, was der Nutzer bewusst an Informationen geteilt hat.⁵⁹ Nach dem aus verhaltenswissenschaftlichen Studien abgeleiteten Grundsatz, dass es bei komplexen Sachverhalten für das Verständnis und die Risikoabschätzung besser ist, einen konkreten Fall darzustellen anstatt abstrakt zu umschreiben,⁶⁰ sollte beim Mouse-over über dem Profilbildungsfeld neben Erläuterungen zum Zustandekommen auch ein Profilbeispiel verlinkt werden. Für Erstanmelder könnte zunächst mit fiktiven Beispielen zur Aufklärung gearbeitet werden. Besteht bereits ein Profil des Betroffenen, sollte ihm dieses gezeigt werden. Erst durch einen Einblick in das vollständige Profil kann der Einzelne überblicken, welche Informationen Betreiber Sozialer Netzwerke über ihn haben und beurteilen, inwieweit der Datensatz über das hinaus geht, was er über sich preisgeben wollte und ob die Informationen der Wahrheit entsprechen.
(c) Erhöhung der Wahlmöglichkeiten Der Wirkungsgrad der Selbstbestimmung wird im Privacy Label dadurch erhöht, dass der Nutzer für verschiedene Formen und Zwecke der Datenverwendung unterschiedliche Entscheidungen treffen kann. Hinzu kommen muss, dass sich die Wahlmöglichkeit nicht auf Ablehnung oder Zustimmung beschränkt (Take it or leave it-Entscheidung),⁶¹ sondern dem Nutzer die Option eingeräumt wird, etwa gegen ein Entgelt, den Dienst ohne die von ihm abgelehnte Datenerhebung oder ‐nutzung in Anspruch nehmen zu können.
(2) Ausgleich begrenzter Rationalität Zahlreiche, in der menschlichen Natur begründete Faktoren legen den Schluss nahe, dass der Nutzer trotz verbesserter Information und Wahlmöglichkeiten im
MacCarthy, ISJLP , ff. (). Google hat z. B. ein Privacy Dashboard eingerichtet, bei dem die Nutzer eine Zusammenfassung ihrer von Google gespeicherten Daten abrufen können. Allerdings werden abgeleitete Daten nicht aufgeführt, s. acatech, Internet Privacy , S. . Calo, Notre Dame L. Rev. , (). White House, Consumer Data Privacy (), S. ; Doerfel et al., Informationelle Selbstbestimmung, S. .
348
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
oben beschriebenen Rahmen nicht die Entscheidung treffen wird, die seinen abstrakten Privatheitswünschen entspricht.⁶² Das Privacy Label allein kann keinen Ausgleich dafür bieten, dass Nutzer Gefahren der Profilbildung unterschätzen, weil diese zum einen abstrakt sind und in der Zukunft liegen, weshalb ihnen ein geringerer Stellenwert beigemessen wird (hyberbolic discounting), und weil sich zum anderen Nutzer die Folgen nicht konkret vorstellen können (availability bias) sowie unrealistisch optimistisch glauben, sie selbst werden nicht betroffen sein (Kontrollillusion).⁶³ Wenn Mitgliedern also die Möglichkeit eröffnet wird, gegen die Zahlung eines gewissen Betrags das Soziale Netzwerk nutzen zu können, ohne dass ihre Daten kommerziell verwertet werden, stehen die Unterschätzung des Risikos der Profilbildung sowie die menschliche Tendenz, eine bestehende Position nicht aufgeben zu wollen,⁶⁴ einer privatheitsschützenden Entscheidung entgegen.Wie eine Studie aus 2013 zeigt, sind rund 60 Prozent der Befragten nicht zur Entrichtung eines Entgelts bereit, damit Unternehmen ihre Daten nicht mehr zum Zweck der verhaltensbezogenen Werbung erheben, weil sie es als falsch empfinden, für den Schutz ihrer Privatsphäre zahlen zu müssen.⁶⁵ Zum Ausgleich menschlicher Tendenzen schlagen Verhaltenswissenschaftler vor, mit möglichst greifbaren Beispielen in Form von kurzen Anekdoten zu arbeiten, bei denen sich das unterschätzte Risiko in einem konkreten Fall realisiert.⁶⁶ Der oben geschilderte Fall der Werbung für werdende Mütter, auf deren Schwangerschaft aufgrund ihres Verhaltens geschlossen wurde,⁶⁷ ist ein geeignetes Beispiel.
dd) Präsentation von Widerspruchsmöglichkeiten Sollten entgegen der hier vertretenen Ansicht Datennutzungen zu kommerziellen Zwecken ohne Einwilligung erlaubt werden, ist hinsichtlich einer Widerspruchsmöglichkeit zu berücksichtigen, dass Privatheitsentscheidungen kontextbezogen gefällt werden.⁶⁸ Sollen Informationen für kommerzielle Zwecke ausgewertet werden, ist der Nutzer additiv zu der Wahlmöglichkeit über das Privacy-Label kontextbezogen zu informieren, d. h. dann, wenn er zum ersten Mal eine bestimmte Kommunikati-
Siehe oben: Teil , Kap. , B., II., ., b). Siehe oben: Teil , Kap. , B., II., ., b). Siehe oben: Teil , Kap. , B., II., ., b). Leon et al., What Matters, S. . Calo, Notre Dame L. Rev. , (). Siehe oben: Einl., I. Siehe oben: Teil , Kap. , B., II., ., b).
B. Anforderungen an Profilbildung und ‐nutzung
349
onsform wählt, bei der seine Daten analysiert werden.⁶⁹ Werden also beispielsweise über den Like Button endgerätbeziehbare Daten zu kommerziellen Zwecken erhoben und ist lediglich eine Widerspruchsmöglichkeit vorgesehen, ist der Nutzer beim jeweils ersten Nutzungsvorgang zu informieren, dass die Daten etwa für Werbezwecke verwendet werden und dass der Betroffene dieser Nutzung widersprechen kann.⁷⁰ Dies kann etwa dadurch geschehen, dass ein Avatar, der Facebook repräsentiert, auf den Drittseiten erscheint, welche Social Plugins des Sozialen Netzwerks eingebunden haben.⁷¹ Dadurch wird der Betroffene darauf aufmerksam gemacht, dass auf dieser Webseite ein unmittelbar identifizierbarer Dritter, hier Facebook, sein Nutzungsverhalten verfolgt.⁷² Bewegt er den Cursor über den Avatar, informiert dieser ihn über die Datenerhebung und die Widerspruchsmöglichkeit, die unmittelbar verlinkt sein sollte. Die damit einhergehende kurzzeitige Beeinträchtigung des Nutzungserlebnisses ist aufgrund der in Studien gefundenen Ergebnisse zur Entscheidungsfindung im Privatheitsbereich⁷³ und aufgrund der Bedeutung des Rechts auf informationelle Selbstbestimmung für den Einzelnen und die Gesellschaft⁷⁴ hinzunehmen.
ee) Ergebnis Eine Festlegung des Privacy Labels zusammen mit den oben erläuterten Ergänzungen als Standard für die Information der Nutzer und die Einholung ihrer Einwilligung bedeutet im Ergebnis eine klare Verbesserung des Privatheitsschutzes in der Praxis.
c) Regelmäßige Erneuerung der Einwilligung Darüber hinausgehend erscheint es vor dem Hintergrund neuer Erkenntnismöglichkeiten bei ständig anwachsenden Datensätzen und der damit verbundenen, schwerlich absehbaren Folgen sinnvoll, eine Pflicht einzuführen, die Einwilli-
FTC, Consumer Privacy , S. ff.; White House, Consumer Data Privacy (), S. . White House, Consumer Data Privacy (), S. f. Calo, Notre Dame L. Rev. , (). Calo, Notre Dame L. Rev. , (). Siehe oben: Teil , Kap. , B., II., ., b). Siehe oben: Teil , Kap. , B., III., ., a), aa).
350
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
gungserklärung regelmäßig zu erneuern.⁷⁵ Dazu könnte dem Einzelnen als Entscheidungshilfe und zum Ausgleich der menschlichen Tendenz, den Status Quo beibehalten zu wollen,⁷⁶ sein bestehendes Profil zugeschickt werden.
IV. Rechtsansprüche des Betroffenen Die Rechte auf Widerspruch, Berichtigung und Löschung sind neben der informierten Einwilligung entscheidende Instrumente zur Ausübung des Selbstbestimmungsrechts. Sowohl die Artikel-29-Datenschutzgruppe als auch die FTC und das Weiße Haus plädieren deshalb dafür, dem Betroffenen die Möglichkeit einzuräumen, sein Profil einzusehen und ggf. Daten zu korrigieren oder zu löschen.⁷⁷ Wie darüber hinaus mit Analysealgorithmen zu verfahren ist, wird aktuell diskutiert.⁷⁸ Der Algorithmus ist als Geschäftsgeheimnis geschützt und seine Offenlegung gesetzlich nicht vorgesehen.⁷⁹ Das ist begründet in der aufwändigen Entwicklung, die spezielles Fachwissen und Investitionen voraussetzt. Außerdem bedingt das Verfahren die Prognosequalität, welche die Wettbewerbsfähigkeit bestimmt.⁸⁰ Es erscheint dennoch denkbar, dass sich Betreiber Sozialer Netzwerke zu einer freiwilligen Offenlegung gegenüber Datenschutzbehörden verpflichten, sofern Verbrauchervertrauen in die Profilbildung als Wettbewerbsfaktor relevant wird und positive Prüfungsergebnisse als Aushängeschild etwa wie bei Stiftung Warentest einsetzbar sind. Aufgrund ihrer datenschutzrechtlichen und informationstechnologischen Expertise sind Datenschutzbehörden in der Lage, Bewertungsparameter zur Überprüfung von Algorithmen festzulegen sowie die Datenqualität der Analyseergebnisse zu bewerten.⁸¹
Spindler, Thesen DJT , These ; Schwartz, DJT , S. O ; acatech, Internet Privacy , S. ; Custers et al., scripted , , . Siehe oben: Teil , Kap. , B., II., ., b). Art. WP, Advice paper profiling, S. . Brill, Big Data, S. ; White House, Consumer Data Privacy (), S. ; Title I, Sec. CPBRA. Zum abgestuften Konzept der FTC s. FTC, Consumer Privacy , S. . Ein entsprechender Gesetzentwurf in Kalifornien wurde allerdings abgelehnt, s. Bygrave, Data Privacy, S. . Siehe bspw. Albig, Die Zeit . . . BGHZ , , = NJW , , – Schufa. BGHZ , , = NJW , , – Schufa. . Int. DSK, Aufsichtstätigkeit, Punkte und ; Härting, CR , , ; Schuler-Harms, in: Sokol, Living by numbers, S. . Für die Überprüfung durch die FTC in den USA s. Citron/ Pasquale, Wash. L. Rev. , , ().
C. Löschpflichten
351
C. Löschpflichten Die Frage nach der zulässigen Maximaldauer der Datenspeicherung dürfte im transatlantischen Kontext eine der schwierigsten Problemstellungen darstellen. Nichtsdestoweniger handelt es sich um einen essentiellen Punkt, um die Entstehung von umfassenden Persönlichkeitsprofilen zu verhindern. Weder gibt es in der EU oder den USA feste Vorgaben, wann Daten zu löschen sind, noch liegen die Vorstellungen darüber, wo die Grenze zu ziehen ist, nah beieinander. Zwar soll diesseits und jenseits des Atlantiks die zulässige Speicherdauer an der Erforderlichkeit orientiert sein,⁸² allerdings werden zeitliche Restriktionen aufgrund der starken Betonung des First Amendment wohl schwächer ausfallen. Berücksichtigt man die Sondervoten in der US Supreme CourtEntscheidung United States v. Jones ⁸³ aus 2012 und überträgt ihre Wertung auf den privaten Bereich,⁸⁴ besteht zumindest Einigkeit, dass die Entstehung umfassender Persönlichkeitsprofile zu vermeiden ist.⁸⁵ Dies kann durch die Implementierung vorgegebener Löschroutinen und ihre technische Integration in die Datenverarbeitung (Privacy by Design) erreicht werden, wodurch auch die sonst permanent erforderliche Bewertung der Rechtmäßigkeit eines wachsenden Datensatzes entfallen könnte.⁸⁶ Bei Sozialen Netzwerken steht ein Löschungserfordernis allerdings konträr zu dem Wunsch der Nutzer, ihre Kommunikation grundsätzlich dauerhaft abrufbar zu halten. Insoweit bietet sich die Sperrung der Inhaltsdaten, die im Sozialen Netzwerk zum Abruf für andere Nutzer bereitstehen sollen, für die Nutzung zu anderen Zwecken an. Außerdem könnte dem Mitglied die Löschung von Daten, die vor einem oder einem halben Jahr eingestellt wurden, vorgeschlagen werden (Privacy by Assistance) oder als Voreinstellung vorgesehen sein (Privacy by Default), die der Nutzer dann nur noch bestätigen muss.⁸⁷ Im Rahmen eines Smart Privacy Managements könnte dem Mitglied auch die Möglichkeit eingeräumt werden, für bestimmte Inhalte wie „Party-Fotos“, die vom Nutzer als solche gekennzeichnet werden, eine individuelle Speicherfrist festzulegen.⁸⁸
Siehe oben: Teil , Kap. , C., II., ., c) und Kap. , F., II., ., c), cc). Siehe oben: Teil , Kap. , B., II., ., a), aa), (), (). Siehe oben: Teil , Kap. , E., II., ., a), bb). Siehe oben: Teil , Kap. , B., III., ., a) und IV., ., b), aa). Siehe oben: Teil , Kap. , E., II., ; acatech, Internet Privacy , S. ; Roßnagel/Pfitzmann/ Garstka, Modernisierung, S. ; Maisch, Informationelle Selbstbestimmung, S. . Maisch, Informationelle Selbstbestimmung, S. . Maisch, Informationelle Selbstbestimmung, S. .
352
Kapitel 7 Inhalt transatlantischer Standards für Profile Sozialer Netzwerke
D. Ergebnis Im Rahmen transatlantischer CoC können gemeinsame, gesetzeskonkretisierende Regelungen gefunden werden, die sowohl hinsichtlich der erfassten Daten als auch in Bezug auf die Vorgaben für eine rechtmäßige Profilbildung und -nutzung zu einer Verbesserung des Privatheitsschutzes führen. Über die Erhebung,Verarbeitung und Nutzung von endgerätbezogenen Daten sind Betroffene im Vorfeld verständlich und umfassend zu informieren. Für die Nutzung zu kommerziellen Zwecken kann eine selbstbestimmte Entscheidung des Einzelnen über das Einwilligungserfordernis unter Berücksichtigung der Ergebnisse aus der Verhaltensforschung sichergestellt werden. Die Vorschläge fügen sich in die bisherige Praxis der Behörden jenseits und diesseits des Atlantiks nahtlos ein und sind auch mit dem Diskussionsentwurf des CPBRA kompatibel.
Kapitel 8 Schlussbetrachtungen Mit den Schlussbetrachtungen möchte die Arbeit Bilanz ziehen. Der in Teil A. vorgenommene Abgleich der Arbeitshypothese mit den gefundenen Ergebnissen versteht sich als Quintessenz der Arbeit. Die Auseinandersetzung mit möglichen Kritikpunkten in Teil B. soll eine Antwort auf die Frage geben, ob ein transatlantischer Standard mit praktischem Nutzen für den Einzelnen aller Voraussicht nach eine Utopie bleiben wird.
A. Verifizierung der Arbeitshypothese Die Untersuchung ging von der These aus, dass die Beeinträchtigung von Privatheitsinteressen durch die Profilbildung Sozialer Netzwerkbetreiber ein internationales Problem ist, das durch die Schaffung transatlantischer Standards gebessert werden kann. Wie die Analyse der Profilbildung innerhalb Sozialer Netzwerke ergeben hat, ist diese geeignet, Privatheitsinteressen in erheblichem Maße zu beeinträchtigen. Die generell bestehenden Risiken einer Profilbildung für die freie Entfaltung der Persönlichkeit und die informationelle Selbstbestimmung können sich gerade bei Sozialen Netzwerken aufgrund der Quantität und Qualität der zur Verfügung stehenden personenbezogenen Daten und die damit einhergehenden Analysemöglichkeiten aus dem Bereich Big Data¹ realisieren. Dabei besteht – wie die Auswertung von Studien zum Verhalten von Internetnutzern und ihren Einstellungen zur Privatheit zeigen konnte – neben dem gesamtgesellschaftlichen Interesse am Privatheitsschutz nach wie vor auch ein Interesse der Betroffenen am Schutz ihrer Privatsphäre. Wie am Beispiel von Facebook ausgeführt, wird allerdings weder in den Datenschutzbestimmungen über Umfang und Methode der Profilbildung zu kommerziellen Zwecken informiert noch sind diese generell dazu geeignet, Grundlage für eine informierte Entscheidung zu bilden. Die Analyse des Nutzerverhaltens hat gezeigt, dass Mitglieder Sozialer Netzwerke Datenschutzbestimmungen aufgrund ihrer Länge, Unverständlichkeit und fehlender Wahlmöglichkeiten mehrheitlich nicht lesen oder verstehen. Jüngste Studien aus dem Bereich der Verhaltenswissenschaften haben zudem in der Natur des Menschen bedingte Faktoren benannt, welche die Umsetzung abstrakter Privatheitswünsche im Kontext der Online-Interaktion erschweren.
Zum Begriff Big Data und den Analysemöglichkeiten siehe oben: Teil , Kap. , C., II., .
354
Kapitel 8 Schlussbetrachtungen
In den Länderberichten stellt die Arbeit dar, welche rechtlichen Lösungen die beiden Rechtsordnungen in Bezug auf die Profilbildungsproblematik gefunden haben. Diesem Teil lag die Annahme zu Grunde, dass sowohl aus unionsrechtlicher als auch aus US-amerikanischer Sicht ein vergleichbarer rechtlicher Gestaltungsbedarf besteht und dass der Schutz der Privatheitsinteressen durch ein transatlantisches Zusammenwirken verbessert werden kann. Die verfassungsrechtliche Untersuchung im deutschen Länderbericht hat ergeben, dass der Transparenz der Prozesse und der Gewährleistung echter Wahlmöglichkeiten ebenso wie der Bindung der Datenverarbeitung an einen bestimmten Zweck entscheidende Bedeutung für die Ausübung des Rechts auf informationelle Selbstbestimmung zukommen. Um die Entstehung von umfassenden Persönlichkeitsprofilen zu verhindern, müssen Löschpflichten ebenso wie das Erforderlichkeitsprinzip eingehalten werden. Auf einfachgesetzlicher Ebene werden die Risiken einer umfassenden Profilbildung nicht explizit adressiert. Dem Persönlichkeitsgefährdungspotential von Internettracking und Big Data-Analysen wird keine Rechnung getragen. Die tatsächlichen Schwierigkeiten, eine freiwillige und informierte Einwilligung zur Profilbildung zu erlangen, werden nicht aufgegriffen. Auf der Rechtsdurchsetzungsebene bestehen allein schon deshalb erhebliche Defizite, weil Rechtsunsicherheit über die Anwendbarkeit deutschen Datenschutzrechts besteht. Hinzu kommt, dass die Sanktionsmechanismen und die Ausstattung der Datenschutzbehörden eklatant unzureichend sind. Der US-amerikanischen Verfassung lassen sich mangels Schutzpflichten keine Vorgaben für eine gesetzliche Regulierung der Profilbildung durch Private entnehmen. Der starke Schutz des First Amendment sowie die Dogmatik berechtigter Privatheitserwartungen führen grundsätzlich zum Vorrang der Datenverarbeitung und -nutzung. Die Analyse der aktuellen Rechtsprechung hat jedoch ergeben, dass die Erstellung eines Persönlichkeitsprofils, das über mehrere Jahre ein Abbild des Lebens einer Person ergibt und Rückschlüsse auf vertrauliche Informationen zulässt, Bedenken hervorruft. Da die Gerichte allerdings bisher gesetzliche Regelungen zum Privatheitsschutz sowie die Privacy Torts eng auslegen und sich Soziale Netzwerkbetreiber keinen Selbstregulierungsinitiativen angeschlossen haben, beschränkt sich der tatsächlich gewährte Privatheitsschutz in den USA auf die von der FTC erwirkten Anordnungen gegenüber einzelnen, überprüften Unternehmen. Die FTC hat sich bereits verstärkt mit den Risiken der Profilbildung auseinandergesetzt, ohne allerdings in der Praxis die eigenen Maßstäbe einzufordern, da auch die finanzielle und personelle Ausstattung der US-Behörde beschränkt ist. Wie der aktuelle Gesetzesentwurf der Obama-Regierung zum Verbraucherdatenschutz und zur Verbesserung der Interoperabilität mit anderen Rechtsordnungen zeigt, wird in den USA zum Teil eine Annäherung an EU-Datenschutz-
B. Mögliche Kritikpunkte an transatlantischen Standards
355
standards gesucht. Sowohl in der EU als auch in den USA soll eine Profilerstellung und ‐nutzung nur unter den Vorgaben von Transparenz und der tatsächlichen Entscheidungsmöglichkeit der Betroffenen möglich sein. Die Annäherungstendenz wird durch die DS-GVO, ein verstärktes Vorgehen unionaler Datenschutzbehörden gegen US-amerikanische Konzerne und die erfolgreiche gerichtliche Durchsetzung unionsrechtlicher Vorgaben vor dem EuGH ebenso verstärkt wie durch die Verhandlung des Privacy Shield als Nachfolger der Safe Harbor-Prinzipien. Die Arbeit verfolgte vor diesem Hintergrund die Annahme, dass der erforderliche Gestaltungs- bzw. Konkretisierungsbedarf zur Verbesserung des Privatheitsschutzes bei der Profilbildung Sozialer Netzwerkanbieter durch ein transatlantisches Zusammenwirken auf untergesetzlicher Ebene ausgefüllt werden kann. Es konnte gezeigt werden, dass ein gemeinsames Vorgehen nicht nur rechtlich möglich ist, sondern daneben sowohl für das Schutzniveau als auch hinsichtlich der Durchsetzung gegenüber nationalen Lösungen Vorteile bringt. Das geltende Recht ermöglicht lediglich eine freiwillige Selbstregulierung. Eine transatlantische, branchenweite, regulierte Selbstregulierung ließe sich jedoch auf der Grundlage des CPBRA realisieren, indem CoC – ggf. nach einer gemeinsamen Aushandlung zwischen Behörden und Beteiligten – bei den jeweiligen Datenschutzbehörden bzw. der FTC registriert werden. Solchermaßen können gemeinsame Regelungen zur Verbesserung des Privatheitsschutzes entstehen, die gesetzeskonkretisierend festlegen, wie verständlich und umfassend über die Erhebung, Verarbeitung und Nutzung von endgerätbezogenen Daten zu informieren ist, wie die Einwilligung unter Berücksichtigung der Ergebnisse aus der Verhaltensforschung eingeholt werden kann und welche Löschpflichten einzuhalten sind. Die vorliegende Arbeit macht hierzu konkrete Vorschläge. Im Ergebnis konnte damit die Arbeitshypothese vollständig verifiziert werden.
B. Mögliche Kritikpunkte an transatlantischen Standards Die Arbeit wird sich die Fragen stellen lassen müssen, ob eine transatlantische Zusammenarbeit tatsächlich realistisch ist und nicht nationale Lösungen in gleicher Weise, aber mit weniger Aufwand eine Verbesserung bewirken können. Außerdem kann der tatsächliche Nutzen des Lösungsvorschlags für die Praxis kritisch gesehen werden.
356
Kapitel 8 Schlussbetrachtungen
I. Frage der tatsächlichen Realisierbarkeit Sowohl auf der materiell-rechtlichen Ebene als auch hinsichtlich der transatlantischen Kooperation bei der Erarbeitung und Durchsetzung des gemeinsamen Standards können Zweifel an der Realisierbarkeit aufgeworfen werden.
1. Transatlantische Standards – eine Utopie? Auf materiell-rechtlicher Ebene basiert der dargestellte gemeinsame Lösungsansatz im Wesentlichen auf dem noch nicht verabschiedeten CPBRA und Fallbeispielen der FTC-Spruchpraxis sowie den von der FTC erarbeiteten Empfehlungen für Profile. Die daraus abgeleiteten Vorgaben hat die vorliegende Untersuchung auf die Profilbildung Sozialer Netzwerkbetreiber übertragen, obwohl die FTC das Soziale Netzwerk Facebook bereits einer Prüfung unterzogen hat, ohne die Profilbildung zu thematisieren. Daraus die Schlussfolgerung zu ziehen, die FTC sähe die Profilbildung bei Sozialen Netzwerken deshalb als unproblematisch an, ist jedoch verfehlt, wie sich der Positionierung der US-Behörde zur Profilbildungspraxis entnehmen lässt.² Fraglich ist dagegen die Verabschiederung des CPBRA. Bisherige Gesetzgebungsvorschläge zur Regulierung des Datenschutzes auf Bundesebene sind bislang gescheitert. Allerdings dürften die Realisierungschancen des CPBRA aufgrund des erheblichen Drucks der EU durch die DS-GVO und die EuGHEntscheidung zu Safe Harbor deutlich gestiegen sein. Zugestanden werden muss jedoch, dass auch bei einer Verhandlungslösung keine Maximalforderungen durchzusetzen sind, so dass mit Abstrichen zu rechnen ist. Die vorgeschlagenen Standards setzen insbesondere hinsichtlich der Verbesserungsmöglichkeiten bei Transparenz und Wahlmöglichkeit auf Zugeständnisse der Betreiber Sozialer Netzwerke. Ob der Anreiz eines sicheren Hafens vor anlasslosen Kontrollen durch die Datenschutzbehörden bzw. die FTC ausreicht, wird auch davon abhängen, ob die Durchsetzungspraxis deutlich verbessert werden kann.
2. Transatlantische Kooperation Eine transatlantische Umsetzung ist nicht zwingend. Die regulierte Selbstregulierung ist eines der Instrumente, die es einem nationalen Gesetzgeber erlauben,
FTC, Profiling , S. .
B. Mögliche Kritikpunkte an transatlantischen Standards
357
auch auf internationale Entwicklungen Einfluss zu nehmen.³ Allerdings kann die Verwirklichung eines der Hauptanliegen der Betreiber internationaler Sozialer Netzwerke, nämlich sich international nur noch an vereinheitlichte Vorgaben halten zu müssen, ein starkes Argument für die Teilnahme an einer transatlantischen Selbstregulierungsinitiative sein. Sollen diese Verhaltensregeln über die EU hinaus Geltung beanspruchen, müssen sie weltweit oder zumindest im transatlantischen Verhältnis anerkannt sein.⁴ Ein schwerlich von der Hand zu weisendes Argument bleibt jedoch der zeitliche, organisatorische und finanzielle Aufwand sowie fehlende Erfahrungen. Je größer der Kreis der Beteiligten ist, desto schwieriger wird es sein, einen Konsens auf hohem Niveau zu finden. Doch auch wenn es nicht zu einer (umfassenden) Zusammenarbeit der FTC und EU-Datenschutzbehörden kommen sollte, konnte die Arbeit dennoch durch das Rekurrieren auf international erfolgreich bestehende Formen der regulierten Selbstregulierung Wege aufzeigen, wie auch der nationale Gesetzgeber die Formulierung von Verhaltenskodizes für Betreiber Sozialer Netzwerke herbeiführen und ihre Durchsetzung international verbessern kann.
II. Konsequenzen für den Einzelnen Die vorgeschlagene Lösungsmöglichkeit muss sich zudem die Frage gefallen lassen, ob der Ansatz in der Praxis für den Einzelnen tatsächlich eine Verbesserung bedeutet und ob die möglichen Folgen einer konsequenten Umsetzung des Privatheitsschutzes wünschenswert sind.
1. Tatsächlicher Nutzen Mit Hilfe eines nutzerfreundlichen Designs wie dem Privacy Label können zwar viele in der menschlichen Natur bedingte Schwierigkeiten der Einwilligungslösung ausgeglichen werden, alle jedoch nicht.⁵ Zusätzlich zu den Verbesserungen im Design und Framing sowie den ergänzenden Entscheidungshilfen wie Gütesiegel und der Möglichkeit, Einsicht in das eigene Profil zu nehmen, ist deshalb zwingend die Erhöhung der Medienkompetenz⁶ erforderlich, damit Nutzer auf
Schulz/Held, Modern Government, S. . Roßnagel/Pfitzmann/Garstka, Modernisierung, S. . Siehe oben: Teil , Kap. , B., III., ., b), cc). Zum Begriff der Medienkompetenz s. Gimmler, DuD , . Die Kompetenz umfasst „Wissensbestände, Fähigkeiten und Fertigkeiten, die gemeinsam mit motivationalen Vorausset-
358
Kapitel 8 Schlussbetrachtungen
Grundlage der ihnen zur Verfügung gestellten Informationen in der Lage sind, mögliche Folgen einer Zustimmung zur Profilbildung abschätzen zu können.⁷ Eine Vermittlung der Bedeutung von Privatsphäre und der Risiken von Profilbildung können nicht sinnvoll durch eine Informationspflicht der Diensteanbieter geleistet werden. Hier können Schulen ebenso einen Beitrag leisten wie Ausbildungsinitiativen oder Selbstschulungsmöglichkeiten für Erwachsene.⁸ Zu berücksichtigen ist zudem, dass sich Nutzer bei ihren Entscheidungen vielfach von sozialen Einflüssen leiten lassen.⁹ Die Informationsvermittlung sollte deshalb möglichst von Personen aus dem eigenen Netzwerk unterstützt werden. In Schulen bieten es sich an, interessierte Schüler zu sog. Peer-Scouts auszubilden, die ihren Mitschülern als Ansprechpartner für die Mediennutzung zur Verfügung stehen. Die solchermaßen erhöhte Transparenz und Informiertheit sind jedoch wirkungslos, wenn das Kriterium der Freiwilligkeit nicht erfüllt ist. Wie dargestellt,¹⁰ kann im Hinblick auf das Soziale Netzwerk Facebook in Zweifel gezogen werden, ob Kinder und Jugendliche sich tatsächlich autonom für die Mitgliedschaft in dem Sozialen Netzwerk entscheiden. Es bleibt abzuwarten, ob sich die Datenportabilität in der Praxis bewähren und zu einer tatsächlichen Wahlmöglichkeit aus Sicht der Nutzer führen wird, oder ob alternative Lösungen erarbeitet werden müssen.
2. Individueller Datenschutz Die Durchsetzung des transatlantischen Standards ist zwar einerseits geeignet, den Privatheitsschutz in Sozialen Netzwerken zu verbessern. Andererseits führt sie allerdings dazu, dass Betreiber Sozialer Netzwerke nach alternativen Finanzierungsmöglichkeiten suchen werden. Das Einwilligungserfordernis für die Datenerhebung auf Webseiten Dritter sowie für die Profilbildung zu Werbezwecken erschwert eine Personalisierung mit der Folge, dass die Werbeeinnahmen wahrscheinlich zurückgehen werden. Mögliche Konsequenz ist die Einführung von Bezahlversionen der Dienste, ohne dass individueller Datenschutz zu einer Frage finanzieller Möglichkeiten
zungen ein Individuum dazu befähigen, ein bestimmtes Verhalten – im vorliegenden Kontext den Medienumgang – in kompetenter Weise auszuüben, d. h. funktional und kreativ, selbstbestimmt und selbstreguliert wie auch sozial und persönlich angemessen und verträglich.“. . Int. DSK, Profilbildung, Punkt ; Hornung/Müller-Terpitz-Hornung, Social Media, S. Rn. f.; Gimmler, DuD , , . Acatech, Internet Privacy , S. , , . Bsp. aus den USA s. Thierer, Harv. J.L. & Pub. Pol’y , (). Sunstein, U. Chi. L. Rev. , (). Siehe oben: Teil , Kap. , C., II., ., b), aa).
B. Mögliche Kritikpunkte an transatlantischen Standards
359
verkommen darf. Dem Nutzer sollten Wahlmöglichkeiten zur Verfügung gestellt werden, die es ihm ermöglichen, seine Privatheitswünsche differenziert umzusetzen. Anstatt also nur die kostenlose Dienstenutzung im Gegenzug für eine weitgehende Profilbildung anzubieten, sollte es dem Nutzer ermöglicht werden, selbst zu entscheiden, inwieweit er eine Datenanalyse durch das Soziale Netzwerk zulassen möchte, oder ob er demgegenüber eine eingeschränkte Dienstenutzung oder eine Benutzung gegen Entgelt zum Schutz seiner Daten vorzieht.
Literaturverzeichnis Alle Online-Nachweise wurden zuletzt am 29.10. 2015 auf ihre Abrufbarkeit überprüft. Achruth, Björn: Der rechtliche Schutz bei der Nutzung von Social Networks, Münster 2014 (zit.: Achtruth, Social Networks). Acquisti, Alessandro/Gross, Ralph: Imagined Communities: Awareness, Information Sharing, and Privacy on the Facebook, in: Danezis, George/Golle, Philippe (Hrsg.), Privacy Enhancing Technologies – 6th International Workshop, PET 2006, Cambridge, UK, June 28 – 30, 2006, Revised Selected Papers, Berlin/Heidelberg 2006, S. 36 – 58 (zit.: Acquisti/Gross, in: Danezis/Golle, PET). Acquisti, Alessandro/Grossklags, Jens: Privacy and Rationality, in: Strandburg, Katherine J./Raicu, Daniela, Privacy and Technologies of Identity – A cross-disciplinary conversation, New York 2006, S. 15 – 30 (zit.: Acquisti/Grossklags, in: Strandburg/Raicu, Privacy). Acquisti, Alessandro/Grossklags, Jens: What Can Behavioral Economics Teach Us about Privacy?, in: Acquisti, Alessandro/Gritzalis, Stefanos/Lambrinoudakis, Costas/Capitani di Vimercati, Sabrina de (Hrsg.): Digital Privacy, New York 2008, S. 363 – 377 (zit.: Acquisti/Grossklags, in: Acquisti et al., Digital Privacy). Acquisti, Alessandro/John, Leslie K./Loewenstein, George: What is Privacy Worth?, 42 J. Legal Stud. 249 – 270 (2013). Ahlberg, Hartwig/Götting, Horst-Peter: Beckscher Online Kommentar, 9. Edition, München 01. 07. 2015 (zit.: Ahlberg/Götting-Bearbeiter). Albrecht, Jan P.: Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung – Überblick und Hintergründe zum finalen Text für die Datenschutzgrundverordnung der EU nach der Einigung im Trilog, C&R 2016, 88 – 98. Amelung, Ulrich: Der Schutz der Privatheit im Zivilrecht – Schadensersatz und Gewinnabschöpfung bei Verletzung des Rechts auf Selbstbestimmung über personenbezogene Informationen im deutschen, englischen und US-amerikanischen Recht, Tübingen 2002 (zit.: Amelung, Schutz der Privatheit). Bäcker, Matthias: Grundrechtlicher Informationsschutz gegen Private, Der Staat 2012, 91 – 116. Baeriswyl, Bruno: Data Mining und Data Warehousing: Kundendaten als Ware oder geschütztes Gut?, RDV 2000, 6 – 11. Baldwin, Robert/Cave, Martin/Lodge, Martin: Understanding Regulation – Theory, Strategy, and Practice, 2. Aufl., New York 2012 (zit.: Baldwin/Cave/Lodge, Understanding Regulation). Bambauer, Jane: Is Data Speech?, 66 Stan. L. Rev. 57 – 120 (2014). Bamberger, Kenneth A./Mulligan, Deidre K.: Privacy on the Books and on the Ground, 63 Stan. L. Rev. 247 – 316 (2011). Barnes, Susan B.: A privacy paradox: Social Networking in the United States, 11 First Monday 2006, abrufbar unter: http://firstmonday.org/article/view/1394/1312. Bartel, Rainer: Alles Wichtige zu Facebook – Alles, was Sie wirklich brauchen!, Düsseldorf 2010 (zit.: Bartel, Facebook).
362
Literaturverzeichnis
Bauer, Christoph/Greve, Goetz/Hopf, Gregor: Online Targeting und Controlling: Grundlagen – Anwendungsfelder – Praxisbeispiele, Wiesbaden 2011 (zit.: Bauer/Greve/Hopf, Online Targeting). Bauer, Stephan: Personalisierte Werbung auf Social Community-Websites – Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und Nutzungsprofilen, MMR 2008, 435 – 438. Bedi, Monu: Social Networks, Government Surveillance, and the Fourth Amendment Mosaic Theory, 94 B.U. L. Rev. 1809 – 1880 (2014). Beisenherz, Gerhard/Tinnefeld, Marie-Theres: Aspekte der Einwilligung, DuD 2011, 110 – 115. Belgum, Karl D.: Who Leads at Half-time?: Three Conflicting Visions of Internet Privacy Policy, 6 Rich. J.L. & Tech. Rz. 1 – 79 (1999). Bender, Gunnar: Informationelle Selbstbestimmung in sozialen Netzwerken, K&R 2013, 218 – 220. Bennett, Colin J.: Regulating Privacy – Data Protection and Public Policy in Europe and the United States, New York 1992 (zit.: Bennett, Regulating Privacy). Bennett, Colin J.: Convergence Revisited: Toward a Gobal Policy for the Protection of Personal Data?, in: Agre, Philip E./Rotenberg, Marc, Technology and Privacy: The New Landscape, 3. Aufl., Cambridge/Massachusetts 2001, S. 99 – 124 (zit.: Bennett, in: Agre/Rotenberg, Technology and Privacy). Beresford, Alastair R./Kübler, Dorothea/Preibusch, Sören: Unwillingness to pay for privacy: A field experiment, 117 Economics Letters 25 – 27 (2012). Berg, Bibi van den/Hof, Simone van der: What happens to my data? A novel approach to informing users of data processing practices, 17 First Monday 2012, abrufbar unter: http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/viewArticle/4010/ 3274. Bergelson, Vera: It’s Personal But Is It Mine? Toward Property Rights In Personal Information, 37 U.C. Davis L. Rev. 379 – 451 (2003). Berger, Dustin D.: Balancing Consumer Privacy with Behavioral Targeting, 27 Santa Clara Computer & High Tech. L.J. 3 – 61 (2011). Bergmann, Lutz/Möhrle, Roland/Herb, Armin: Datenschutzrecht – Kommentar zum Bundesdatenschutzgesetz, den Datenschutzgesetzen der Länder und Kirchen sowie zum Bereichsspezifischen Datenschutz, 48. EL, Stuttgart Februar 2015 (zit.: Bergmann/Möhrle/Herb). Bernstein, Erin/Lee, Theresa J.: Where the Consumer is the Commodity: The Difficulty With the Current Definition of Commercial Speech, 2013 Mich. St. L. Rev. 39 – 81 (2013). Beyvers, Eva/Herbrich, Tilman: Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook, ZD 2014, 558 – 562. Birke, Daniel: Social Networks and their Economics – Influencing Consumer Choice, Chichester, UK 2013 (zit.: Birke, Social Networks). Blumenwitz, Dieter: Einführung in das anglo-amerikanische Recht, 7. Aufl., München 2003 (zit.: Blumenwitz, Einführung). Böckenförde, Thomas: Auf dem Weg zur elektronischen Privatsphäre, JZ 2008, 925 – 939. Borchert, Christopher J./Pinguelo, Fernando M./Thaw, David: Reasonable Expectations of Privacy Settings: Social Media and the Stored Communications Act, 13 Duke L. & Tech. Rev. 36 – 65 (2015). Bosco, Francesca/Creemes, Niklas/Ferraris, Valeria/Guagnin, Daniel/Koops, Bert-Jaap: Profiling Technologies and Fundamental Rights and Values: Regulatory Challenges and
Literaturverzeichnis
363
Perspectives from European Data Protection Authorities, in: Gutwirth, Serge/Leenes, Ronald/Hert, Paul de (Hrsg.), Reforming European Data Protection Law, Dordrecht 2015, S. 3 – 33 (zit.: Bosco et al., in: Gutwirth/Leenes/Hert, Reforming DPL). Bott, Elisabeth: Family and Social Network, London 1957. Boyd, Danah M./Ellison, Nicole B.: Social Networking Sites: Definition, History and Scholarship, 13 JCMC 210 – 230 (2008). Boyd, Danah M.: Taken Out of Context – American Teen Sociality in Networked Publics, Diss. Berkeley 2008, abrufbar unter: http://www.danah.org/papers/TakenOutOfContext. pdf (zit.: Boyd, Taken Out of Context). Boyden, Bruce E.: Can a Computer Intercept Your Email, 34 Cardozo L. Rev. 669 – 716 (2012). Bradford, Anu: The Brussels Effect, 107 Nw. U. L. Rev. 1 – 67 (2012). Brandimarte, Laura/Acquisti, Alessandro/Loewenstein, George: Misplaced Confidences: Privacy and the Control Paradox, abrufbar unter: https://www.futureofprivacy.org/wp-content/ uploads/2010/09/Misplaced-Confidences-acquisti-FPF.pdf (zit.: Brandimarte et al., Misplaced Confidences). Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken – Zivilrechtlicher Austausch von IT-Leistungen gegen personenbezogene Daten, MMR 2012, 635 – 641. Breinlinger, Astrid: Datenschutzrechtliche Probleme bei Kunden- und Verbraucherbefragungen zu Marketingzwecken, RDV 1997, 247 – 253. Breitfeld, Anja: Berufsfreiheit und Eigentumsgarantie als Schranke des Rechts auf informationelle Selbstbestimmung – Verfassungsrechtliche Vorgaben für die zivilrechtliche Informationsordnung, Berlin 1992 (zit.: Breitfeld, Berufsfreiheit). Brill, Julie: Bridging the Divide: A Perspective on U.S.-EU Commercial Privacy Issues and Transatlantic Enforcement Cooperation, in: Hijmans, Hielke/Kranenborg, Herke (Hrsg.), Data Protection Anno 2014: How To Restore Trust? – Contributions in honour of Peter Hustnix, European Data Protection Supervisor (2004 – 2014), Cambridge/Antwerp/Portland 2014, S. 179 – 190 (zit.: Brill, in: Hijmans/Kranenborg, Data Protection). Britz, Gabriele: Vertraulichkeit und Integrität informationstechnischer Systeme – Einige Fragen zu einem „neuen Grundrecht“, DÖV 2008, 411 – 414. Brotherton, Elspeth A.: Big Brother gets a Makeover: Behavioral Targeting and the Third-Party Doctrine, 61 Elmory L.J. 555 – 600 (2012). Brown, Ian/Marsden, Christopher T.: Regulating Code, Cambridge/Massachusetts 2013. Buchner, Benedikt: Die Einwilligung im Datenschutzrecht, DuD 2010, 39 – 43. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006 (zit.: Buchner, Informationelle Selbstbestimmung). Buchner, Benedikt: Inhaltsdaten, DuD 2012, 767. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, DuD 2016, 155 – 161. Bull, Hans Peter: Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257 – 263. Büllesbach, Achim: Transnationalität und Datenschutz – Die Verbindlichkeit von Unternehmensregelungen, Baden-Baden 2008 (zit.: Büllesbach, Transnationalität). Bullinger, Hermann/Nowak, Jürgen: Soziale Netzwerkarbeit – Eine Einführung für soziale Berufe, Freiburg 1998 (zit.: Bullinger/Nowak, Soziale Netzwerkarbeit). Buxel, Holger: Customer Profiling im Electronic Commerce: Methodische Grundlagen, Anwendungsprobleme und Managementimplikationen, Aachen 2001 (zit.: Buxel, Customer Profiling).
364
Literaturverzeichnis
Buxel, Holger: Die Privacy Policy im Internet, DuD 2002, 401 – 405. Bygrave, Lee A.: Privacy and Data Protection in an International Perspective, Sc.St.L. 165 – 200 (2010). Bygrave, Lee A.: Data Privacy Law – An International Perspective, New York 2014 (zit.: Bygrave, Data Privacy). Byrd, Sharon B.: Einführung in die anglo-amerikanische Rechtssprache, 2. Aufl., München 2001 (Byrd, Rechtssprache). Calo, Ryan: Against Notice Scepticism in Privacy (and Elsewere), 87 Notre Dame L. Rev 1027 – 1072 (2012). Calo, Ryan: Digital Market Manipulation, 82 Geo. Wash. L. Rev. 995 – 1051 (2014). Canhoto, Ana/Backhouse, James: General Description of the Process of Behavioural Profiling, in: Hildebrandt, Mireille/Gutwirth, Serge (Hrsg.), Profiling the European Citizen – Cross-Disciplinary Perspectives, Rotterdam/Brüssel 2008, S. 47 – 59 (zit.: Canhoto/Backhouse, in: Hildebrandt/Gutwirth, Profiling). Caspar, Johannes: Soziale Netzwerke – Endstation informationelle Selbstbestimmung? – Ein Bericht aus der Behördenpraxis, DuD 2013, 767 – 771. Chaabane, Abdelberi/Kaafar, Mohamed Ali/Boreli, Roskana: ‚Big Friend is Watching You: Analyzing online social networks′ tracking capabilities‘, Workshop on Online Social Networks (WOSN’12), Helsinki 2012, S. 1 – 6, abrufbar unter: http://www.nicta.com.au/ publications/research-publications/?pid=6301 (zit.: Chaabane/Kaafar/Borelli, WOSN’2012). Chaabane, Abdelberi/Acs, Gegerly/Kaafar, Mohamed Ali: ‘You Are What You Like! Information leakage through users’ interests’, The Network & Distributed System Security Symposium (NDSS), San Diego 2012, S. 1 – 4, abrufbar unter: http://www.crysys.hu/~acs/ publications/ChaabaneAK11ndss.pdf (zit.: Chaabane/Acs/Kaafar, NDSS 2012). Challis, William S./Cavoukian, Ann: The Case For a U.S. Privacy Commissioner: A Canadian Commissioner’s Perspective, 19 J. Marshall J. Computer & Info. L. 1 – 36 (2000). Chander, Anupam: Facebookistan, 90 N.C. L. Rev. 1807 – 1844 (2012). Christofides, Emily/Muise, Amy/Desmarais, Serge: Privacy and Disclosure on Facebook: Youth and Adults’ Information Disclosure and Perceptions of Privacy Risks, 26. 03. 2010, abrufbar unter: http://www.psychology.uoguelph.ca/faculty/desmarais/files/OPC_Final_ Report-Facebook_Privacy.pdf (zit.: Christofides/Muise/Desmarais, Privacy and Disclosure). Citron, Danielle K./Pasquale, Frank: The Scored Society: Due Process for Automated Predictions, 89 Wash. L. Rev. 1 – 33 (2014). Clark, Gerard J.: The Constitutional Protection of Information in the Digital Age, 47 Suffolk U. L. Rev. 267 – 304 (2014). Cohen, Julie E.: Examined Lives: Information Privacy and the Subject as an Object, 52 Stan. L. Rev. 1373 – 1438 (2000). Cohen, Julie E.: What Privacy is for, 126 Harv. L. Rev. 1904 – 1933 (2013). Cole, Agatha M.: Internet Advertising After Sorrell v. IMS Health: A Discussion On Data Privacy & First Amendment, 30 Cardozo Arts & Ent. L.J. 283 – 316 (2012). Cornils, Matthias: Der grundrechtliche Rahmen für ein (trans‐)nationales Datenschutzrecht im digitalen Zeitalter, S. 11 – 50, in: Stern, Klaus/Peifer, Karl-Nikolaus/Hain, Karl-Eberhard (Hrsg.), Datenschutz im digitalen Zeitalter – global, europäisch, national, München 2015 (zit.: Cornils, in: Stern/Peifer/Hain, Datenschutz). Crawford, Kate/Schultz, Jason: Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms, 55 B.C. L. Rev. 93 – 128 (2014).
Literaturverzeichnis
365
Cruz, Peter de: Comparative law in a changing world, London 2008 (zit.: de Cruz, Comparative law). Cullerton, Nate: Behavioral Credit Scoring, 101 Geo. L.J. 807 – 838 (2013). Custers, Bart: Data Dilemmas in the Information Society: Introduction and Overview, in: Custers, Bart/Calders, Toon/Schermer, Bart/Zarsky, Tal (Hrsg.), Discrimination and Privacy in the Information Society – Data Mining and Profiling in Large Databases, Heidelberg 2013, S. 3 – 21 (zit.: Custers, in: Custers et al., Discrimination). Custers, Bart/Hof, Simone van der/Schermer, Bart/Appleby-Arnold, Sandra/Brockdorff, Noellie: Informed Consent in Social Media Use – The Gap between User Expectations and EU Personal Data Protection Law, scripted 2013, 435 – 457. Dammann, Ulrich: Internationaler Datenschutz, RDV 2002, 70 – 77. Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo: Bundesdatenschutzgesetz – Kompaktkommentar zum BDSG, 4. Aufl. Frankfurt/M. 2014 (zit.: Däubler et al.-Bearbeiter). Debatin, Bernhard/Lovejoy, Jennette P./Horn, Ann-Kathrin/Hughes, Brittany N.: Facebook and Online Privacy: Attitudes, Behaviors, and Unintended Consequences, 15 JCMC 83 – 108 (2009). Determann, Lothar: Social Media Privacy – A Dozen Myths and Facts, 2012 Stan. Tech. L. Rev. 1 – 14 (2012). Dickenson, Greg: Survey of Recent FTC Privacy Enforcement Actions and Developments, 70 BUSLAW 247 – 252 (2014). Diesterhöft, Martin: Das Recht auf medialen Neubeginn – Die „Unfähigkeit des Internets zu vergessen“ als Herausforderung für das allgemeine Persönlichkeitsrecht, Berlin 2014 (zit.: Diesterhöft, Neubeginn). Dietrich, Florian/Ziegelmayer, David: Facebook’s „Sponsored Stories“ – ein personenbezogenes unlauteres Vergnügen – Anwendbares Recht und AGB-rechtliche Beurteilung der Werbeform „Sponsored Stories“ (Gesponsorte Meldungen), CR 2013, 104 – 110. Dix, Alexander: Daten- und Persönlichkeitsschutz im Web 2.0, in: Klumpp, Dieter/Kubicek, Herbert/Roßnagel, Alexander/Schulz, Wolfgang (Hrsg.), Netzwelt – Wege, Werte, Wandel, Berlin/Heidelberg 2010, S. 195 – 210 (zit.: Dix, in: Klumpp et al., Netzwelt). Doerfel, Stephan/Hotho, Andreas/Kartal-Aydemir, Aliye/Roßnagel, Alexander/Stumme, Gerd: Informationelle Selbstbestimmung im Web 2.0 – Chancen und Risiken sozialer Verantwortungssysteme, Heidelberg 2013 (zit.: Doerfel et al., Informationelle Selbstbestimmung). Dumortier, Franck: Facebook and Risks of „De-Contextualization“ of Information, in: Gutwirth, Serge/Poullet, Yves/Hert, Paul de, Data Protection in a Profiled World, Dodrecht/Heidelberg/London/New York 2010, S. 119 – 137 (zit.: Dumortier, in: Gutwirth/Poullet/de Hert, Profiled World). Dreier, Horst: Grundgesetz Kommentar, Band I, 3. Aufl., Tübingen 2013 (zit.: Dreier-Bearbeiter). Eckardt, Jens: Datenschutz in der Werbung – Klarstellungen duch die Datenschutzaufsichtsbehörden, DuD 2014, 381 – 388. Edwards, Lilian/Brown, Ian: Data Control and Social Networking: Irreconcilable Ideas?, in: Matwyshyn, Andrea M. (Hrsg.), Harboring Data: Information Security, Law and the Corporation, Stanford 2009, S. 202 – 227 (zit.: Edwards/Brown, in: Matwyshyn, Harboring Data).
366
Literaturverzeichnis
Edwards, Lilian: Privacy, law, code and social networking sites, in: Brown, Ian (Hrsg.), Research Handbook on Governance of the Internet, Cheltenham 2013, S. 309 – 352, (zit.: Edwards, in: Brown, Governance of the Internet). Ehlers, Dirk: Europäische Grundrechte und Grundfreiheiten, 4. Aufl., Berlin/Boston 2014 (zit.: Ehlers-Bearbeiter). Eifert, Martin: Informationelle Selbstbestimmung im Internet – Das BVerfG und die Online-Durchsuchungen, NVwZ 2008, 521 – 523. Erd, Rainer: Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19 – 22. Erd, Rainer: Soziale Netzwerke und Datenschutz – Am Beispiel Facebook, in: Taeger, Jürgen (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, Edewecht 2010, S. 253 – 266. Ernst, Stefan: Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917 – 1919. Eßer, Martin/Kramer, Philipp/Lewinski, Kai von (Hrsg.): Auernhammer BDSG-Kommentar, 4. Aufl., Köln 2014, (zit.: Eßer/Kramer/v. Lewinski-Bearbeiter). Ester, Martin/Sander, Jörg: Knowledge Discovery in Databases, Heidelberg 2000 (zit.: Ester/Sander, Knowledge Discovery). Fang, Yan: The Death of the Privacy Policy?: Effective Privacy Disclosures After in Re Sears, 25 Berkeley Tech. L.J. 671 – 700 (2010). Fetzer, Thomas: Recht sicher? Persönlichkeitsschutz im Netz, in: Sokol, Bettina (Hrsg.), Persönlichkeit im Netz: Sicherheit – Kontrolle – Transparenz, Düsseldorf 2008, S. 48 – 61 (zit.: Fetzer, in: Sokol, Persönlichkeit). Filip, Alexander: Binding Corporate Rules (BCR) aus der Sicht einer Datenschutzaufsichtsbehörde – Praxiserfahrungen mit der europaweiten Anerkennung von BCR, ZD 2013, 51 – 60. Fischermann, Thomas/Hamann, Götz: Zeitbombe Internet – Warum unsere vernetzte Welt immer störanfälliger und gefährlicher wird, Gütersloh 2011 (zit.: Fischermann/Hamann, Zeitbombe Internet). Forschepoth, Markus: Datenschutz bei Facebook – Wie Nutzer ihre Daten am besten schützen können, 2. Aufl., Norderstedt 2013 (zit.: Forschepoth, Datenschutz bei Facebook). Foucault, Michel: Überwachen und Strafen – Die Geburt des Gefängnisses, Frankfurt a.M. 1994 (zit.: Foucault, Überwachen und Strafen). Freedman, Elie: An Era of Rapid Change: The Abdiction of Cash & The FTC’s Unfairness Authority, 14 U. Pitt. J. Tech. L. & Pol’y 351 – 381 (2014). Frenz, Walter: Handbuch Europarecht – Band 4 Europäische Grundrechte, Berlin/Heidelberg 2009 (zit.: Frenz, Hdb. Europarecht). Fröhle, Jens: Web Advertising, Nutzerprofile und Teledienstedatenschutz, München 2003 (zit.: Fröhle, Web Advertising). Froomkin, Michael A.: The Death of Privacy?, 52 Stan. L. Rev. 1461 – 1543 (2000). Fuchs, Christian: Facebook, Web 2.0 und ökonomische Überwachung, DuD 2010, 453 – 462. Fuchs-Heinritz, Werner/Klimke, Daniela/Lautmann, Rüdiger/Rammstedt, Otthein/Stäheli, Urs/Weischer, Christoph/Wienold, Hanns (Hrsg.): Lexikon zur Soziologie, 5. Aufl., Wiesbaden 2011 (zit.: Fuchs-Heinritz et al., Lexikon zur Soziologie). Gärditz, Klaus F./Stuckenberg, Carl-Friedrich: Vorratsdatenspeicherung à l’américaine – Zur Verfassungsmäßigkeit der Sammlung von Telefonverbindungsdaten durch die NSA, JZ 2014, 209 – 219.
Literaturverzeichnis
367
Gennen, Klaus/Kremer, Sascha: Datenschutzrelevante Funktionalitäten und deren Vereinbarkeit mit dem deutschen Recht, ITRB 2011, 59 – 63. Genz, Alexander: Datenschutz in Europa und den USA: Eine rechtsvergleichende Untersuchung unter besonderer Berücksichtigung der Safe-Harbor-Lösung, Wiesbaden 2004 (zit.: Genz, Datenschutz). Gierschmann, Sibylle/Saeugling, Markus (Hrsg.): Systematischer Praxiskommentar Datenschutzrecht – Datenschutz aus Unternehmenssicht, Köln 2014 (zit.: Gierschmann/Saeugling-Bearbeiter). Gimmler, Roland: Medienkompetenz und Datenschutzkompetenz in der Schule, DuD 2012, 110 – 116. Gindin, Susan E.: Lost and Found in Cyberspace: Informational Privacy in the Age of the Internet, 34 SDLR 1153 – 1223 (1997). Gindin, Susan E.: Nobody Reads Your Privacy Policy or Online Contract? Lessons Learned and Questions Raised by the FTC’s Action Against Sears, 8 Nw. J. Tech. & Intell. Prop. 1 – 72 (2009). Götting, Horst-Peter/Schertz, Christian/Seitz, Walter: Handbuch des Persönlichkeitsrechts, München 2008 (zit.: Götting/Schertz/Seitz-Bearbeiter). Gola, Peter/Schomerus, Rudolf: BDSG, 12. Aufl., München 2015. Gounalakis, Georgios/Rhode, Lars: Persönlichkeitsschutz im Internet: Grundlagen und Online-Spezifika, München 2002 (zit.: Gounalakis/Rhode, Persönlichkeitsschutz). Grabenwarter, Christoph: Europäischer Grundrechtsschutz, Baden-Baden 2014 (zit.: Grabenwarter-Bearbeiter). Gray, David/Citron, Danielle: The Right to Quantitative Privacy, 98 Minn. L. Rev. 62 – 144 (2013). Greenleaf, Graham: Data protection in a Globalized Network, in: Brown, Ian (Hrsg.), Research Handbook on Governance of the Internet, Cheltenham 2013, S. 221 – 254 (zit.: Greenleaf, in: Brown, Governance). Grimm, Rüdiger/Roßnagel, Alexander: Datenschutz für das Internet in den USA, DuD 2000, 446 – 453. Grimm, Rüdiger: Spuren im Netz, DuD 2012, 88 – 91. Grimmelmann, James: Saving Facebook, 94 Iowa L. Rev. 1137 – 1206 (2009). Groh, Dennis: Ban Spam – Der Schutz vor unerwünschten E-Mails im Rechtsvergleich zwischen Deutschland und Australien, Berlin 2015 (zit.: Groh, Ban Spam). Groom, Rachel V.: In re Pharmatrak & Theofel v. Farey-Jones: Recent Applications of the Electronic Communications Privacy Act, 19 Berkeley Tech. L.J. 455 – 467 (2004). Gurlit, Elke: Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, NJW 2010, 1035 – 1041. Gutwirth, Serge/Hert, Paul de: Regulating Profiling in a Democratic Constitutional State, in: Hildebrandt, Mireille/Gutwirth, Serge (Hrsg.): Profiling the European Citizen – Cross-Disciplinary Perspectives, Rotterdam/Brüssel 2008, S. 271 – 302 (zit.: Gutwirth/de Hert, in: Hildebrandt/Gutwirth, Profiling). Hailbronner, Kay: Ausländerrecht und Verfassung, NJW 1983, 2105 – 2113. Hain, Karl-Eberhard: Konkretisierung der Menschenwürde durch Abwägung?, Der Staat 2006, 189 – 214. Hanloser, Stefan: „opt-in“ im Datenschutzrecht und Wettbewerbsrecht – Konvergenzüberlegungen zum Einwilligungsbegriff bei der E-Mail-Werbung, CR 2008, 713 – 718.
368
Literaturverzeichnis
Hans, Gautam S.: Privacy Policies, Terms of Service, and FTC Enforcement: Broadening Unfairness Regulation for a New Era, 19 Mich. Telecomm. & Tech. L. Rev. 163 – 200 (2012). Harper, Jim: Privacy and Data Protection in the United States, in: AICGS (Hrsg.), 22 AICGS Policy Report – A Reasonable Expectation of Privacy? Data Protection in the United States and Germany, Washington D.C. 2006, S. 29 – 50 (zit.: Harper, in: AICGS Policy Report). Härting, Niko: Internetrecht, 5. Aufl., Köln 2014. Härting, Niko/Schätzle, Daniel: Rechtsverletzungen in Social Networks, ITRB 2010, 39 – 42. Härting, Niko: Datenschutz zwischen Transparenz und Einwilligung – Datenschutzbestimmungen bei Facebook, Apple und Google, CR 2011, 169 – 175. Härting, Niko: Fanpages auf Facebook – Datenschutzrechtliche Einordnung unter Berücksichtigung des ULD-Arbeitspapiers v. 19. 08. 2011, ITRB 2012, 109 – 111. Härting, Niko: Profiling: Vorschläge für eine intelligente Regulierung – Was aus der Zweistufigkeit des Profiling für die Regelung des nicht-öffentlichen Datenschutzbereichs folgt, CR 2014, 528 – 536. Häusler, Sascha: Soziale Netzwerke im Internet – Entwicklung, Formen und Potenziale kommerzieller Nutzung, Saarbrücken 2007 (zit.: Häusler, Soziale Netzwerke). Heckmann, Dirk: Vertrauen in virtuellen Räumen?, K&R 2010, 1 – 7. Heckmann, Dirk: juris PraxisKommentar Internetrecht – Telemediengesetz, E-Commerce, E-Government, 4. Aufl., Saarbrücken 2014 (zit.: Heckmann, juris PK). Helbing, Thomas: Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung, K&R 2015, 145 – 150. Heller, Christan: Post-Privacy – Prima leben ohne Privatsphäre, München 2011 (zit.: Heller, Post-Privacy). Hert, Paul de/Papakonstantinou, Vagelis: Three Scenarios for International Governance of Data Privacy: Toward an International Data Privacy Organization, Preferably a UN Agengy?, 9 ISJLP 271 – 324 (2013). Hildebrandt, Mireille: Profiling: From Data to Knowledge – The challenges of a crucial technology, DuD 2006, 548 – 552. Hildebrandt, Mireille: Who is Profiling Who? Invisible Visibility, in: Gutwirth, Serge/Poullet, Yves/Hert, Paul de/Terwangne, Cécile de /Nouwt, Sjaak (Hrsg.): Reinventing Data Protection?, Dordrecht 2009, S. 239 – 252 (zit.: Hildebrandt, in: Gutwirth et al., Reinventing). Himmels, Sabine: Behavioural Targeting im Internet: Datenschutz durch lauterkeitsrechtlich gestützte Selbstregulierung?, Frankfurt/M. 2013 (zit.: Himmels, Behavioural Targeting). Hinden, Michael von: Persönlichkeitsverletzungen im Internet – Das anwendbare Recht, Tübingen 1999 (zit.: v. Hinden, Persönlichkeitsrechtsverletzungen im Internet). Hirsch, Burkhard: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – Zugleich Anmerkung zu BVerfG, NJW 2008, 822, NJOZ 2008, 1907 – 1915. Hirsch, Dennis D.: Going Dutch? Collaborative Dutch Privacy Regulation and the Lessons it Holds for U.S. Privacy Law, 2013 Mich. St. L. Rev. 83 – 162 (2013). Hirsch, Dennis D.: In Search of the Holy Grail: Achieving Global Privacy Rules Through Sector-Based Codes of Conduct, 74 Ohio St. L.J. 1029 – 1066 (2013). Hladjk, Jörg: Online-Profiling und Datenschutz – Eine Untersuchung am Beispiel der Automobilindustrie, Baden-Baden 2007 (zit.: Hladjk, Online-Profiling).
Literaturverzeichnis
369
Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.): Handbuch Multimedia-Recht: Rechtsfragen des elektronischen Geschäftsverkehrs, 42. EL, München Juni 2015 (zit.: Hoeren/Sieber/Holznagel-Bearbeiter). Hoeren, Thomas: Google Analytics – datenschutzrechtlich unbedenklich? – Verwendbarkeit von Webtracking-Tools nach BDSG und TMG, ZD 2011, 3 – 6. Hoffmann-Riem, Wolfgang: Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme, JZ 2008, 1009 – 1022. Holland, Brian H.: Privacy Paradox 2.0, 19 Widener L.J. 893 – 932 (2010). Hoofnagle, Chris J./Urban, Jennifer M.: Alan Westin’s Privacy Homo Economicus, 49 Wake Forest L. Rev. 261 – 317 (2014). Hoofnagle, Chris J./King, Jennifer/Li, Su/Turow, Joseph: How Different Are Young Adults From Older Adults When it Comes to Information Privacy Attitudes and Policies?, 14. 04. 2010, abrufbar unter http://ssrn.com/abstract=1589864 (zit.: Hoofnagle et al., Young Adults). Hornung, Gerrit/Müller-Terpitz, Ralf: Rechtshandbuch Social Media, Berlin/Heidelberg 2015, S. 79 – 130 (zit.: Hornung/Müller-Terpitz-Bearbeiter, Social Media). Hotaling, Andrew: Protecting Personally Identifiable Information on the Internet: Notice and Consent in the Age of Behavioral Targeting, 16 CommLaw Conspectus 529 – 565 (2008). Huber, Peter M.: Auslegung und Anwendung der Charta der Grundrechte, NJW 2011, 2385 – 2390. Hubmann, Heinrich: Das Persönlichkeitsrecht, 2. Aufl., Köln 1967. Hufen, Friedhelm: Erosion der Menschenwürde, JZ 2004, 313 – 318. Iraschko-Luscher, Stephanie: Einwilligung – ein stumpfes Schwert des Datenschutzes?, DuD 2006, 706 – 710. Jacobus, John L./Watson, Benjamin B.: Clapper v. Amnesty International and Data Privacy Litigation: Is a Change to the Law „certainly impending“?, 21 Rich. J.L. & Tech. 3 – 106 (2014). Jandt, Silke/Laue, Philip: Voraussetzungen und Grenzen der Profilbildung bei Location Based Services, K&R 2006, 316 – 322. Jandt, Silke: Vertrauen im Mobile Commerce – Vorschläge für die rechtsverträgliche Gestaltung von Location Based Services, Baden-Baden 2008 (zit.: Jandt, Vertrauen). Jandt, Silke/Roßnagel, Alexander: Social Networks für Kinder und Jugendliche – Besteht ein ausreichender Datenschutz?, MMR 2011, 637 – 642. Jandt, Silke/Roßnagel, Alexander: Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung, ZD 2011, 160 – 166. Jarass, Hans D./Pieroth, Bodo: Grundgesetz für die Bundesrepublik Deutschland, Kommentar, 13. Aufl., München 2014 (zit.: Jarass/Pieroth-Bearbeiter). Jarvis, Jeff: Public Parts – How Sharing in the Digital Age Improves the Way We Work and Live, New York 2011 (zit.: Jarvis, Public Parts). Jay, Rosemary: Data Protection Law and Practice, 4. Aufl., London 2012 (zit.: Jay, Data Protection). John, Leslie K./Acquisti, Alessandro/Loewenstein, George: The Best of Strangers: Context Dependent Willingness to Divulge Personal Information, 2009, S. 1 – 44, abrufbar unter: http://ssrn.com/abstract=1430482 (zit.: John/Acquisti/Loewenstein, The Best of Strangers). Jotzo, Florian: Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232 – 237.
370
Literaturverzeichnis
Julin, Thomas R.: Sorrell v. IMS Health May Doom Federal Do Not Track Acts, 10 BNA Priv. & Sec. L. Rep. 1 – 7 (2011), abrufbar unter: https://www.hunton.com/files/Publication/ 86a85a32-bb2d-4176-8683-7e985093cb2f/Presentation/PublicationAttachment/ be10be7a-b942-494d-8463-865e505fd7f6/Julin_BNA_Federal_Do_Not_Track_Acts.pdf. Kahneman, Daniel: Maps of Bounded Rationality: Psychology for Behavioral Economics, 93AER 1449 – 1475 (2003). Kamp, Johannes: Personenbewertungsportale – Eine datenschutzrechtliche und äußerungsrechtliche Untersuchung unter besonderer Berücksichtigung des Lehrerbewertungsportals spickmich.de, München 2011 (zit.: Kamp, Personenbewertungsportale). Kang, Jerry: Information Privacy in Cyberspace Transactions, 50 Stan. L. Rev., 1193 – 1294 (1998). Kang, Jerry/Buchner, Benedikt: Privacy in Atlantis, 18 Harv. J.L. & Tech. 229 – 267 (2004). Karas, Stan: Privacy, Identity, Databases, 52 Am. U. L. Rev. 393 – 445 (2002). Karg, Moritz/Fahl, Constantin: Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken, K&R 2011, 453 – 458. Karg, Moritz/Thomsen, Sven: Einsatz von Piwik bei der Reichweitenanalyse – Ein Vorschlag des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), DuD 2011, 489 – 492. Karg, Moritz/Thomsen, Sven: Tracking und Analyse durch Facebook – Das Ende der Unschuld, DuD 2012, 729 – 736. Karg, Moritz: Anmerkung zu VG Schleswig-Holstein v. 14. Februar 2013, Az.: 8 B 60/12, ZD 2013, 247 – 248. Karg, Moritz: Anwendbares Datenschutzrecht bei Internet-Diensteanbietern – TMG und BDSG vs. Konzernstruktur?, ZD 2013, 371 – 375. Karg, Moritz/Kühn, Ulrich: Datenschutzrechtlicher Rahmen für „Device Fingerprinting“ – Das klammheimliche Ende der Anonymität im Internet?, ZD 2014, 285 – 290. Karyda, Maria/Kokolakis, Spyros: Privacy Perceptions among Members of Online Communities, in: Acquisti, Alessandro/Gritzalis, Stefanos/Lambrinoudakis, Costas/De Capitani di Vimercati, Sabrina (Hrsg.): Digital Privacy, New York 2008, S. 253 – 266, (zit.: Karyda/Kokolakis, in: Acquisti et al., Digital Privacy). Keck, Metthew C.: Cookies, the Constitution, and the Common Law: A Framework for the Right Of Privacy on the Internet, 13 Alb. L.J. Sci. & Tech. 83 – 121 (2002). Kelso, J. Clark: California’s Constitutional Right to Privacy, 19 Pepp. L. Rev. 327 – 484 (1992). Kerr, Orin S.: Computer Crime Law, 3. Aufl., St. Paul 2012 (zit.: Kerr, Computer Crime). Kerr, Orin S.: Mosaic Theory of the Fourth Amendment, 111 Mich.L.Rev. 311 – 354 (2012). Keupp, Heiner: Soziale Netzwerke – Eine Metapher des gesellschaftlichen Umbruchs?, in: Keupp, Heiner/Röhrle, Bernd, Soziale Netzwerke, Frankfurt/M. 1987, S. 11 – 53 (zit.: Keupp, in: Keupp/Röhrle, Soziale Netzwerke). Kinast, Karsten/Schröder, Markus: Audit & Rating: Vorsprung durch Selbstregulierung – Datenschutz als Chance für den Wettbewerb, ZD 2012, 207 – 210. Kingreen, Thorsten: Die Grundrechte des Grundgesetzes im europäischen Grundrechtsföderalismus, JZ 2013, 801 – 811. Kipker, Dennis-Kenji/Voskamp, Friederike: Datenschutz in sozialen Netzwerken nach der Datenschutzgrundverordnung, DuD 2012, 737 – 742. Kirchberg-Lennartz, Barbara/Weber, Jürgen: Ist die IP-Adresse ein personenbezogenes Datum?, DuD 2010, 479 – 481.
Literaturverzeichnis
371
Kirkpatrick, David: Der Facebook-Effekt: Hinter den Kulissen des Internet-Giganten, München 2011 (zit.: Kirkpatrick, Der Facebook-Effekt). Klüber, Rüdiger: Persönlichkeitsschutz und Kommerzialisierung: die juristisch-ökonomischen Grundlagen des Schutzes der vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts, Tübingen 2007 (zit.: Klüber, Persönlichkeitsschutz). Koch, Frank A.: Grundlagen des Persönlichkeitsrechts im Internet: Problemlage, Grundlagen des Persönlichkeitsrechts und allgemeine Gefährdungen im Internet, ITRB 2011, 128 – 133. Koch, Frank A.: Internet-Recht, 2. Aufl., München 2005. Koukiadis, Dimitrios: Reconstituting Internet Normativity – The role of State, private actors, global online community in the production of legal norms, Baden-Baden 2015 (zit.: Koukiadis, Internet Normativity). Kranig, Thomas/Peintinger, Stefan: Selbstregulierung im Datenschutz – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DS-GVO, ZD 2014, 3 – 9. Kremer, Sascha: Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle, RDV 2014, 73 – 83. Krüger, Stefan/Maucher, Svenja-Ariane: Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433 – 439. Kühling, Jürgen/Seidel, Christian/Sivridis, Anastassios: Datenschutzrecht, 2. Aufl. Frankfurt/M. 2011. Kühling, Jürgen: Auf dem Weg zum vollharmonisierten Datenschutz!?, EuZW 2012, 281 – 283. Kühling, Jürgen: Der Fall der Vorratsdatenspeicherungsrichtlinie und der Aufstieg des EuGH zum Grundrechtsgericht, NVwZ 2014, 681 – 685. Kühling, Jürgen: Die Europäisierung des Datenschutzrechts – Gefährdung deutscher Grundrechtsstandards?, München 2014 (zit.: Kühling, Europäisierung). Kutscha, Martin: Neue Chancen für die digitale Privatsphäre, in: Roggan, Fredrik (Hrsg.), Online Durchsuchung, Berlin 2008, S. 157 – 171 (zit.: Kutscha, in: Roggan, Online Durchsuchung). Lange, Knut W.: Neue Marketingstrategien im Internet – ökonomische und rechtliche Analyse, BB 2002, 561 – 569. Lappas, Georgios: Social Multimedia Mining: Trends and Opportunities in Areas of Social and Communication Studies, in: Ting, I-Hsien/Hong, Tzung-Pei/Wang, Leon S. (Hrsg.), Social Network Mining, Analysis, and Research Trends – Techniques and Applications, Hershey 2012, S. 1 – 16 (zit.: Lappas, in: Ting/Hong/Wang, Mining). Lee, Newton: Facebook Nation – Total Information Awareness, 2. Aufl., New York 2014 (zit.: Lee, Facebook Nation). Lepsius, Oliver: Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan, Fredrik (Hrsg.), Online Durchsuchung – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 21 – 56 (zit.: Lepsius, in: Roggan, Online-Durchsuchung). Lerch, Hana/Krause, Beate/Hotho, Andreas/Roßnagel, Alexander/Stumme, Gerd: Social Bookmarking-Systeme – die unerkannten Datensammler, MMR 2010, 454 – 458. Lewinski, Kai von: Privacy Policies: Unterrichtungen und Einwilligung im Internet, DuD 2002, 395 – 400. Lewinski, Kai von: Persönlichkeitsprofile und Datenschutz beim CRM, RDV 2003, 122 – 132. Lewinski, Kai von: Zur Geschichte der Privatsphäre und Datenschutz, in: Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.), Datenschutz – Grundlagen, Entwicklungen und Kontroversen, Bonn 2012, S. 23 – 32 (zit.: v. Lewinski, in: Schmidt/Weichert, Datenschutz).
372
Literaturverzeichnis
Lin, Elbert: Prioritizing Privacy: A Constitutional Response to the Internet, 17 Berkeley Tech. L.J. 1085 – 1154 (2002). Litman, Jessica: Information Privacy/Information Property, 52 Stan. L. Rev. 1283 – 1313 (2000). Livingston, Jared S.: Invasion Contracts: The Privacy Implications of Terms of Use Agreements in the Online Social Media Setting, 21 Alb. L.J. Sci. & Tech. 591 – 636 (2011). Luch, Anika: Das neue „IT-Grundrecht“ – Grundbedingung einer „Online-Handlungsfreiheit“, MMR 2011, 75 – 79. Lupu, Yonatan: The Wiretap Act and Web Monitoring: A Breakthrough for Privacy Rights?, 9 Va. J.L. & Tech 1 – 37 (2004). MacLean, Charles E.: Katz on a Hot Tin Roof: The Reasonable Expectation of Privacy Doctrine is Rudderless in the Digital Age, unless Congress Continually Resets the Privacy Bar, 24 Alb. L.J. Sci. & Tech. 47 – 80 (2014). MacCarthy, Marc: New Directions in Privacy: Disclosure, Unfairness and Externalities, 6 ISJLP 425 – 512 (2011). Maisch, Michael M.: Nutzertracking im Internet – Personenbezug von IP-Adresse, Cookie und Browser-Fingerprint, ITRB 2011, 13 – 17. Maisch, Michael M.: Informationelle Selbstbestimmung in Netzwerken – Rechtsrahmen, Gefährdungslage und Schutzkonzepte am Beispiel von Cloud Computing und Facebook, Berlin 2015 (zit.: Maisch, Informationelle Selbstbestimmung). Marsden, Christopher T.: Internet Co-Regulation – European Law, Regulatory Governance and Legitimacy in Cyberspace, Cambridge 2011 (zit.: Marsden, Internet Co-Regulation). Marcinkowski, Bartosz M.: Privacy Paradox(es): In Search of a Transatlantic Data Protection Standard, 74 Ohio St. L.J. 1167 – 1193 (2013). Masing, Johannes: Herausforderungen des Datenschutzes, NJW 2012, 2305 – 2311. Masing, Johannes: Einheit und Vielfalt des Europäischen Grundrechtsschutzes, JZ 2015, 477 – 487. Mathews, Kristen J.: Proskauer on Privacy – A guide to Privacy and Information Law in the Information Age, 11. Aufl., New York Mai 2014 (zit.: Mathews-Bearbeiter). Maunz, Theodor/Dürig, Günter: Grundgesetz Kommentar, Band I, 74. EL, München Mai 2015 (zit.: Maunz/Dürig-Bearbeiter). Maxwell, Kelsey: Online Behavioral Advertising: The Pros and Cons of Regulation and Suggestions for Adherence to Californias’s Constitutional Right to Privacy, 19 Nexus: Chap. J. L. & Pol’y 51 – 76 (2014). Mayer-Schönberger, Viktor/Cukier, Kenneth: Big Data – A Revolution That Will Transform How We Live, Work, and Think, New York 2013 (zit.: Mayer-Schönberger/Cukier, Big Data). McClurg, Andrew J.: A Thousand Words are Worth a Picture: A Privacy Tort Response to Consumer Data Profiling, 98 Nw. U. L. Rev. 63 – 143 (2003). McDonald, Aleecia M./Cranor, Lorrie F.: The Cost of Reading Privacy Policies, 4 ISJLP 540 – 568 (2008). McDonald, Aleecia M./Cranor, Lorrie F.: Beliefs and Behaviors – Internet Users’ Understanding of Behavioral Advertising, August 2010, S. 1 – 31, abrufbar unter: http://aleecia.com/ authors-drafts/tprc-behav-AV.pdf (zit.: McDonald/Cranor, Beliefs and Behaviors). Menzel, Hans-Joachim: Datenschutzrechtliche Einwilligung – Plädoyer für eine Rückkehr zur Selbstbestimmung, DuD 2008, 400 – 408. Merati-Kashani, Jasmin: Der Datenschutz im E-Commerce – Die rechtliche Bewertung der Erstellung von Nutzerprofilen durch Cookies, München 2005 (zit.: Merati-Kashani, Datenschutz).
Literaturverzeichnis
373
Meshi, Dar/Morawetz, Carmen/Heekeren Hauke R.: Nucleus accumbens response to gains in reputation for the self relative to gains for others predicts social media use, Front. Hum. Neurosci. 29. 08. 2013, abrufbar unter: http://journal.frontiersin.org/article/10.3389/ fnhum.2013.00439/full. Meyer, Jürgen: Charta der Grundrechte der Europäischen Union, 4. Aufl., Baden-Baden 2014 (zit.: Meyer-Bearbeiter). Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8 – 13. Milina, Svetlana: Let the Market Do Its Job: Advocating an Integrated Laissez-Faire Approach to Online Profiling Regulation, 21 Cardozo Arts & Ent. L.J. 257 – 286 (2003). Mills, Jon L.: Privacy – The Lost Right, New York 2008 (zit.: Mills, Privacy). Mitchell, James C.: The Concept and Use of Social Networks, in: Mitchell, James C. (Hrsg.): Social Networks in Urban Situations, Manchester 1969, S. 1 – 50 (zit.: Mitchell, in: Mitchell, Social Networks). Moerel, Lokke: Back to basics: when does EU data protection law apply?, 1 IDPL 92 – 110 (2011). Moos, Flemming: Die Entwicklung des Datenschutzrechts im Jahr 2011, K&R 2012, 151 – 159. Mörl, Christoph/Groß, Mathias: Soziale Netzwerke im Internet – Analyse der Monetarisierungsmöglichkeiten und Entwicklung eines intetegrierten Geschäftsmodells, Boizenburg 2008 (zit.: Mörl/Groß, Soziale Netzwerke). Moser-Knierim, Antonie: „Facebook-Login“ – datenschutzkonformer Einsatz möglich? – Einsatz von Social Plugins bei Authentifizierungsdiensten, ZD 2013, 263 – 266. Moser-Knierim, Antonie: Vorratsdatenspeicherung – Zwischen Überwachungsstaat und Terrorabwehr, Wiesbaden 2014 (zit.: Moser-Knierim, Vorratsdatenspeicherung). Mulligan, Deidre K.: It’s not Privacy and it’s not fair, 66 Stan. L. Rev. Online 35 – 40 (2013). Nehf, James P.: Open Book, Indianapolis 2012. Newell, Bryce C.: Rethinking Reasonable Expectations on Privacy in Online Social Networks, 17 Rich. J.L. & Tech. 12 – 59 (2011). Niemann, Fabian/Scholz, Philip: Privacy by Design und Privacy by Default – Wege zu einem funktionierenden Datenschutz in Sozialen Netzwerken, in: Peters, Falk/Kersten, Heinrich/Wolfenstetter, Klaus-Dieter (Hrsg.), Innovativer Datenschutz, Berlin 2012, S. 109 – 141 (zit.: Niemann/Scholz, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz). Nissenbaum, Helen: Privacy in Context – Technology, Policy and the Integrity of Social Life, Stanford 2010 (zit.: Nissenbaum, Privacy in Context). Örücü, Esin: Developing Comparative Law, in: Örücü/Nelken, Comparative Law – A Handbook, Portland 2007, S. 43 – 65 (zit.: Örücü, in: Örücü/Nelken, Comparative Law). Ohm, Paul: Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA L. Rev. 1701 – 1777 (2010). Ohm, Paul: The Fourth Amendment in a World Without Privacy, 81 Miss. L.J. 1309 – 1355 (2012). Ott, Stephan: Datenschutzrechtliche Zulässigkeit von Webtracking?, K&R 2009, 308 – 313. Ott, Stephan: Das Internet vergisst nicht – Rechtsschutz für Suchobjekte, MMR 2009, 158 – 163. Ottensmann, Sandra: Werbewirkung von Facebook-Anzeigen – Empirische Studie, Aachen 2013 (zit.: Ottensmann, Werbewirkung). Palandt, Otto: Bürgerliches Gesetzbuch, 74. Aufl., München 2015 (zit.: Palandt-Bearbeiter). Papier, Hans-Jürgen: Verfassungsrechtliche Grundlegung des Datenschutzes, in: Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.), Datenschutz – Grundlagen, Entwicklungen und Kontroversen, S. 67 – 77 (zit.: Papier, in: Schmidt/Weichert, Datenschutz).
374
Literaturverzeichnis
Pabarcus, Adam: Are „Private“ Spaces On Social Networking Websites Truly Private? The Extension of Intrusion Upon Seclusion, 38 Wm. Mitchell L. Rev. 397 – 432 (2011). Pauly, Daniela A./Ritzer, Christoph/Geppert, Nadine: Gilt europäisches Datenschutzrecht auch für Niederlassungen ohne Datenverarbeitung? – Weitreichende Folgen für internationale Konzerne, ZD 2013, 423 – 426. Peifer, Karl-Nikolaus: Verhaltensorientierte Nutzeransprache – Tod durch Datenschutz oder Moderation durch das Recht?, K&R 2011, 543 – 547. Peifer, Karl-Nikolaus: Persönlichkeitsschutz und Internet – Anforderungen und Grenzen einer Regulierung, JZ 2012, 851 – 859. Peltz-Steele, Richard J.: The Pond Betwixt: Differneces in the US-EU Data Protection/Safe Harbor Negotiation, 19 J. Internet L. 1 – 27 (2015). Petterson, John S.: A Brief Evaluation of Icons in the First Reading of the European Parliament on COM (2012) 001, in: Camenisch, Jan/Fischer-Hübner, Simone/Hansen, Marit (Hrsg.), Privacy and Identity Management for the Future Internet in the Age of Globalisation, Heidelberg 2015, S. 125 – 135 (zit.: Petterson, in: Camenisch/Fischer-Hübner/Hansen, Privacy and Identity Management). Picker, Randal C.: Unjustified by Design: Unfairness and the FTC’s Regulation of Privacy and Data Security, S. 1 – 47 (2013), abrufbar unter: http://www.masonlec.org/site/rte_ uploads/files/PickerGMUDraft.pdf (zit.: Picker, Unjustified by Design). Piltz, Carlo: Der Like-Button von Facebook – Aus datenschutzrechtlicher Sicht: „gefällt mir nicht“, CR 2011, 657 – 664. Piltz, Carlo: Anmerkungen zu LG Berlin Urteil vom 06. 03. 2012, CR 2012, 274 – 275. Piltz, Carlo: Rechtswahlfreiheit im Datenschutzrecht? – „Diese Erklärung unterliegt deutschem Recht“, K&R 2012, 640 – 645. Piltz, Carlo: Soziale Netzwerke im Internet – Eine Gefahr für das Persönlichkeitsrecht?, Frankfurt/M. 2013 (zit.: Piltz, Soziale Netzwerke). Piltz, Carlo: Kommentar zu Schleswig-Holsteinischem VG, Sperrung von Nutzerkonten, K&R 2013, 283 – 284. Piltz, Carlo: Der räumliche Anwendungsbereich europäischen Datenschutzrechts – Nach geltendem und zukünftigem Recht, K&R 2013, 292 – 297. Placzek, Thomas: Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, Hamburg 2006 (zit.: Placzek, Allgemeines Persönlichkeitsrecht). Plath, Kai-Uwe: BDSG: Kommentar zum BDSG sowie den Datenschutzbestimmungen von TMG und TKG, Köln 2013 (zit.: Plath-Bearbeiter). Podlech, Adalbert/Pfeifer, Michael: Die informationelle Selbstbestimmung im Spannungsverhältnis zu modernen Werbestrategien, RDV 1998, 139 – 154. Polenz, Sven: Die Datenverarbeitung durch und via Facebook auf dem Prüfstand, VuR 2012, 207 – 213. Preibusch, Sören: Datenschutz-Wettbewerb unter Social Networks Sites, in: Neumann-Braun, Klaus/Autenrieth, Ulla P. (Hrsg.), Freundschaft und Gemeinschaft im Social Web – Bildbezogenes Handeln und Peergroup-Kommunikation auf Facebook & Co., Baden-Baden 2011, S. 269 – 284 (zit.: Preibusch, in: Neumann-Braun/Autenrieth, Social Web). Purtova, Nardezhda: Property Rights in Personal Data – A European Perspective, Alphen aan den Rijn 2012 (zit.: Purtova, Property Rights). Rammos, Thanos: Datenschutzrechtliche Aspekte verschiedener Arten „verhaltsbezogener“ Onlinewerbung, K&R 2011, 692 – 698.
Literaturverzeichnis
375
Rasmussen, Heike: Datenschutz im Internet – Gesetzgeberische Maßnahmen zur Verhinderung der Erstellung ungewollter Nutzerprofile im Web – Zur Neufassung des TDDSG, CR 2002, 36 – 45. Reding, Viviane: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, 195 – 198. Reinhold, Gerd/Lamnek, Siegfried/Recker, Helga: Soziologie-Lexikon, 3. Aufl., München 1997. Richards, Neil M./King, Jonathan K.: Three Paradoxes of Big Data, 66 Stan. L. Rev. Online 41 – 45 (2013). Richards, Neil M.: The Limits of Tort Privacy, 9 JTHTL, 356 – 384 (2011). Richards, Neil M.: Why Data Privacy Law is (mostly) Constitutional, 56 Wm. & Mary L. Rev. 1501 – 1533 (2015). Richter, Alexander/Koch, Michael: Funktionen von Social-Networking-Diensten, in: Bichler, Martin/Hess, Thomas/Kremar, Helmut/Lechner, Ulrike/Matthes, Florian/Picot, Arnold/Speitkamp, Benjamin/Wolf, Petra (Hrsg.), Procedings Multikonferenz Wirtschaftsinformatik 2008, Teilkonferenz Kooperationssysteme, Berlin 2008, S. 1239 – 1250, abrufbar unter: http://www.kooperationssysteme.de/docs/pubs/ RichterKoch2008-mkwi-sns.pdf (zit.: Richter/Koch, in: Bichler et al., Wirtschaftsinformatik). Rogosch, Patricia/Hohl, Erik: Data Protection and Facebook – An Empirical Analysis of the Role of Consent in Social Networks, Berlin 2012 (zit.: Rogosch/Hohl, Data Protection). Rogosch, Patricia M.: Die Einwilligung im Datenschutzrecht, Baden-Baden 2013 (zit.: Rogosch, Einwilligung). Roosendaal, Arnold: We are all connected to Facebook… by Facebook, in: Gutwirth, Serge/Leenes, Ronald/Hert, Paul de/Poullet, Yves, European Data Protection: In Good Health?, Dordrecht/Heidelberg/Lodon/New York 2012, S. 3 – 19 (zit.: Roosendaal, in: Guthwirth et al., Good Health). Roosendaal, Arnold: Digital Personae and Profiles in Law – Protecting Individuals’ Rights in Online Contexts, Oisterwijk 2013 (zit.: Roosendaal, Digital Personae). Roßnagel, Alexander: Handbuch Datenschutzrecht – Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003 (zit.: Roßnagel-Bearbeiter, Hdb. Datenschutzrecht). Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen: Modernisierung des Datenschutzrechts – Gutachten im Auftrag des Bundesministeriums des Innern, Berlin 2001 (zit.: Roßnagel/Pfitzmann/Garstka, Modernisierung). Roßnagel, Alexander: Big Data – Small Privacy? – Konzeptionelle Herausforderungen für das Datenschutzrecht, ZD 2013, 562 – 567. Roßnagel, Alexander: Beck’scher Kommentar zum Recht der Telemediendienste: Telemediengesetz, Jugendmedienschutz-Staatsvertrag (Auszug), Signaturgesetz, Signaturverordnung, Vorschriften zum elektronischen Rechts- und Geschäftsverkehr, München 2013 (zit.: Roßnagel-Bearbeiter). Roßnagel, Alexander: Neue Maßstäbe für den Datenschutz in Europa – Folgerungen aus dem EuGH-Urteil zur Vorratsdatenspeicherung, MMR 2014, 372 – 377. Rotenberg, Marc: Fair Information Practices and the Architecture of Privacy, 2001 Stan. Tech. L. Rev. 1 – 34 (2001). Rubinstein, Ira S./Lee, Ronald D./Schwartz, Paul M.: Data Mining and Internet Profiling: Emerging Regulatory and Technological Approaches, 75 U. Chi. L. Rev. 261 – 285 (2008). Rubinstein, Ira S.: Privacy and Regulatory Innovation: Moving Beyond Voluntary Codes, 6 ISJLP 355 – 423 (2011).
376
Literaturverzeichnis
Rubinstein, Ira S.: Regulating Privacy By Design, 26 Berkeley Tech. L.J. 1409 – 1456 (2011). Sachs, Michael: Grundgesetz Kommentar, 7. Aufl., München 2014 (zit.: Sachs-Bearbeiter). Sachs, Ulrich: Marketing, Datenschutz und das Internet, Köln 2008 (zit.: Sachs, Marketing). Sanchez Abril, Patricia: A (My)Space on One’s Own: On Privacy and Online Social Networks, 6 Nw. J. Tech. & Intell. Prop. 73 – 88 (2007). Sandkühler, Hans J.: Menschenwürde und Menschenrechte – Über die Verletzbarkeit und den Schutz der Menschen, München 2014 (zit.: Sandkühler, Menschenwürde). Scaife, Laura: Handbook of Social Media and the Law, New York 2015 (zit.: Scaife, Social Media). Schaar, Peter: Persönlichkeitsprofile im Internet, DuD 2001, 383 – 388. Schaar, Peter: Datenschutzrechtliche Einwilligung im Internet, MMR 2001, 644 – 648. Schaar, Peter: Datenschutz im Internet, München 2002 (zit.: Schaar, Datenschutz). Schaar, Peter: Das Ende der Privatsphäre – Der Weg in die Überwachungsgesellschaft, München 2007 (zit.: Schaar, Privatsphäre). Scheja, Gregor: Datenschutzrechtliche Zulässigkeit einer weltweiten Kundendatenbank: Eine Untersuchung unter besonderer Berücksichtigung der §§ 4b, 4c BDSG, Frankfurt/M. 2006 (zit.: Scheja, Weltweite Kundendatenbank). Schermer, Bart: Risks of Profiling and the Limits of Data Protection Law, in: Custers, Bart/Calders, Toon/Schermer, Bart/Zarsky, Tal (Hrsg.), Discrimination and Privacy in the Information Society – Data Mining and Profiling in Large Databases, Heidelberg 2013, S. 137 – 152 (zit.: Schermer, in: Custers et al., Discrimination). Schertz, Christian/Höch, Dominik: Privat war gestern – Wie Medien und Internet unsere Werte zerstören, Berlin 2011 (zit.: Schertz/Höch, Privat war gestern). Schiedermair, Stephanie: Data Protection – is there a bridge across the Atlantic?, in: Dörr, Dieter/Weaver, Russel L. (Hrsg.), The Right to Privacy in the Light of Media Convergence – Perspectives From Three Continents, Berlin/Boston 2012, S. 357 – 373 (zit.: Schiedermair, in: Dörr/Weaver, Right to Privacy). Schinasi, John: Practicing Privacy Online: Examining Data Protection Regulations Trough Google’s Expansion, 52 Colum. J. Transnat’l L. 569 – 616 (2014). Schleipfer, Stefan: Nutzungsprofile unter Pseudonym – Die datenschutzrechtlichen Bestimmungen und ihre Anwendung im Internet, RDV 2008, 143 – 150. Schleipfer, Stefan: Ist die IP-Adresse zu löschen? Eine Erörterung im Kontext von Nutzungsprofilen, RDV 2010, 168 – 175. Schleipfer, Stefan: Facebook-Like-Buttons – Technik, Risiken und Datenschutzfragen, DuD 2014, 318 – 324. Schmidt, Jan: Das neue Netz – Merkmale, Praktiken und Folgen des Web 2.0, 2. Aufl., Konstanz 2011 (zit.: Schmidt, Das neue Netz). Schmidt, Jan-Hinrik: Informationelle Selbstbestimmung im Social Web, in: Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.), Datenschutz – Grundlagen, Entwicklungen und Kontroversen, Bonn 2012, S. 215 – 225 (zit.: Schmidt, in: Schmidt/Weichert, Datenschutz). Schmidt, Rolf: Grundrechte: Sowie Grundzüge der Verfassungsbeschwerde, 12. Aufl., Grasberg bei Bremen 2010 (zit.: Schmidt, Grundrechte). Schmidt-Kessel, Martin/Germelmann, Claas C./Herden, Hannah K.: Die Regulierung des Datenschutzes und des Urheberrechts in der digitalen Welt – Eine vergleichende Untersuchung zu den USA, Großbritannien, Frankreich und Schweden, Jena 2015 (zit.: Schmidt-Kessel/Germelmann/Herden, Regulierung des Datenschutzes).
Literaturverzeichnis
377
Schmitz, Amy J.: Secret Consumer Scores and Segmentations: Separating „Haves“ From „Have-Nots“, 2014 Mich. St. L. Rev. 1411 – 1473 (2014). Schröder, Markus: Datenschutzrechtliche Fragen beim Einsatz von Flash-Cookies – Ist der rechtssichere Einsatz von Cookies vor dem Hintergrund der EU-Privacy-Richtlinie möglich?, ZD 2011, 59 – 63. Schuler-Harms, Margarete: Netz-Communities als Grundlage sozialer Innovationen und die Aufgabe des Rechts, in: Eifert, Martin/Hoffmann-Riem, Wolfgang (Hrsg.), Innovation, Recht und öffentliche Kommunikation, Berlin 2011, S. 193 – 209 (zit.: Schuler-Harms, in: Eifert/Hoffman-Riem, Innovation). Schuler-Harms, Margarete: Die kommerzielle Nutzung statistischer Persönlichkeitsprofile als Herausforderung für den Datenschutz, in: Sokol, Bettina (Hrsg.), Living by numbers – Leben zwischen Statistik und Wirklichkeit, Düsseldorf 2005, S. 5 – 17 (zit.: Schuler-Harms, in: Sokol, Living by numbers). Schulz, Andreas D.: Nutzung und Datenschutzpraxis im studiVZ – Eine Untersuchung zum Selbstschutz, DuD 2012, 262 – 269. Schulz, Wolfgang: Verfassungsrechtlicher „Datenschutzauftrag“ in der Informationsgesellschaft – Schutzkonzepte zur Umsetzung informationeller Selbstbestimmung am Beispiel von Online-Kommunikation, Die Verwaltung 1999, 137 – 177. Schulz, Wolfgang/Held, Thorsten: Regulierte Selbstregulierung als Form modernen Regierens – Im Auftrag des Bundesbeauftragten für Kultur und Medien, Zwischenbericht, Hamburg 2001 (zit.: Schulz/Held, Regulierte Selbstregulierung). Schulz, Wolfgang/Held, Thorsten: Regulated Self-Regulation as a Form of Modern Government – An analysis of case studies from media and telecommunications law, Eastleigh 2004 (zit.: Schulz/Held, Modern Government). Schüßler, Lennart: Facebook und der Wilde Westen – Soziale Netzwerke und Datenschutz, in: Taeger, Jürgen (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, Edewecht 2010, S. 233 – 251 (zit.: Schüßler, in: Taeger, Digitale Evolution). Schwartmann, Rolf: Datenschutz im Schwarm – Rechtsfragen des Schutzes der Privatsphäre im Internet, RDV 2012, 1 – 7. Schwartmann, Rolf: Ausgelagert und ausverkauft – Rechtsschutz nach der Datenschutz-Grundverordnung, RDV 2012, 55 – 60. Schwartz, Paul M.: Das Übersetzen im Datenschutzrecht: Unterschiede zwischen deutschen und amerikanischen Konzepten der „Privatheit“ (Translation in Data Protection Law: Differences between German and American Concepts of „Privacy“), in: Frank, Armin P./Maaß, Kurt-Jürgen/Paul, Fritz/Turk, Horst (Hrsg.), Übersetzen, verstehen, Brücken bauen. – Geisteswissenschaftliches und literarisches Übersetzen im internationalen Kulturaustausch, Berlin 1993 (zit.: Schwartz, in: Frank et al., Übersetzen). Schwartz, Paul M.: Privacy and Democracy in Cyberspace, 52 Vand. L. Rev. 1609 – 1701 (1999). Schwartz, Paul M.: Preemption and Privacy, 118 Yale L.J. 902 – 922 (2009). Schwartz, Paul M./Peifer, Karl-Nikolaus: Prosser’s Privacy and the German Right of Personality: Are Four Privacy Torts Better than One Unitary Concept?, 98 Cal. L. Rev. 1925 – 1987 (2010). Schwartz, Paul M./Solove, Daniel J.: The PII Problem: Privacy and a New Concept of Personally Identifiable Information, N.Y.U. L. Rev. 1814 – 1894 (2011). Schwartz, Paul M.: „Personenbezogene Daten“ aus internationaler Perspektive, ZD 2011, 97.
378
Literaturverzeichnis
Schwartz, Paul M.: Referat zum 69. Deutschen Juristentag, in: Ständige Deputation des Deutschen Juristentages (Hrsg.), Verhandlungen des 69. Deutschen Juristentages, München 2012, Band II/1, Sitzungsberichte – Referate und Beschlüsse, München 2013, S. O 73 – 97 (zit.: Schwartz, DJT 2012). Schwartz, Paul M.: The EU-U.S. Privacy Collision: A Turn to Institutions and Procedures, 126 Harv. L. Rev. 1966 – 2009 (2013). Schwartz, Paul M./Solove, Daniel J.: Reconciling Personal Information in the United States and European Union, 102 Cal. L. Rev. 877 – 916 (2014). Schwartz, Paul M.: Zur Architektonik des Datenschutzes in den U.S.A., in: Stern, Klaus/Peifer, Karl-Nikolaus/Hain, Karl-Eberhard, Datenschutz im digitalen Zeitalter – global, europäisch, national, München 2015, S. 109 – 121 (zit.: Schwartz, in: Stern/Peifer/Hain, Datenschutz). Schwenke, Matthias C.: Individualisierung und Datenschutz – Rechtskonformer Umgang mit personenbezogenen Daten im Kontext der Individualisierung, Wiesbaden 2006 (zit.: Schwenke, Individualisierung). Scott, Erica M.: Protecting Consumer Data While Allowing the Web to Develop Self-Sustaining Architecture: Is a Trans-Atlantic Browser Based Opt-In For Behavioral Tracking the Right Solution?, 26 Pac. McGeorge Global Bus. & Dev. L.J. 285 – 311 (2013). Scott, John/Marshall, Gordon: A Dictionary of Sociology, 3. Aufl., Oxford 2009. Scott, Michael D.: The FTC, the Unfairness Doctrine, and Data Security Breach Litigation: Has the Commission Gone Too Far?, 60 Admin. L. Rev. 127 – 183 (2008). Scott, Michael D.: Scott on Computer Information Technology Law, Köln 2015 (zit.: Scott, Computer Info). Scott, Robert E.: Error and Rationality in Individual Decisionmaking: An Essay on the Relationship Between Cognitive Illusions and the Management of Choices, 59 S. Cal. L. Rev. 329 – 362 (1986). Sebastian, Manu J.: The European Union’s General Data Protection Regulation: How will it affect Non-EU Enterprises?, 31 Syracuse J. Sci. & Tech. L. Rep. 216 – 250 (2015). Senge, Lothar: Karlsruher Kommentar zum Gesetz über Ordnungswidrigkeiten, 4. Aufl., München 2014 (zit.: Senge-Bearbeiter). Serwin, Andrew B.: The Federal Trade Commission and Privacy: Defining Enforcement and Encouraging the Adoption of Best Practices, 48 SDLR 809 – 856 (2011). Serwin, Andrew B.: Privacy 3.0 – A Reexamination of the Principle of Proportionality, 9 PVLR 34 – 38 (2010). Shaffer, Gregory: Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting Up of U.S. Privacy Standards, 25 Yale J. Int’l L. 1 – 88 (2000). Simitis, Spiros: Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zit.: Simitis-Bearbeiter). Smith, Lauren E.: Jonesing for a Test: Fourth Amendment Privacy in the Wake of United States v. Jones, 28 Berkeley Tech. L.J. 1003 – 1033 (2013). Solove, Daniel J.: Privacy and Power: Computer Databases and Metaphors for Information Privacy, 53 Stan. L. Rev. 1393 – 1462 (2001). Solove, Daniel J.: Conceptualizing Privacy, 90 Cal. L. Rev. 1087 – 1155 (2002). Solove, Daniel J.: Understanding Privacy, Cambridge 2008. Solove, Daniel J.: Privacy Self-Management and the Consent Dilemma, 126 Harv. L. Rev. 1879 – 1903 (2013).
Literaturverzeichnis
379
Solove, Daniel J./Schwartz, Paul M.: Information Privacy Law, 4. Aufl., New York 2011 (zit.: Solove/Schwartz, Information Privacy). Solove, Daniel J./Schwartz, Paul M.: Privacy Law Fundamentals 2015, Portsmouth 2015 (zit.: Solove/Schwartz, Privacy Law). Solove, Daniel J./Schwartz, Paul M.: Privacy, Information and Technology, 3. Aufl., New York 2011 (zit.: Solove/Schwartz, Privacy). Solove, Daniel J./Hartzog, Woodrow: The FTC and the New Common Law of Privacy, 114 Columbia L. Rev. 583 – 676 (2014). Sonnleithner, Bernhard: Datenschutz und Social Media – Datenerhebung bei Einbindung von Social Plugins, ITRB 2011, 238 – 239. Sovern, Jefferson: Opting In, Opting Out, or no Options at All: The Fight for Control of Personal Information, 74 Wash. L. Rev. 1033 – 1118 (1999). Sovern, Jefferson: Protecting Privacy With Deceptive Trade Practices Legislation, 69 Fordham L. Rev. 1305 – 1357 (2001). Spainhour, Elisabeth: FTC Commissioner Comments on Consumer Privacy Bill of Rights, Brooks Pierce Digital Media and Data Privacy Law Blog 09. 03. 2015, abrufbar unter: http://www. newsroomlawblog.com/2015/03/articles/privacy/ftc-commissioner-comments-onconsumer-privacy-bill-of-rights/ (zit.: Spainhour, Brooks Pierce 09. 03. 2015). Spiecker gen. Döhmann, Indra: Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, K&R 2012, 717 – 725. Spiecker gen. Döhmann, Indra: Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, – Überlegungen zu Vollzugsdefiziten im Datenschutzrecht, in: Leible, Stefan/Kutschke, Torsten (Hrsg.), Der Schutz der Persönlichkeit im Internet, Stuttgart 2013, S. 33 – 54 (zit.: Spiecker, in: Leible/Kutschke, Schutz der Persönlichkeit). Spiecker gen. Döhmann, Indra: Zur Architektonik des europäischen und deutschen Datenschutzes, in: Stern, Klaus/Peifer, Karl-Nikolaus/Hain, Karl-Eberhard (Hrsg.), Datenschutz im digitalen Zeitalter – global, europäisch, national, München 2015, S. 61 – 108 (zit.: Spiecker, in: Stern/Peifer/Hain, Datenschutz). Spiekermann, Sarah/Grossklags, Jens/Berendt, Bettina: E-privacy in 2nd Generation E-Commerce: Privacy Preferences versus Actual Behavior, EC’01, 14.-17. 10. 2001, Tampa, Florida, S. 38 – 47, abrufbar unter: http://papers.ssrn.com/sol3/papers.cfm?abstract_id= 761107, (zit.: Spiekermann/Grossklags/Berendt, EC’01). Spies, Axel: USA: Neue Datenschutzvorschriften auf dem Prüfstand – Mehr Schutz für die Privacy der Bürger per Gesetz oder durch Selbstverpflichtung der Industrie?, ZD 2011, 12 – 16. Spies, Axel: USA: Zusätzliche Anforderungen für die Online-Verarbeitung von personenbezogenen Daten in Kalifornien, ZD 2013, V-VI. Spies, Axel: USA: Neue Initiativen zum Schutz der Privatsphäre von Präsident Obama vorgestellt, ZD 2015, V. Spindler, Gerald: Persönlichkeits- und Datenschutz im Internet – Anforderungen und Grenzen einer Regulierung – Thesen, in: Ständige Deputation des Deutschen Juristentages (Hrsg.), 69. Deutscher Juristentag München 2012, Thesen der Gutachter und Referenten, S. 67 – 70, abrufbar unter: http://www.djt.de/fileadmin/downloads/69/120809_djt_69_ thesen_web.pdf (zit.: Spindler, Thesen DJT 2012).
380
Literaturverzeichnis
Spindler, Gerald/Schuster, Fabian: Recht der elektronischen Medien, 3. Aufl., München 2015 (zit.: Spindler/Schuster-Bearbeiter). Splittgerber, Andreas: Praxishandbuch Rechtsfragen Social Media, Berlin/Boston 2014 (zit.: Splittgerber-Bearbeiter). Stadler, Thomas: Verstoßen Facebook und Google Plus gegen deutsches Recht? – Ausschluss von Pseudonymen auf Social-Media-Plattformen, ZD 2011, 57 – 59. Steinhoff, Astrid: Nutzerbasierte Online Werbung 2.0 – Datenschutzrecht im Konflikt mit Targeting-Methoden, K&R 2014, 86 – 90. Steindel, Tracy A.: A Path toward User Control of Online Profiling, 17 Mich. Telecomm. & Tech. L. Rev. 459 – 490 (2011). Stopfer, Juliane M./Back, Mitja D./Egloff, Boris: Persönlichkeit 2.0, DuD 2010, 459 – 462. Strandburg, Katherine J.: Freedom of Association in a Networked World: First Amendment Regulation of Relational Surveillance, 49 B.C. L. Rev. 741 – 821 (2008). Strandburg, Katherine J.: Free Fall: The Online Market’s Consumer Preference Disconnect, 2013 U. Chi. Legal F. 95 – 172 (2013). Streinz, Rudolf/Michl, Walther: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW 2011, 384 – 388. Stutzmann, Fred/Gross, Ralph/Acquisiti, Alessandro: Silent Listeners: The Evolution of Privacy and Disclosure on Facebook, 4 JPC 7 – 41 (2012). Sunstein, Cass R.: Empirically Informed Regulation, 78 U. Chi. L. Rev. 1349 – 1429 (2011). Surma, Jerzy: Modeling Customer Behavior, in: Ting, I-Hsien/Hong, Tzung-Pei/Wang, Leon S. (Hrsg.), Social Network Mining, Analysis, and Research Trends – Techniques and Applications, Hershey 2012, S. 171 – 182 (zit.: Surma, in: Ting/Hong/Wang, Social Network Mining). Swire, Peter P.: Markets, Self-Regulation, and Government Enforcement in the Protection of Personal Information, in: NTIA- U.S. Dep’t of Commerce (Hrsg.), Privacy and Self-Regulation in the Information Age, Washington D.C. 1997, Kapitel 1, S. 1 – 19, abrufbar unter: http://www.ntia.doc.gov/page/chapter-1-theory-markets-and-privacy (zit.: Swire, in: NTIA, Privacy). Taeger, Jürgen/Gabel, Detlev: BDSG und Datenschutzvorschriften des TKG und TMG, 2. Aufl., München 2013 (zit.: Taeger/Gabel-Bearbeiter). Talidou, Zoi: Regulierte Selbstregulierung im Bereich des Datenschutzes, Frankfurt/M. 2005 (zit.: Talidou, Regulierte Selbstregulierung). Tene, Omer/Polonetsky, Jules: Big Data for All: Privacy and User Control in the Age of Analytics, 11 Nw. J. Tech. & Intell. Prop. 239 – 272 (2013). Tene, Omer/Polonetsky, Jules: Privacy and Big Data: Making Ends Meet, 66 Stan. L. Rev. Online 25 – 33 (2013). Tennis, Bradley T.: Privacy and Identity in a Networked World, in: Akrivopoulou, Christina/Athanasios, Psygkas (Hrsg.), Personal Data Privacy and Protection in a Surveillance Era – Technologies and Practices, Hershey 2011, S. 1 – 18 (zit.: Tennis, in: Akrivopoulou/Athanasios, Personal Data). Thaler, Richard H./Sunstein, Cass R.: Nudge – Wie man kluge Entscheidungen anstößt, Berlin 2009 (Thaler/Sunstein, Nudge). Thierer, Adam: The Pursuit of Privacy in a World where Information Control is Failing, 36 Harv. J.L. & Pub. Pol’y 409 – 455 (2013).
Literaturverzeichnis
381
Tillmann, Henning: Browserfingerprinting, Berlin 2013, abrufbar unter: http://bfp.henningtillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf (zit.: Tillmann, Browserfingerprinting). Tinnefeld, Marie-Theres/Buchner, Benedikt/Petri, Thomas: Einführung in das Datenschutzrecht – Datenschutz und Informationsfreiheit in europäischer Sicht, 5. Aufl., München 2012 (zit.: Tinnefeld/Buchner/Petri, Datenschutzrecht). Tomain, Joseph A.: Online Privacy & First Amendment: An Opt-In Approach to Data Processing, 83 U. Cin. L. Rev. 1 – 71 (2014). Trottier, Daniel: Social Media as Surveillance – Rethinking Visibility in a Converging World, Farnham/Burlington 2012 (zit.: Trottier, Social Media). TUM: Digitale Profilbildung und Gefahren für die Verbraucher – Zusammenfassung des Gutachtens des Lehrstuhls für BWL – Marketing und Konsumforschung der Technischen Universität München im Auftrag der Verbraucherzentrale Bundesverband e.V., München 2010, abrufbar unter: http://www.vzbv.de/sites/default/files/mediapics/digitale_ profilbildung_tu_muenchen_leithold_2010.pdf (zit.: TUM, Digitale Profilbildung). Turow, Joseph/Hoofnagle, Chris J./Mulligan, Deidre K./Good, Nathaniel: The Federal Trade Commission and Consumer Privacy in the Coming Decade, 3 ISJLP 723 – 749 (2007), abrufbar unter: http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article= 1934&context=facpubs. Turow, Joseph/King, Jennifer/Hoofnagle Chris J./Bleakley, Amy/Hennessy, Michael: Contrary to What Marketers Say, Americans Reject Tailored Advertising and Three Activities that Enable It, 29. 09. 2009, abrufbar unter: http://ssrn.com/paper=1478214 (zit.: Turow et al., Tailored Advertising). Turow, Joseph: Americans & Online Privacy, The System is Broken, Annenberg Public Policy Center 2003, abrufbar unter: http://www.annenbergpublicpolicycenter.org/Downloads/ Information_And_Society/20030701_America_and_Online_Privacy/20030701_online_ privacy_report.pdf (zit.: Turow, Online Privacy). Turow, Joseph: The Daily You: How the New Advertising Industry is Defining Your Identity and Your World, New Haven 2012 (zit.: Turow, The Daily You). Tufekci, Zeynep: Can You See Me Now? Audience and Disclosure Regulation in Online Social Network Sites, 28 BSTS 20 – 36 (2008). Umbach, Dieter C./Clemens, Thomas: Grundgesetz – Mitarbeiterkommentar und Handbuch, Band I, Heidelberg 2002 (zit.: Umbach/Clemens-Bearbeiter). Venzke, Sven: Social Media Marketing – Eine datenschutzrechtliche Orientierungshilfe, DuD 2011, 387 – 393. Verheijden, Josina: Rechtsverletzungen auf YouTube und Facebook – Eine Analyse der urheberrechtlichen und persönlichkeitsrechtlichen Probleme und möglicher Lösungen, Hamburg 2015 (zit.: Verheijden, Rechtsverletzungen). Vesting, Thomas: Das Internet und die Notwendigkeit der Transformation des Datenschutzes, in: Ladeur, Karl-Heinz (Hrsg.), Innovationsoffene Regulierung des Internet, Baden-Baden 2003, S. 155 – 190 (zit.: Vesting, in: Ladeur, Regulierung des Internet). Voigt, Paul/Alich, Stefan: Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541 – 3544. Voskamp, Friederike/Kipker, Dennis-Kenji/Yamato, Richard: Grenzüberschreitende Datenschutzregulierung im Pazifik-Raum – Das Cross Border Privacy Rules-System der APEC – ein Vergleich mit den Binding Corporate Rules der EU, DuD 2013, 452 – 456.
382
Literaturverzeichnis
Voskamp, Friederike: Transnationaler Datenschutz – Globale Datenschutzstandards durch Selbstregulierung, Baden-Baden 2015. Weichert, Thilo: Wem gehören die privaten Daten?, in: Taeger, Jürgen/Wiebe Andreas, Informatik – Wirtschaft – Recht – Regulierung in der Wissenschaft – Festschrift für Wolfgang Kilian zum 65. Geburtstag, S. 281 – 298 (zit.: Weichert, in: Taeger/Wiebe, Informatik). Weichert, Thilo: Datenschutzverstoß als Geschäftsmodell – der Fall Facebook, DuD 2012, 716 – 721. Weichert, Thilo: Privatheit und Datenschutz im Konflikt zwischen den USA und Europa, RDV 2012, 113 – 118. Weichert, Thilo: Big Data und Datenschutz – Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, 251 – 259. Weidner-Braun, Ruth: Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung am Bsp. des personenbezogenen Datenverkehrs im WWW nach dem deutschen öffentlichen Recht, Berlin 2012 (zit.: Weidner-Braun, Schutz der Privatsphäre). Weiß, Stefan: An Information Architecture Framework for Enhancing Privacy in Social Network Applications, Hamburg 2010 (zit.: Weiß, Social Network Applications). Weitnauer, Wolfgang: Beck’sches Formularbuch E-Commerce, München 2003 (zit.: Weitnauer-Bearbeiter). Weitzner, Daniel: Privacy For a Global Information Society: High Standards, Global Cooperation, Flexibility For the Future, in: Hijmans, Hielke/Kranenborg, Herke (Hrsg.), Data Protection Anno 2014: How To Restore Trust? – Contributions in honour of Peter Hustnix, European Data Protection Supervisor (2004 – 2014), Cambridge/Antwerp/Portland 2014, S. 199 – 212 (zit.: Weitzner, in: Hijmans/Kranenborg, Data Protection). Westin, Allen: Privacy and Freedom, New York 1967. Whiteman, James Q.: The Two Western Cultures of Privacy: Dignity versus Liberty, 113 Yale L.J., 1151 – 1221 (2004). Will, Matthias G.: Privacy and Big Data: The Need for a Multi-Stakeholder Approach for Developing an Appropriate Privacy Regulation in the Age of Big Data, Discussion Paper No. 2015 – 03 of the Chair in Economic Ethics, Martin-Luther-University Halle-Wittenberg, Halle 2015, abrufbar unter: http://papers.ssrn.com/sol3/papers.cfm?abstract_id= 2634970 (zit.: Will, Privacy and Big Data). Wimmer, Kurt: United States, in: Kuschewsky, Monica (Hrsg.), Data Protection and Privacy, London 2014, S. 885 – 909 (zit.: Wimmer, in: Kuschewsky, Data Protection). Wintermeier, Martin: Inanspruchnahme sozialer Netzwerke durch Minderjährige – Datenschutz aus dem Blickwinkel des Vertragsrechts, ZD 2012, 210 – 214. Wittig, Petra: Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59 – 62. Wittmann, Philipp: Der Schutz der Privatsphäre vor staatlichen Überwachungsmaßnahmen durch die US-amerikanische Bundesverfassung – Eine Untersuchung unter besonderer Berücksichtigung des Schutzes der Privatsphäre in der Öffentlichkeit, Baden-Baden 2014 (zit.: Wittmann, Schutz der Privatsphäre). Wolff, Heinrich A./Brink, Stefan: Datenschutzrecht in Bund und Ländern – Kommentar, München 2013 (zit.: Wolff/Brink-Bearbeiter). Worms, Christoph/Gusy, Christoph: Verfassung und Datenschutz – Das Private und das Öffentliche in der Rechtsordnung, DuD 2012, 92 – 99.
Literaturverzeichnis
383
Wray, Bruce: A European Approach to the United States Constituional Privacy, 5 Creighton Int’l & Comp. L.J. 51 – 63 (2014). Wu, Felix T.: The Constitutionality of Consumer Privacy Regulation, 2013 U. Chi. Legal F. 69 – 94 (2013). Xu, Guandong/Zhang, Yanchun/Li, Lin: Web Mining, and Social Networking – Techniques and Applications, New York 2011 (zit.: Xu/Zhang/Li, Web Mining). Yakowitz Bambauer, Jane: The New Intrusion, 88 Notre Dame L. Rev. 205 – 275 (2012). Zarsky, Tal: Transparency in Data Mining: From Theory to Practice, in: Custers, Bart/Calders, Toon/Schermer, Bart/Zarsky, Tal (Hrsg.), Discrimination and Privacy in the Information Society – Data Mining and Profiling in Large Databases, Heidelberg 2013, S. 301 – 324 (zit.: Zarsky, in: Custers, Discrimination). Zeidler, Simon A./Brüggemann, Sebastian: Die Zukunft personalisierter Werbung im Internet, CR 2014, 248 – 257. Zhu, Benjamin: A Traditional Tort for a Modern Thread: Applying Intrusion upon Seclusion to Dataveillance Observations, 89 N.Y.U. L. Rev. 2381 – 2415 (2014). Ziebarth, Wolfgang: Google als Geheimnishüter – Verantwortlichkeit der Suchmaschinenbetreiber nach dem EuGH-Urteil, ZD 2014, 394 – 399. Zscherpe, Kerstin A.: Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, 723 – 727. Zweigert, Konrad/Kötz, Hein: Einführung in die Rechtsvergleichung auf dem Gebiete des Privatrechts, 3. Aufl., Tübingen 1996 (zit.: Zweigert/Kötz, Rechtsvergleichung).
Verzeichnis sonstiger Quellen Alle Online-Nachweise wurden zuletzt am 29.10. 2015 auf ihre Abrufbarkeit überprüft. acatech: Internet Privacy – Eine multidisziplinäre Bestandsaufnahme/A multidisciplinary analysis (acatech Studie), Heidelberg 2012, abrufbar unter: http://www.acatech.de/de/ publikationen/empfehlungen/acatech/detail/artikel/internet-privacy.html (zit.: acatech, Internet Privacy 2012). acatech: Internet Privacy – Options for adequate realization (acatech Study), Heidelberg 2013, abrufbar unter: http://www.acatech.de/fileadmin/user_upload/Baumstruktur_nach_ Website/Acatech/root/de/Publikationen/Projektberichte/acatech_STUDY_Internet_ Privacy_WEB.pdf (zit.: acatech, Internet Privacy 2013). Albig, Torsten: Google ist nicht zu durchschauen – Wie wir uns gegen die Entstehung digitaler Informationsmonopole wehren können, Die Zeit 20. 03. 2015, abrufbar unter: http://www. zeit.de/2015/10/medien-regulierung-internet-information-monopol (zit.: Albig, Die Zeit 20. 03. 2015). Allan, Richard: Brief von Facebooks Director of Policy for Europe, Middle East and Africa an das ULD vom 16. 09. 2011, abrufbar unter: https://www.datenschutzzentrum.de/facebook/ kommunikation/20110916_Facebook_deutsch.pdf (zit.: Allan an das ULD v. 16. 09. 2011). Art. 29 WP: Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation, 13. 05. 2013, abrufbar unter: http://ec. europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/ 20130513_advice-paper-on-profiling_en.pdf (zit.: Art. 29 WP, Advice paper profiling). Art. 29 WP: Arbeitsdokument Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz, WP 37, 21. 11. 2000, abrufbar unter: http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2000/wp37de.pdf (zit.: Art. 29 WP, WP 37). Art. 29 WP: Arbeitspapier über die Frage der internationalen Anwendbarkeit des EU-Datenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU, WP 56, 30. 05. 2002, abrufbar unter: http://www.cnpd.public. lu/de/publications/groupe-art29/wp056_de.pdf (zit.: Art. 29 WP, WP 56). Art. 29 WP: Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136, 20. 06. 2007, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2007/wp136_de.pdf (zit.: Art. 29 WP, WP 136). Art. 29 WP: Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, WP 148, 04. 04. 2008, abrufbar unter: http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2008/wp148_de.pdf (zit.: Art. 29 WP, WP 148). Art. 29 WP: Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke, WP 163, 12. 06. 2009, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2009/wp163_de.pdf (zit.: Art. 29 WP, WP 163). Art. 29 WP: Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 16. 02. 2010, abrufbar unter: http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf (zit.: Art. 29 WP, WP 169).
386
Verzeichnis sonstiger Quellen
Art. 29 WP: Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, WP 171, 22. 06. 2010, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2010/wp171_de.pdf (zit.: Art. 29 WP, WP 171). Art. 29 WP: Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, 16. 12. 2010, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_de.pdf (zit.: Art. 29 WP, WP 179). Art. 29 WP: Opinion 15/2011 on the definition of consent, WP 187, 13.07.11, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp187_en.pdf (zit.: Art. 29 WP, WP 187). Art. 29 WP: Opinion 16/2011 on EASA/IAB Best Practice Recommendation on Online Behavioural Advertising, WP 188, 08. 12. 2011, abrufbar unter: http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2011/wp188_ en.pdf (zit.: Art. 29 WP, WP 188). Art. 29 WP: Working Document 02/2013 providing guidance on obtaining consent for Cookies, WP 208, 02. 20. 2013, abrufbar unter: http://idpc.gov.mt/dbfile.aspx/WP_208.pdf (zit.: Art. 29 WP, WP 208). Art. 29 WP: WP 29 additional recommendations to strengthen personal data protection under the Safe Harbor Decision, 10. 04. 2014, abrufbar unter: http://ec.europa.eu/justice/dataprotection/article-29/documentation/other-document/files/2014/20140410_wp29_to_ec_ on_sh_recommendations.pdf (zit.: Art. 29 WP, Safe Harbor Recommendations). Art. 29 WP: Working Document on surveillance of electronic communications for intelligence and national security purposes, WP 288, 05. 12. 2014, abrufbar unter: http://ec.europa. eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/ 2014/wp228_en.pdf (zit.: Art. 29 WP, WP 288). Art. 29 WP: Statement of the Article 29 Working Party, 16. 10. 2015, abrufbar unter: http://ec. europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_ material/2015/20151016_wp29_statement_on_schrems_judgement.pdf (zit.: Art. 29 WP, Statement 16. 10. 2015). Baig, Edward C.: Internet Users Say, Do Not Track Me, USA Today 14. 12. 2010, abrufbar unter: http://www.usatoday.com/tech/news/2010 - 12 - 14-donottrackpoll14_ST_N.htm (zit.: Baig, USA Today 14. 12. 2010). Barbaro, Michael/Zeller, Tom: A Face Is Exposed for AOL Searcher No. 4417749, N. Y. Times 09. 08. 2006, abrufbar unter: http://www.nytimes.com/2006/08/09/technology/09aol. html?pagewanted=all&_r=0 (zit.: Barbaro/Zeller, N. Y. Times 09. 08. 2006). BCG: The Value of Our Digital Identity, 2012, abrufbar unter: http://de.slideshare.net/fred. zimny/boston-consulting-group-the-valueofourdigitalidentity. BfDI: 24. TB (2011/2011), abrufbar unter: http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/ Pressemitteilungen/2013/06_24TB_BfDI_2011_12.html?nn=408920. BfDI: Andrea Voßhoff: Die EU Kommission muss jetzt Klartext reden!, Pressemitteilung 27. 01. 2015, abrufbar unter: http://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/ (zit.: BfDI, Pressemitteilung 27. 01. 2015). Biermann, Kai: Datenschützer verweigern sich der Stiftung Datenschutz, Zeit 09. 11. 2012, abrufbar unter: http://www.zeit.de/digital/datenschutz/2012-11/stiftung-datenschutzscheitern (zit.: Biermann, Zeit 09. 11. 2012). BITKOM: Soziale Netzwerke, Eine repräsentative Untersuchung zur Nutzung sozialer Netzwerke im Internet, 2. Aufl., Berlin 2011, abrufbar unter: http://www.bitkom.org/files/documents/ SozialeNetzwerke.pdf (zit.: BITKOM, Soziale Netzwerke 2011).
Verzeichnis sonstiger Quellen
387
BITKOM: Big Data im Praxiseinsatz – Szenarien, Beispiele, Effekte, Berlin 2012, abrufbar unter: https://www.bitkom.org/Publikationen/2012/Leitfaden/Leitfaden-Big-Data-imPraxiseinsatz-Szenarien-Beispiele-Effekte/BITKOM_LF_big_data_2012_online1.pdf (zit.: BITKOM, Big Data). BITKOM: Soziale Netzwerke, Eine repräsentative Untersuchung zur Nutzung sozialer Netzwerke im Internet, 3. Aufl., Berlin 2013, abrufbar unter: http://www.bitkom.org/files/documents/ SozialeNetzwerke_2013.pdf (zit.: BITKOM, Soziale Netzwerke 2013). BITKOM: Nutzung Sozialer Netzwerke in Deutschland, Berlin 2013, abrufbar unter: http://www. BITKOM.org/files/documents/BITKOM-PK_Studie_Nutzung_Sozialer_Netzwerke_31_10_ 2013.pdf (zit.: BITKOM, Nutzung). BITKOM: Leidfaden Big-Data-Technologien – Wissen für Entscheider, Berlin 2014, abrufbar unter: http://www.BITKOM.org/files/documents/BITKOM_Leitfaden_Big-DataTechnologien-Wissen_fuer_Entscheider_Febr_2014.pdf (zit.: BITKOM, Big-Data-Technologien). BITKOM: Presseinformation: Jugendliche schützen ihre Daten in sozialen Netzwerken, 17. 11. 2014, abrufbar unter: http://www.bitkom.org/files/documents/BITKOM_Presseinfo_ Jugendliche_Datenschutz_17_11_2014.pdf (zit.: BITKOM, Jugendliche). BITKOM: Presseinformation: Jeder Dritte liest keine Datenschutzerklärungen, 14. 05. 2014, abrufbar unter: http://www.bitkom.org/files/documents/BITKOM-Presseinfo_ Datenschutzerklaerungen_14_05_2014.pdf (zit.: BITKOM, Datenschutzerklärungen). BMI: Datenschutz im Internet – Gesetzentwurf des BMI zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht, 01. 12. 2010, abrufbar unter: http://www.bmi.bund. de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/rote_ linie.pdf?__blob=publicationFile (zit.: BMI, Rote Linie-GesetzE). Böhm, Franziska: Opinion on the adequacy of the Safe Harbor Decision – Comparison between Safe Harbor and Directive 95/46, 09. 11. 2014, abrufbar unter: http://www.europe-vfacebook.org/CJEU_boehm.pdf (zit.: Böhm, Adequacy Safe Harbor Decision). Brill, Julie: „Big Data and Consumer Privacy: Identifying Challenges, Finding Solutions“ – Address at the Woodrow Wilson School of Public and International Affairs, Princeton University, 20. 02. 2014, S. 1 – 7, abrufbar unter: https://www.ftc.gov/system/files/ documents/public_statements/202151/140220princetonbigdata_0.pdf (zit.: Brill, Big Data). Buggisch, Christian: Social Media und soziale Netzwerke – Nutzerzahlen in Deutschland 2015, 07. 01. 2015, abrufbar unter: https://buggisch.wordpress.com/2015/01/07/social-mediaund-soziale-netzwerke-nutzerzahlen-in-deutschland-2015/ (zit.: Buggisch, Nutzerzahlen Deutschland). Business Week/Harris Poll: A growing Threat, Bloomberg Businessweek 20. 03. 2000, abrufbar unter: http://www.businessweek.com/2000/00_12/b3673010.htm (zit.: Business Week/Harris Poll, A growing Threat). Charkam, Avi: 5 Design Tricks Facebook Uses To Affect Your Privacy Decisions, Techcrunch 25. 08. 2012, abrufbar unter http://techcrunch.com/2012/08/25/5-design-tricks-facebookuses-to-affect-your-privacy-decisions (zit.: Charkam, Techcrunch 25. 08. 2012). Choudhury, Munmun De/Gamon, Michael/Counts, Scott/Horvitz, Eric: Predicting Depression via Social Media, Proceedings of the Seventh International AAAI Conference on Weblogs and Social Media 2013, S. 128 – 137, abrufbar unter: http://www.aaai.org/ocs/index.php/ ICWSM/ICWSM13/paper/viewFile/6124/6351 (zit.: De Choudhury et al., AAAI 2013).
388
Verzeichnis sonstiger Quellen
Consumer Privacy Groups: Letter to the President 03. 03. 2015, abrufbar unter: https://www. dropbox.com/s/qja4udboxycqlqd/Consumer%20Privacy%20Groups%20Letter%20to% 20the%20President%20-%20FINAL.pdf?dl=0. CTR: The Transatlantic Economy 2014 – Annual Survey of Jobs, Trade and Investment between the United States and Europe – Executive Summary, abrufbar unter: http:// transatlanticrelations.org/sites/default/files/TE2014_executive_Summary_0.pdf (zit.: CTR, Transatlantic Economy 2014). CTR: The Transatlantic Economy 2015 – Annual Survey of Jobs, Trade and Investment between the United States and Europe, abrufbar unter: http://transatlanticrelations.org/sites/default/files/TE2015_CompleteBook.pdf (zit.: CTR, Transatlantic Economy 2015). DAA: Self regulatory Principles for Online Behavioral Advertising, 2009, abrufbar unter: http://www.iab.net/media/file/ven-principles-07-01-09.pdf (zit.: DAA, OBA Principles). DATATILSYNET: Social Network Services and Privacy – A case study of Facebook, 15. 04. 2011, abrufbar unter: http://www.datatilsynet.no/Global/english/11_00643_5_PartI_Rapport_ Facebook_2011.pdf (zit.: DATATILSYNET, SNS). DDOW: Selbstregulierung der Dienstleister im Bereich nutzungsbasierter Online-Werbung – Kodex für OBA-Dienstleister (Drittparteien), abrufbar unter: http://meine-cookies.org/DDOW/dokumente/DDOW_%20OBA-SR_Kodex_3rd.pdf (zit.: DDOW, Selbstregulierung Drittparteien). Deutsche Telekom: Sicherheitsreport 2013 – Ergebnisse einer repräsentativen Bevölkerungsumfrage (Institut für Demoskopie Allensbach), Bodman 2013, abrufbar unter: http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact= 8&ved=0CCEQFjAA&url=http%3A%2F%2Fwww.telekom.com%2Fstatic%2F-%2F198372% 2F2%2FSicherheitsreport-2013-si&ei=H9pEVfC7OMzuaKq9gNgF&usg=AFQjCNEejkFv3HzFQyJujZw1ORgz8cQYQ (zit.: Deutsche Telekom, Sicherheitsreport 2013). Deutsche Telekom: Sicherheitsreport 2014 – Ergebnisse einer repräsentativen Bevölkerungsumfrage (Institut für Demoskopie Allensbach), Bodman 2014, abrufbar unter: https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CC8QFjA C&url=https%3A%2F%2Fwww.telekom.com%2Fstatic%2F-%2F244706%2F5%2F140801sicherheitsreport2014-si&ei=_dtEVYa-O5XbaqONgdgD&usg=AFQjCNGAjXJrqq8n1U3bX_ gpcPL1dt5ybA&bvm=bv.92291466,d.d2s&cad=rja (zit.: Deutsche Telekom, Sicherheitsreport 2014). DIVSI: Studie Daten – Waren und Währung, Hamburg 2014, abrufbar unter: https://www.divsi. de/wp-content/uploads/2014/11/DIVSI-Studie-Daten-Ware-Waehrung.pdf (zit.: DIVSI, Studie Daten). Dix, Alexander: Safe Harbor am Ende? – Eine Betrachtung aus aufsichtsbehördlicher Sicht, Vortrag beim 9. Europäischen Datenschutztag am 28. 01. 2015 in Berlin, abrufbar unter: www.datenschutz-berlin.de/attachments/1089/741_943_1.pdf?1424256331 (zit.: Dix, Safe Harbor am Ende?). DOC IPTF: Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Framework (2010) („Privacy and Innovation Green Paper“), abrufbar unter: http://www. ntia.doc.gov/files/ntia/publications/iptf_privacy_greenpaper_12162010.pdf (zit.: DOC IPTF, Dynamic Framework). DSK: Ein modernes Datenschutzrecht für das 21. Jahrhundert – Eckpunkte, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/
Verzeichnis sonstiger Quellen
389
79DSKEckpunktepapierBroschuere.pdf?__blob=publicationFile (zit.: DSK, Modernes Datenschutzrecht). DSK: Orientierungshilfe „Soziale Netzwerke“, 14. 03. 2013, abrufbar unter: http://www.bfdi. bund.de/SharedDocs/Publikationen/Arbeitshilfen/OHSozialeNetze.html?nn=409240. DSK: Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19. 03. 2015: Safe Harbor bietet keinen ausreichenden Schutz für den Datentransfer in die USA, abrufbar unter: https://www.datenschutz.hessen.de/k89. htm#entry4319 (zit.: DSK, Safe Harbor). DSK: Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen zur Datenschutz-Grundverordnung, 14. 08. 2015 Wiesbaden, abrufbar unter: http://www.bfdi. bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/ 20150826_Verbesserung%20DSGrundverordnung.pdf;jsessionid=3891E106DE7A81 B6060200EACB866572.1_cid354?__blob=publicationFile&v=3 (zit.: DSK, Trilog). Duden: Informatik A-Z: Fachlexikon für Studium, Ausbildung und Beruf, 4. Aufl., Mannheim 2006 (zit.: Duden, Informatik). Duden: Das Fremdwörterbuch – Unentbehrlich für das Verstehen und den Gebrauch fremder Wörter, 11. Aufl., Mannheim 2015 (zit.: Duden, Fremdwörterbuch). Duden: Die deutsche Rechtschreibung – Das umfassende Standardwerk auf der Grundlage der aktuellen amtlichen Regeln, 26. Aufl., Mannheim 2014 (zit.: Duden, Rechtschreibung). Duhigg, Charles: How Companies Learn Your Secrets, N. Y. Times 16. 02. 2012, abrufbar unter: http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=7&_ r=3&hp&pagewanted=print (zit.: Duhigg, N. Y. Times 16. 02. 2012). Düsseldorfer Kreis: Datenschutzkonforme Gestaltung Sozialer Netzwerke, Beschluss vom 17./18. 04. 2008, abrufbar unter: http://www.datenschutz-berlin.de/content/deutschland/ duesseldorfer-kreis (zit.: Düsseldorfer Kreis, Beschluss 18. 04. 2008). Düsseldorfer Kreis: Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten, Beschluss vom 26./27. 11. 2009, abrufbar unter: http://www.datenschutz-berlin.de/content/deutschland/duesseldorfer-kreis (zit.: Düsseldorfer Kreis, Beschluss 27. 11. 2009). Düsseldorfer Kreis: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. 04. 2010: Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob= publicationFile (zit.: Düsseldorfer Kreis, Selbst-Zertifizierung). Düsseldorfer Kreis: Datenschutz in Sozialen Netzwerken, Beschluss vom 08. 12. 2011, abrufbar unter: http://www.datenschutz-berlin.de/content/deutschland/duesseldorfer-kreis (zit.: Düsseldorfer Kreis, Beschluss 08. 12. 2011). Düsseldorfer Kreis – „Arbeitsgruppe Werbung und Adresshandel“: Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, 2013, abrufbar unter: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_ daten/Anwendungshinweise_Werbung.pdf (zit.: Düsseldorfer Kreis, Werbliche Zwecke). Dwoskin, Elisabeth: White House Proposes Consumer Privacy Bill of Rights, WSJ 27. 02. 2015, abrufbar unter: http://blogs.wsj.com/digits/2015/02/27/white-house-proposes-consumerprivacy-bill-of-rights/ (zit.: Dwoskin, WSJ 27. 02. 2015).
390
Verzeichnis sonstiger Quellen
EASA: Best Practice Recommendation on Behavioral Advertising, 14. 4. 2011, abrufbar unter: www.easa-alliance.org/binarydata.aspx?type=doc/EASA_BPR_OBA_12_APRIL_2011_ CLEAN.pdf/download (EASA, Best Practice). EC: Europäisches Regieren – Ein Weißbuch, 2001, abrufbar unter: http://eur-lex.europa.eu/ legal-content/DE/TXT/PDF/?uri=CELEX:52001DC0428&qid=1398778688128&from=EN (zit.: EC, Europäisches Regieren). EC: First report on the implementation of the Data Protection Directive (95/46/EC), 15. 05. 2003 Brüssel, abrufbar unter: http://aei.pitt.edu/45392/1/COM_%282003%29_265_final.pdf (zit.: EC, Implementation). EC: Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Gesamtkonzept für den Datenschutz in der Europäischen Union, 04. 11. 2010, abrufbar unter: http://ec. europa.eu/justice/news/consulting_public/0006/com_2010_609_de.pdf (zit.: EC, Gesamtkonzept). EC DG JFS: Comparative Study On Different Approaches To New Privacy Challenges, In Particular In The Light Of Technological Developments, Country Study B.1 – United States of America by Chris Hoofnagle, 2010, abrufbar unter: http://ec.europa.eu/justice/policies/ privacy/docs/studies/new_privacy_challenges/final_report_country_report_B1_usa.pdf (zit.: EC DG JFS, Data Protection USA). EC/Social Networking Task Force: Safer Social Network Principles for the EU, 10. 02. 2009, abrufbar unter: http://ec.europa.eu/digital-agenda/sites/digital-agenda/files/sn_ principles.pdf (zit.: EC/Social Networking Task Force, SSN Principles). EC/LRDP KANTOR Ltd./Centre for Public Reform: Comparative Study on Different Approaches to New Privacy Challenges, in Particular in the Light of Technological Developments: Final Report, 20. 01. 2010, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/ studies/new_privacy_challenges/final_report_en.pdf (zit.: EC, Comparative Study). EC/Donso, Verónica: Assessment of the Implementation of the Safer Social Networking Principles for the EU on 14 Websites: Summary Report, Luxemburg 2011, abrufbar unter: https://lirias.kuleuven.be/bitstream/123456789/458077/1/Individual+Reports+SNS +Phase+A.pdf (zit.: EC/Donso, Assessment). EC: Press Release Digital Agenda: social networks can do much more to protect minors’ privacy – Commission report, 30. 09. 2011, abrufbar unter: http://europa.eu/rapid/pressrelease_IP-11-1124_en.htm?locale=en (zit.: EC, PR Digital Agenda). EC: Flash Eurobarometer Data Protection in the European Union – Data controllers’ perceptions – Analytical Report, 2008, abrufbar unter: http://ec.europa.eu/public_opinion/flash/fl_ 226_en.pdf (zit.: EC, Flash Eurobarometer). EC: Special Eurobarometer 359 Attitudes on Data Protection and Electronic Identity in the European Union, Brüssel 2011, abrufbar unter: http://ec.europa.eu/public_opinion/ archives/ebs/ebs_359_en.pdf (zit.: EC, Eurobarometer 2011). EC: Special Eurobarometer 359 Einstellungen zum Datenschutz und elektronischer Identität in der Europäischen Union – Factsheet Germany, Brüssel 2011, abrufbar unter: http://ec. europa.eu/public_opinion/archives/ebs/ebs_359_fact_de_de.pdf (zit.: EC, Eurobarometer Germany). EC: Special Eurobarometer 431 Data Protection, Brüssel 2015, abrufbar unter: http://ec.europa. eu/public_opinion/archives/ebs/ebs_431_en.pdf (zit.: EC, Eurobarometer 2015).
Verzeichnis sonstiger Quellen
391
EC JRC: Pan-European Survey of Practices, Attitudes and Policy Preferences as Regards Personal Identity Data Management, Sevilla 2012, abrufbar unter: http://ftp.jrc.es/ EURdoc/JRC70301.pdf (zit.: EC JRC, Pan-European Survey). EC: Vorschlag für eine „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freie Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11, 2012/0011 (COD) vom 25. 01. 2012, abrufbar unter: http://eur-lex.europa. eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF (zit.: EC, DS-GVO-E). EC: Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen (COM(2013) 847 final) vom 27. 11. 2013, abrufbar unter: http://www.europarl.europa.eu/meetdocs/2014_2019/documents/com/com_com% 282013%290847_/com_com%282013%290847_de.pdf (zit.: EC, Mitteilung Safe Harbor 2013). EC: First Vice-President Timmermans and Commissioner Jourová’s press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems), Straßburg 06. 10. 2015, abrufbar unter: http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.htm (zit.: EC, Press conference on Safe Harbor ruling 06. 10. 2015). ECIPE: The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data, Moving Commerce – A trade impact assessment of the General Data Privacy Regulation (GDPR) by the European Centre for International Political Economy (ECIPE) for the U.S. Chamber of Commerce, März 2013, abrufbar unter: https://www. uschamber.com/sites/default/files/documents/files/020508_EconomicImportance_Final_ Revised_lr.pdf (zit.: ECIPE, Economic Importance). emarketer: Microsoft to Surpass Yahoo in Global Digital Ad Market Share This Year – Google, Facebook continue on as the market’s leaders, 15. 07. 2014, abrufbar unter: http://www. emarketer.com/Article/Microsoft-Surpass-Yahoo-Global-Digital-Ad-Market-Share-This-Year/ 1011012#sthash.HrpHjZub.dpuf (zit.: emarketer, Digital Ad Market). ENISA: Study on data collection and storage in the EU, 08. 02. 2012, abrufbar unter: http:// www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/data-collection (zit.: ENISA, Data collection). ENISA: Privacy considerations of online behavioural tracking, 19. 10. 2012, abrufbar unter: https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacyconsiderations-of-online-behavioural-tracking (zit.: ENISA, Behavioural tracking). ENISA: Study on monetising privacy – An economic model for pricing personal information, 27. 02. 2012, abrufbar unter: https://www.enisa.europa.eu/activities/identity-and-trust/ library/deliverables/monetising-privacy (zit.: ENISA, Monetising Privacy). EP: Legislative Entschließung des Europäischen Parlaments vom 12. 03. 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7 – 0025/2012– 2012/0011(COD)), abrufbar unter: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA +P7-TA-2014-0212+0+DOC+XML+V0//DE (zit.: EP, Entschließung zum DS-GVO-E). EP: Entschließung des Europäischen Parlaments vom 12. 03. 2014 zu dem Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedsstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres (2013/2188(INI)), abrufbar unter: http://
392
Verzeichnis sonstiger Quellen
www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0230+0 +DOC+XML+V0//DE (zit.: EP, Entschließung zur NSA). Ermert, Monika: IPv6-Einführung bleibt hinter den Erwartungen zurück, Heise 28. 05. 2015, abrufbar unter: http://www.heise.de/ix/artikel/Nachgefragt-1355062.html (zit.: Ermert, Heise 28. 05. 2015). EuGH: According to Advocate General Bot, the Commission decision finding that the protection of personal data in the United States is adequate does not prevent national authorities from suspending the transfer of the data of European Facebook subscribers to servers located in the United States, Pressemitteilung vom 23. 09. 2015, abrufbar unter: http:// curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106en.pdf (zit.: EuGH, PM 23. 09. 2015). European Social Networks: Response to the Commission’s Public Consultation on the Comprehensive Approach on Personal Data Protection in the European Union, Januar 2011, abrufbar unter: http://ec.europa.eu/justice/news/consulting_public/0006/ contributions/organisations/europeansocialnetworks_en.pdf (zit.: European Social Networks, Response to EC 2010). Facebook: Nutzungsbedingungen, 2015, abrufbar unter: https://de-de.facebook.com/legal/ terms/update. Facebook: Datenrichtlinie, 2015, abrufbar unter: https://de-de.facebook.com/about/privacy. Facebook: Cookies-Richtlinie, 2015, abrufbar unter: https://de-de.facebook.com/help/cookies/ update. Facebook: Response to European Commission Communication on personal data protection in the European Union, Consultation period 04. 11. 2010 – 15. 01. 2011, abrufbar unter: http:// ec.europa.eu/justice/news/consulting_public/0006/contributions/not_registered/ facebook_en.pdf (zit.: Facebook, Response to EC 2010). Facebook: Investor Relations – Facebook Reports First Quarter 2015 Results, 22. 04. 2015, abrufbar unter: http://investor.fb.com/releasedetail.cfm?ReleaseID=908022 (zit.: Facebook, Q I 2015 Results). Facebook: Q I 2015 Earnings, 22. 04. 2015, abrufbar unter: http://edge.media-server.com/m/p/ 3gj7gyv8 (zit.: Facebook, Q I 2015 Earnings). Facebook: Orte mit Freunden besuchen, 05. 10. 2010, abrufbar unter: http://www.facebook. com/notes/facebook-deutschland/orte-mit-freunden-besuchen/163354990344014 (zit.: Facebook, Orte). Facebook: Facebook-Angebote startet in Deutschland, 31. 01. 2011, abrufbar unter: https://dede.facebook.com/notes/facebook-deutschland/facebook-angebote-startet-indeutschland/193817550631091 (zit.: Facebook, Facebook-Angebote). Facebook: Announcing FB Newswire, Powered by Storyful, 24. 04. 2014, abrufbar unter: http:// newsroom.fb.com/news/2014/04/announcing-fb-newswire-powered-by-storyful/ (zit.: Facebook, Newswire). Facebook: Making Photo Tagging easier, 30. 06. 2011, abrufbar unter: https://blog.facebook. com/blog.php?post=467145887130 (zit.: Facebook, Easier Tagging). Facebook: Open Graph Stories, abrufbar unter: https://developers.facebook.com/docs/sha ring/opengraph (zit.: Facebook Developers, Open Graph). Facebook: Conversion Measurement: A Win for Direct Response Marketers, 22. 01. 2013, abrufbar unter: https://www.facebook-studio.com/news/item/conversion-measurement-awin-for-direct-response-marketers (zit.: Facebook Studio, Conversion Measurement).
Verzeichnis sonstiger Quellen
393
Facebook: Zielgruppen für Werbeanzeigengruppen, 2015, abrufbar unter: https://de-de. facebook.com/help/433385333434831 (zit.: Facebook, Zielgruppen). Facebook: Werbeanzeigen erstellen, 2015, abrufbar unter: https://de-de.facebook.com/business/a/online-sales/ad-targeting-details (zit.: Facebook, Werbeanzeigen erstellen). Facebook: Sprich mit Facebook-Werbeanzeigen Personen in deiner Kontaktliste an, 2015, abrufbar unter: https://de-de.facebook.com/business/a/custom-audiences (zit.: Facebook, Custom Audiences). Facebook: Partner Categories, a New Self-Serve Targeting Feature, 10. 04. 2013, abrufbar unter: https://www.facebook-studio.com/news/item/partner-categories-a-new-self-servetargeting-feature (zit.: Facebook, Partner Categories). Facebook: Facebook Search, 2015, abrufbar unter: http://search.fb.com/ (zit.: Facebook, Search). FEDMA: Ethical Personal Data Management Charter, 04. 03. 2015, abrufbar unter: http://www. fedma.org/fileadmin/documents/Position_Papers/FEDMA_Charter_Ethical_data_ management-_approved_12032015.pdf (zit.: FEDMA, Personal Data). FPF: The US-EU Safe Harbor – An Analysis of the Framework’s Effectiveness in Protecting Personal Privacy, 2013, abrufbar unter: http://www.futureofprivacy.org/wp-content/ uploads/FPF-Safe-Harbor-Report.pdf (zit.: FPF, US-EU Safe Harbor). FRA: Data Protection in the European Union: the Role of National Data Protection Authorities, Strengthening the fundamental rights architecture in the EU II, Luxemburg 2010, abrufbar unter: http://fra.europa.eu/sites/default/files/fra_uploads/815-Data-protection_en.pdf (zit.: FRA, Data Protection Authorities). FRA/EGMR/Europarat: Handbuch zum europäischen Datenschutzrecht, Luxemburg 2014, abrufbar unter: http://fra.europa.eu/sites/default/files/fra-2014-handbook-dataprotection-law-2nd-ed_de.pdf (zit.: FRA/EGMR/Europarat, Datenschutzrecht). Fraunhofer Institut für Sichere Informationstechnologie SIT: Privatsphärenschutz in Soziale-Netzwerke-Plattformen, Darmstadt 2008, abrufbar unter: http://testlab.sit. fraunhofer.de/downloads/Publications/Fraunhofer_SIT_Poller_Privatsphaereschutz_in_ Soziale-Netzwerke-Plattformen.pdf (zit.: Fraunhofer Institut, Privatsphärenschutz). Freidel, Morten/Guse, Juan S./Kohlick, Anne/Kovce, Philip/Maurer, Kathrin/Reents, Edo: Wer böse ist, bestimmt der Kunde – Datenanalyst Markus Morgenroth im Gespräch, FAZ 12. 09. 2013, abrufbar unter: http://www.faz.net/aktuell/feuilleton/debatten/ ueberwachung/datenanalyst-markus-morgenroth-im-gespraech-wer-boese-ist-bestimmtder-kunde-12569614.html (zit.: Freidel et al., FAZ 12. 09. 2013). fsm: Verhaltenskodex für Betreiber von Social Communities bei der FSM, Stand 11. 03. 2009, abrufbar unter: http://www.fsm.de/selbstverpflichtungen/social-communities (zit.: fsm, Verhaltenskodex). fsm: Projekt Kodex für Soziale Netzwerke – Closing Report April 2013, abrufbar unter: http:// www.fsm.de/ueber-uns/veroeffentlichungen/FSM_Closing_Report_SocialCommunities.pdf (zit.: fsm, Kodex Report). FTC: Policy Statement on Deception (1983), appended to In re Cliffdale Assoc., 103 F.T.C. 110, 174, 1984, abrufbar unter: http://www.ftc.gov/bcp/policystmt/ad-decept.htm (zit.: FTC, Deception Policy). FTC: Policy Statement on Unfairness (1980), Appended to International Harvester Co., 104 F.T.C. 949, 1070 (1984), abrufbar unter: http://www.ftc.gov/bcp/policystmt/ad-unfair.htm (zit.: FTC, Unfairness Policy).
394
Verzeichnis sonstiger Quellen
FTC: Online Profiling Report: A Report to Congress, Teil 01, 2000, abrufbar unter: http://www. ftc.gov/os/2000/06/onlineprofilingreportjune2000.pdf (zit.: FTC, Profiling 1). FTC: Online Profiling Report: A Report to Congress, Teil 02, 2000, abrufbar unter: http://www. ftc.gov/os/2000/07/onlineprofiling.htm (zit.: FTC, Profiling 2). FTC: Online Behavioral Advertising: Moving the Discussion Forward to Possible Self-Regulatory Principles, 20. 12. 2007, abrufbar unter: http://www.ftc.gov/os/2007/12/P859900stmt.pdf (zit.: FTC, OBA 2007). FTC: Staff Report: Self Regulatory Principles for Online Behavioral Advertising – Tracking, Targeting and Technology, 2009, abrufbar unter: http://www.ftc.gov/os/2009/02/ P085400behavadreport.pdf (zit.: FTC, Principles OBA). FTC: Protecting Consumer Privacy in an Era of Rapid Change – A Proposed Framework for Businesses and Policymakers (2010), abrufbar unter: http://www.ftc.gov/os/2010/12/ 101201privacyreport.pdf (zit.: FTC, Consumer Privacy 2010). FTC: Protecting Consumer Privacy in an Era of Rapid Change – Recommendations for Businesses and Policymakers (2012), abrufbar unter: http://www.ftc.gov/os/2012/03/ 120326privacyreport.pdf (zit.: FTC, Consumer Privacy 2012). FTC: Complaint in the Matter of GeoCities, 1999, abrufbar unter: https://www.ftc.gov/sites/ default/files/documents/cases/1999/02/9823015cmp.htm (zit.: FTC, Complaint GeoCities). FTC: Complaint in the Matter of Microsoft Corporation, 2002, abrufbar unter: https://www.ftc. gov/sites/default/files/documents/cases/2002/12/microsoftcmp.pdf (zit.: FTC, Complaint Microsoft). FTC: Decision and Order in the Matter of Gateway Learning Corp., 2004, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2004/09/040917do0423047. pdf (zit.: FTC, D&O Gateway). FTC: Complaint in the Matter of Sears Holding Management Corporation, 2009, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2009/09/090604searscmpt. pdf (zit.: FTC, Complaint Sears). FTC: Agreement Containing Consent Order in the Matter of Sears Holding Management Corporation, 2009, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/ cases/2009/06/090604searsagreement.pdf (zit.: FTC, Agreement Sears). FTC: Complaint in the Matter of US v. Accusearch, Inc. d/b/a Abika.com, and Jay Patel, 2009, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2006/05/ 060501accusearchcomplaint.pdf (zit.: FTC, Complaint US v. Accusearch, Inc.). FTC: Complaint in the Matter of World Innovators, Inc., 2010, abrufbar unter: https://www.ftc. gov/sites/default/files/documents/cases/2010/01/100119worldinnovatorscmpt.pdf (zit.: FTC, Complaint World Innovators). FTC: Decision and Order in the Matter of Google, Inc., 2011, abrufbar unter: https://www.ftc. gov/sites/default/files/documents/cases/2011/10/111024googlebuzzdo.pdf (zit.: FTC, D&O Google). FTC: Complaint in the Matter of Twitter, Inc., 2011, abrufbar unter: https://www.ftc.gov/sites/ default/files/documents/cases/2011/03/110311twittercmpt.pdf (zit.: FTC, Complaint Twitter). FTC: Complaint in the Matter of Facebook, Inc., 2011, abrufbar unter: https://www.ftc.gov/ sites/default/files/documents/cases/2012/08/120810facebookcmpt.pdf (zit.: FTC, Complaint Facebook).
Verzeichnis sonstiger Quellen
395
FTC: Agreement Containing Consent Order in the Matter of Facebook, Inc., 2011, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2011/11/ 111129facebookagree.pdf (zit.: FTC, Agreement Facebook). FTC: Decision and Order in the Matter of Scanscout, Inc., 2011, https://www.ftc.gov/sites/ default/files/documents/cases/2011/12/111221scanscoutdo.pdf, abrufbar unter: (zit.: FTC, D&O Scanscout). FTC: Complaint in the Matter of Frostwire, LLC, 2011, abrufbar unter: https://www.ftc.gov/sites/ default/files/documents/cases/2011/10/111011frostwirecmpt.pdf (zit.: FTC, Complaint Frostwire). FTC: Decision and Order in the Matter of Facebook, Inc., 2012, abrufbar unter: https://www.ftc. gov/sites/default/files/documents/cases/2012/08/120810facebookdo.pdf (zit.: FTC, D&O Facebook). FTC: Complaint in the Matter of MySpace, LLC, 2012, abrufbar unter: https://www.ftc.gov/sites/ default/files/documents/cases/2012/09/120911myspacecmpt.pdf (zit.: FTC, Complaint MySpace). FTC: Agreement Containing Consent Order in the Matter of MySpace, LLC, 2012, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2012/05/120508myspaceorder. pdf (zit.: FTC, Agreement MySpace). FTC: Decision and Order in the Matter of MySpace, LLC, 2012, abrufbar unter: https://www.ftc. gov/sites/default/files/documents/cases/2012/09/120911myspacedo.pdf (zit.: FTC, D&O MySpace). FTC: Agreement in the Matter of Upromise, Inc., 2012, abrufbar unter: http://www.ftc.gov/ sites/default/files/documents/cases/2012/01/120105upromiseagree.pdf (zit.: FTC, Agreement Upromise). FTC: Stipulated Order for Permanent Injunction and Civil Penaltiy Judgement, 2012, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2012/08/ 120809googlestip.pdf (zit.: FTC, Order Google). FTC: Federal Trade Commission Enforcement of Safe Harbor Commitments, 2012, abrufbar unter: http://www.export.gov/build/groups/public/@eg_main/@safeharbor/documents/ webcontent/eg_main_052211.pdf (zit.: FTC, Enforcement of Safe Harbor 2012). FTC: Complaint in the Matter of Compete, Inc., 2013, abrufbar unter: https://www.ftc.gov/sites/ default/files/documents/cases/2013/02/130222competecmpt.pdf (zit.: FTC, Complaint Compete, Inc.). FTC: Complaint in the Matter of Path, Inc., 2013, abrufbar unter: https://www.ftc.gov/sites/ default/files/documents/cases/2013/02/130201pathinccmpt.pdf (zit.: FTC, Complaint Path). FTC: Consent Decree and Order in the Matter of Path, Inc., 2013, abrufbar unter: https://www. ftc.gov/sites/default/files/documents/cases/2013/02/130201pathincdo.pdf (zit.: FTC, CD&O Path). FTC: Complaint in the Matter of HTC America, Inc., 2013, abrufbar unter: https://www.ftc.gov/ sites/default/files/documents/cases/2013/07/130702htccmpt.pdf (zit.: FTC, Complaint HTC). FTC: Decision and Order in the Matter of HTC America, Inc., 2013, abrufbar unter: https://www. ftc.gov/sites/default/files/documents/cases/2013/07/130702htcdo.pdf (zit.: FTC, D&O HTC).
396
Verzeichnis sonstiger Quellen
FTC: Complaint in the Matter of Epic Marketplace, Inc., 2013, abrufbar unter: https://www.ftc. gov/sites/default/files/documents/cases/2013/03/130315epicmarketplacecmpt.pdf (zit.: FTC, Complaint Epic Marketplace). FTC: Complaint in the Matter of Aspen Way Enterprises, Inc., 2013, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2013/04/130415aspenwaycmpt.pdf (zit.: FTC, Complaint Aspen Way). FTC: Decision and Order in the Matter of Aspen Way Enterprises, Inc., 2013, abrufbar unter: https://www.ftc.gov/sites/default/files/documents/cases/2013/04/130415aspenwaydo. pdf (zit.: FTC, D&O Aspen Way). FTC: Decision and Order in the Matter of Goldenshores Technologies, LLC, 2014, abrufbar unter: https://www.ftc.gov/system/files/documents/cases/140409goldenshoresdo.pdf (zit.: FTC, D&O Goldenshores). FTC: Privacy Enforcement and Safe Harbor: Comments of FTC Staff to European Commission Review of the U.S.-EU Safe Harbor Framework 12. 11. 2013, abrufbar unter: https://www. ftc.gov/sites/default/files/documents/public_statements/privacy-enforcement-safeharbor-comments-ftc-staff-european-commission-review-u.s.eu-safe-harbor-framework/ 131112europeancommissionsafeharbor.pdf (zit.: FTC, Safe Harbor). FTC: FTC Settles with Twelve Companies Falsely Claiming to Comply with International Safe Harbor Privacy Framework, Press Release 21. 01. 2014, abrufbar unter: https://www.ftc. gov/news-events/press-releases/2014/01/ftc-settles-twelve-companies-falsely-claimingcomply (zit.: FTC, Safe Harbor Settlements 2014). FTC: Decision and order in the matter of True Ultimate Standards Everywhere, Inc. (TRUSTe, Inc.), 2015, abrufbar unter: https://www.ftc.gov/system/files/documents/cases/ 150318trust-edo.pdf (zit.: FTC, D&O TRUSTe). FTC/ODPC Ireland: Memorandum of Understanding (MOU) Regarding Mutual Assistance in the Enforcement of Laws Protecting Personal Information in the Private Sector, abrufbar unter: https://www.ftc.gov/sites/default/files/attachments/international-antitrust-andconsumer-protection-cooperation-agreements/130627usirelandmouprivacyprotection.pdf (zit.: FTC/ODPC Ireland, MOU). FTC: Complaint in the Matter of American International Mailing, Inc., 2015, abrufbar unter: https://www.ftc.gov/system/files/documents/cases/150529aimcmpt.pdf (zit.: FTC, Complaint American International Mailing). FTC: Webseite der FTC, abrufbar unter: https://www.ftc.gov/tips-advice/business-center/legalresources?type=case&field_consumer_protection_topics_tid=251 (zit.: FTC, Safe Harbor Settlements 2015). Galexia: Trustmark Schemes Struggle to Protect Privacy (2008), Pyrmont 2008 abrufbar unter: http://www.galexia.com/public/research/assets/trustmarks_struggle_20080926/ trustmarks_struggle_public-Enforcem.html (zit.: Galexia, Trustmark). Galexia: The US Safe Harbor – Fact or Fiction?, Pyrmont/Australia 2008, abrufbar unter: http:// www.galexia.com/public/research/assets/safe_harbor_fact_or_fiction_2008/safe_ harbor_fact_or_fiction.pdf (zit.: Galexia, Safe Harbor 2008). Gellman, Barton/Poitras, Laura: U.S., British intelligence mining data from nine U.S. Internet companies in broad secret program, Washington Post 07. 06. 2013, abrufbar unter: http:// www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-usinternet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845d970ccb04497_story.html (zit.: Gellman/Poitras, Washington Post 07. 06. 2013).
Verzeichnis sonstiger Quellen
397
Gibbs, Samuel: Belgium takes Facebook to court over privacy breaches and user tracking, The Guardian 15. 06. 2015, abrufbar unter: http://www.theguardian.com/technology/2015/jun/ 15/belgium-facebook-court-privacy-breaches-ads (zit.: Gibbs, Guardian 15. 06. 2015). Goldman, Eric: The Privacy Hoax, FORBES 14. 10. 2002, abrufbar unter: http://www.forbes.com/ forbes/2002/1014/042.html (zit.: Goldman, FORBES 14. 10. 2002). GPEN: Action Plan for the Global Privacy Enforcement Network (GPEN), 2013, abrufbar unter: https://www.privacyenforcement.net/public/activities (zit.: GPEN, Action Plan). Greenwald, Glenn/MacAskill, Ewen/Poitras, Laura: Edward Snowden: the whistleblower behind the NSA surveillance revelations, Guardian 11. 06. 2013, abrufbar unter: http://www. theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance? CMP=twt_gu (zit.: Greenwald/MacAskill/Poitras, Guardian 11. 06. 2013). Han, Byung-Chul: Im Visier der smarten Macht, FAZ 08. 06. 2014 (zit.: Han, FAZ 08. 06. 2014). Heise: 2 Klicks für mehr Datenschutz, 01. 09. 2011, abrufbar unter: http://www.heise.de/ct/ artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (zit.: Heise, 2 Klicks). Heise: NSA-Affäre: EU-Parlament fordert Kündigung des Safe-Harbour-Abkommens, 16. 01. 2014, abrufbar unter: http://www.heise.de/newsticker/meldung/NSA-Affaere-EUParlament-fordert-Kuendigung-des-Safe-Harbour-Abkommens-2087185.html (zit.: Heise, 16. 01. 2014). Heise: EU-Justizkommissarin: Datenschutzabkommen mit USA zum Greifen nah, 03. 06. 2015, abrufbar unter: http://www.heise.de/newsticker/meldung/EU-JustizkommissarinDatenschutzabkommen-mit-USA-zum-Greifen-nah-2678843.html (zit.: Heise, 03. 06. 2015). Heise: EU-Datenschutzreform: „Der Teufel steckt im Detail“, 24. 06. 2015, abrufbar unter: http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Der-Teufel-steckt-imDetail-2725930.html (zit.: Heise, 24. 06. 2015). HmbBfDI: Facebook ändert das Verfahren des Friend-Finding, Pressemitteilung vom 24. 01. 2011, abrufbar unter: http://www.datenschutz-hamburg.de/news/detail/article/ facebook-aendert-verfahren-des-friend-finding.html?tx_ttnews%5BbackPid%5D= 170&cHash=731d3ad807d71b4416f461df31d473ef (zit.: HmbBfDI, Friend-Finding). HmbBfDI: Prüfung der nach Abmeldung eines Facebook-Nutzers verbleibenden Cookies, 02. 11. 2011, abrufbar unter: https://www.datenschutz-hamburg.de/fileadmin/user_ upload/documents/Pruefbericht_Facebook-Cookies.pdf (zit.: HmbBfDI, Prüfbericht Facebook Cookies). HmbBfDI: Facebook Gesichtserkennung – Verwaltungsverfahren eingestellt, Presserklärung vom 07. 02. 2013, abrufbar unter: https://www.datenschutz-hamburg.de/fileadmin/user_ upload/documents/Presseerklaerung_2013- 02-07-Facebook-Gesichtserkennung.pdf (zit.: HmbBfDI, Gesichtserkennung). HmbBfDI: Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen, Hamburg 2013, abrufbar unter: https://www.datenschutz-hamburg.de/ uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_01.pdf (zit.: HmbBfDI, Google Analytics). HmbBfDI: Zur aufsichtsbehördlichen Zuständigkeit über den Internet-Dienst Facebook, 21. 07. 2011, abrufbar unter: https://www.datenschutz-hamburg.de/fileadmin/user_ upload/documents/Gutachten_Facebook-Nutzungsbedingungen.pdf (zit.: HmbBfDI, Aufsichtsbehördliche Zuständigkeit). HmbBfDI: Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar, 28. 07. 2015, abrufbar unter: https://www.datenschutz-hamburg.de/news/detail/article/
398
Verzeichnis sonstiger Quellen
der-hamburgische-datenschutzbeauftragte-profilnamen-bei-facebook-frei-waehlbar.html (zit.: HmbBfDI, Profilnamen). Hodel, Thomas: Social networks scan for sexual predators, with uneven results, Reuters 12.07.12 (zit.: Hodel, Reuters 12.07.12). Hummel, Katrin: Denn deine Sprache verrät dich, FAS 17. 05. 2015, S. 44 (zit.: Hummel, FAS 17. 05. 2015, S. 44). IAB Europe: EU Framework for Online Behavioral Advertising, 2011, abrufbar unter: http://www. iabeurope.eu/files/5013/8487/2916/2013-11-11_IAB_Europe_OBA_Framework.pdf (zit.: IAB Europe, OBA Framework). IDPC: Facebook Ireland Ltd Report of Audit, 21. 12. 2011, abrufbar unter: http://www. dataprotection.ie/documents/facebook%20report/final%20report/report.pdf (zit.: IDPC, Facebook Audit). IDPC: Appendix 1 – Facebook Technical Analysis Report, 16. 12. 2011, abrufbar unter: http:// www.dataprotection.ie/documents/facebook%20report/final%20report/Appendices.pdf (zit.: IDPC, Technical Analysis). IDPC: Facebook Ireland Ltd Report of Re-Audit, 21. 09. 2012, abrufbar unter: http://www. dataprotection.ie/documents/press/Facebook_Ireland_Audit_Review_Report_21_Sept_ 2012.pdf (zit.: IDPC, Facebook Re-Audit). IfD Allensbach: Kurzbericht: Immer mehr Mitglieder von Facebook & Co., 22. 10. 2012, abrufbar unter: http://www.ifd-allensbach.de/uploads/tx_reportsndocs/prd_1207.pdf (zit.: IfD Allensbach, Mitglieder). Innenministerkonferenz: Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in Sozialen Netzwerken, 04. 04. 2012, abrufbar unter: https://www.datenschutzzentrum.de/internet/20120404-AG-SozNetzw-AK-I-IMK.pdf (zit.: Innenministerkonferenz, Soziale Netzwerke). 30. Int. DSK: Entschließung über die Dringlichkeit des Schutzes der Privatsphäre in einer Welt ohne Grenzen und die Erarbeitung einer gemeinsamen Entschließung zur Erstellung internationaler Normen zum Schutz der Privatsphäre und zum Schutz personenbezogener Daten, Straßburg Oktober 2008, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/ Publikationen/Entschliessungssammlung/IntDSK/2008IntStandards.pdf?__blob= publicationFile (zit.: 30. Int. DSK, Welt ohne Grenzen). 31. Int. DSK: Entschließung Internationale Standards zum Schutz der Privatsphäre (Madrid-Resolution), Madrid November 2009, abrufbar unter: http://www.bfdi.bund.de/ SharedDocs/Publikationen/Entschliessungssammlung/IntDSK/2009-MadridInternationaleStandards.pdf?__blob=publicationFile&v=1 (zit.: 31. Int. DSK, Internationale Standards). 34. Int. DSK: Entschließung über die Zukunft des Datenschutzes, Lissabon Mai 2013, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ EuDSK/EntschliessungUeberDieZukunftDesDatenschutzesInEuropa.pdf?__blob= publicationFile (zit.: 34. Int. DSK, Zukunft des Datenschutzes). 35. Int. DSK: Ein Kompass in einer turbulenten Welt, Warschau September 2013, Entschließung zur Internationalen Koordinierung der Aufsichtstätigkeit, abrufbar unter: http://www.bfdi. bund.de/SharedDocs/Publikationen/Entschliessungssammlung/IntDSK/35. IDSKWarschau_EntschliessungZur%20InternationalenKoordinierungDerAufsichtstaetigkeit. pdf?__blob=publicationFile (zit.: 35. Int. DSK, Aufsichtstätigkeit). 35. Int. DSK: Ein Kompass in einer turbulenten Welt, Warschau September 2013, „Verankerung des Datenschutzes und des Schutzes der Privatsphäre im internationalen Recht“,
Verzeichnis sonstiger Quellen
399
abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/IntDSK/35.IDSKWarschau_ VerankerungDesDatenschutzesUndDesSchutzesDerPrivatsphaere.pdf?__blob= publicationFile (zit.: 35. Int. DSK, Verankerung des Datenschutzes). 35. Int. DSK: Ein Kompass in einer turbulenten Welt, Warschau September 2013, Entschließung zur Profilbildung, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/ EN/InternationalDS/2013_35.IDSKWarschau_ResolutionOnProfiling.pdf?__blob= publicationFile (zit.: 35. Int. DSK, Profilbildung). internet.org: A Focus on Efficiency – A whitepaper from Facebook, Ericsson and Qualcomm, 16. 09. 2013, abrufbar unter: https://fbcdn-dragon-a.akamaihd.net/hphotos-ak-ash3/ 851560_196423357203561_929747697_n.pdf (zit.: internet.org, Efficiency). IW: TTIP: Mehr als Handelsliberalisierung, Köln 2014, abrufbar unter: http://www.iwkoeln.de/_ storage/asset/184326/storage/master/file/5189000/download/PolicyPaper%20TTIP_end %20(3).pdf (zit.: IW, TTIP). IWGDPT: Gemeinsamer Standpunkt zu Online-Profilen im Internet, 04./05. 05. 2000, abrufbar unter: http://www.datenschutz-berlin.de/content/europa-international/internationalworking-group-on-data-protection-in-telecommunications-iwgdpt/working-papers-andcommon-positions-adopted-by-the-working-group (zit.: IWGDPT, Standpunkt Online-Profile). IWGDPT: Bericht und Empfehlung zum Datenschutz in sozialen Netzwerkdiensten – „Rom Memorandum“, 04. 03. 2008, abrufbar unter: http://www.datenschutz-berlin.de/content/ europa-international/international-working-group-on-data-protection-intelecommunications-iwgdpt/working-papers-and-common-positions-adopted-by-theworking-group (zit.: IWGDPT, Rom Memorandum). JFF: Persönliche Informationen in aller Öffentlichkeit? Jugendliche und ihre Perspektive auf Datenschutz und Persönlichkeitsrechte in Sozialen Netzwerkdiensten – Teilstudie im Rahmen der Untersuchung „Das Internet als Rezeptions- und Präsentationsplattform für Jugendliche“ im Auftrag der Bayerischen Landeszentrale für neue Medien (BLM), München 2010 (zit.: JFF, Persönliche Informationen). Jernigan, Carter/Mistree, Behram: Gaydar: Facebook friendships expose sexual orientation, 14 First Monday (2009), abrufbar unter: http://firstmonday.org/article/view/2611/2302. JI-Rat: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) – Vorbereitung einer allgemeinen Ausrichtung 9565/15, 2012/0011 (COD) vom 11. 06. 2015, abrufbar unter: http://data. consilium.europa.eu/doc/document/ST-9565-2015-INIT/de/pdf (zit.: JI-Rat, Ausrichtung zum DS-GVO-E). Kamp, John: Sorrell v. IMS: What Marketing Professionals Need to Know, CHC 18. 07. 2011, abrufbar unter: http://www.cohealthcom.org/2011/07/18/sorrell-v-ims-what-marketingprofessionals-need-to-know (zit.: Kamp, CHC 18. 07. 2011). Kaplan, Fred: The NSA Debate We Should Be Having, Slate 08. 06. 2015, abrufbar unter: http:// www.slate.com/articles/news_and_politics/war_stories/2015/06/the_national_security_ agency_s_surveillance_and_the_usa_freedom_act_the.html (zit.: Kaplan, Slate 08. 06. 2015). Kelley, Patrick G.: A „Nutrition Label“ for Privacy, Carnegie Mellon, The CyLab Usable Privacy & Security Laboratory 2010, abrufbar utner: http://src.acm.org/2010/PatrickGageKelley/ SRCPGK/SRCPGK/ (zit.: Kelley, Privacy Label).
400
Verzeichnis sonstiger Quellen
Kosinski, Michal/Stillwell, David/Graepel, Thore: Private traits and attributes are predictable from digital records of human behavior, 110 PNAS 5802 – 5805 (2013), abrufbar unter: http://www.pnas.org/content/110/15/5802.full. Kraska, Sebastian: Datenschutz-Tagung: Aktualisierung von Safe Harbor in Sicht?, 06.05.15, abrufbar unter: http://www.datenschutzbeauftragter-online.de/datenschutz-tagungaktualisierung-safe-harbor/8747/ (zit.: Kraska, Safe Harbor 06.05.15). Lares Institute: Social Media: Understanding User Patterns and Compliance Issues, 2011, abrufbar unter: http://www.laresinstitute.com/wp-content/uploads/2012/02/SocialMedia.pdf (zit.: Lares Institute, Social Media). Leon, Pedo G./Ur, Blase/Wang, Yang/Sleeper, Manya/Balebako, Rebecca/Shay, Richard/Bauer, Lujo/Christodorescu, Mihai/Cranor, Lorrie F.: What Matters to Users? Factors that Affect Users’ Willingness to Share Information with Online Advertisers, Newcastle 2013, abrufbar unter: https://cups.cs.cmu.edu/soups/2013/proceedings/a7_Leon.pdf (zit.: Leon et al., What Matters). LfD Berlin: TB 2013, abrufbar unter: http://www.datenschutz-berlin.de/content/ veroeffentlichungen/jahresberichte/bericht-13. LfD BW: 31. TB 2012/2013, abrufbar unter: http://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/. Marvan, Peter: GMX und Web.de vereinbaren Zusammenarbeit mit Facebook, ZDnet 25. 08. 2009, abrufbar unter: http://www.zdnet.de/41501779/gmx-und-web-devereinbaren-zusammenarbeit-mit-facebook/ (zit.: Marvan, ZDnet 25. 08. 2009). Masing, Johannes: Ein Abschied von den Grundrechten, SZ 09. 01. 2012 (zit.: Masing, SZ 09. 01. 2012). Microsoft: Bewusstseinswandel im Datenschutz, Unterschleißheim 30. 02. 2009, abrufbar unter: http://www.techfiles.de/presse/pdf/090120%20Datenschutzstudie%2016-Seiter% 20RZV.indd.pdf (zit.: Microsoft, Bewusstseinswandel). Miller, Russell/Poscher, Ralf: Kampf der Kulturen, FAZ 29. 11. 2013 (zit.: Miller/Poscher, FAZ 29. 11. 2013). MIT/IViR: EU and US privacy experts in search of transatlantic privacy solutions, press release 28./29. 04. 2014, abrufbar unter: https://ipp.mit.edu/sites/default/files/documents/ privacy-bridges-launch-release.pdf (zit.: MIT/IViR, Release: Transatlantic Privacy). Morales, Lymari: U.S. Internet Users Ready to Limit Online Tracking for Ads, Gallup 21. 12. 2010, abrufbar unter: http://www.gallup.com/poll/145337/Internet-Users-Ready-Limit-OnlineTracking-Ads.aspx (zit.: Morales, Gallup 21. 12. 2010). NAI: The Value of Behavioral Targeting, 2010, abrufbar unter: http://www.networkadvertising. org/pdfs/Beales_NAI_Study.pdf (zit.: NAI, Value). NAI: NAI Code of Conduct, 2015, abrufbar unter: http://www.networkadvertising.org/sites/ default/files/NAI_Code15encr.pdf (zit.: NAI, Code of Conduct 2015). OECD: Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy, 2007, abrufbar unter: http://www.oecd.org/internet/ieconomy/38770483.pdf (zit.: OECD, Cross-border). Parr, Ben: Social Media and Privacy: Where Are We Two Years After Facebook News Feed?, mashable 08. 09. 2008, abrufbar unter: http://mashable.com/2008/09/08/social-mediaprivacy-news-feed/ (zit.: Parr, mashable 08. 09. 2008). Peterson, Andrea: The White House’s draft of a consumer privacy bill is out – and even the FTC is worried, Washington Post 27. 02. 2015, abrufbar unter: https://www.washingtonpost.
Verzeichnis sonstiger Quellen
401
com/blogs/the-switch/wp/2015/02/27/the-white-houses-draft-of-a-consumer-privacy-billis-out-and-even-the-ftc-is-worried/ (zit.: Peterson, Washington Post 27. 02. 2015). PewInternet – Smith, Aaron: Why Americans use Social Media – Social networking sites are appealing as a way to maintain contact with close ties and reconnect with old friends, Washington/D.C. 2011, abrufbar unter: http://www.pewinternet.org/files/old-media/Files/ Reports/2011/Why%20Americans%20Use%20Social%20Media.pdf (zit.: PewInternet, Americans & Social Media). PewInternet – Madden, Mary: Privacy Management on Social Media Sites, Washington/D.C. 2012, abrufbar unter: http://www.pewinternet.org/files/old-media/Files/Reports/2012/ PIP_Privacy_management_on_social_media_sites_022412.pdf (zit.: PewInternet, Privacy Management). PewInternet – Madden, Mary/Lenhart, Amanda/Cortesi, Sandra/Gasser, Urs/Duggan, Maeve/Smith, Aaron/Beaton, Meredith: Teens, Social Media and Privacy, Washington/D.C. 2013, abrufbar unter: http://www.pewinternet.org/files/2013/05/PIP_ TeensSocialMediaandPrivacy_PDF.pdf (zit.: PewInternet, Teens). PewInternet – Duggan, Maeve/Ellison, Nicole B./Lampe, Cliff/Lenhart, Amanda/Madden, Mary: Social Media Update 2014, Washington/D.C. 2015, abrufbar unter: http://www. pewinternet.org/files/2015/01/PI_SocialMediaUpdate20144.pdf (zit.: PewInternet, Social Media 2014). Pblog Pingdom Royal – Tech Blog: How many sites have Facebook integration? You’d be surprised, 18. 06. 2012, abrufbar unter: http://royal.pingdom.com/2012/06/18/how-manysites-have-facebook-integration-youd-be-surprised/ (zit.: Pblog, Facebook integration). PreferenceCentral – Lendenmann, Karl W.: Consumer Perspectives on Online Advertising – 2010, abrufbar unter: http://de.slideshare.net/mfredactie/preference-centralsurveyfullreport (zit.: PreferenceCentral, Online Advertising). Prevezanos, Christoph: Computer Lexikon 2013 – Extra: Alles zu Smartphone und Tablet, München 2012. Raice, Shayndi: Facebook to Target Ads Based on App Usage, WSJ 06. 07. 2012, abrufbar unter: http://online.wsj.com/article/SB10001424052702304141204577510951953200634.html (zit.: Raice, WSJ 06. 07. 2012). Rodgers, Zach: Product Manager David Baser on Facebook’s Attribution Roadmap, adexchanger 23. 01. 2013, abrufbar unter: http://adexchanger.com/social-media/productmanager-david-baser-on-facebooks-attribution-roadmap/ (zit.: Rodgers, adexchanger 23. 01. 2013). Römermann, Stefan: Streit um Stiftung Datenschutz, Deutschlandfunk 31. 01. 2013, abrufbar unter: http://www.deutschlandfunk.de/streit-um-stiftung-datenschutz.697.de.html?dram: article_id=236006 (zit.: Römermann, Deutschlandfunk 31. 01. 2013). Rosen, Jeffrey: The Web Means the End of Forgetting, N. Y. Times Magazine, 21. 07. 2010, abrufbar unter: http://www.nytimes.com/2010/07/25/magazine/25privacy-t2.html (zit.: Rosen, N. Y. Times 21. 07. 2010). Schaar, Peter: EuGH zu Safe Harbour: Kein Grundrechterabatt beim internationalen Datentransfer, Europäische Akademie für Informationsfreiheit und Datenschutz (EAID), 06. 10. 2015, abrufbar unter: http://www.eaid-berlin.de/?p=789 (zit.: Schaar, EAID 06. 20. 2015). Schmidt, Jürgen: 2 Klicks für mehr Datenschutz, c’t 01. 09. 2011, abrufbar unter: http://www. heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (zit.: Schmidt, c’t 01. 09. 2011).
402
Verzeichnis sonstiger Quellen
Scism, Leslie/Maremont, Mark: Insurers Test Data Profiles to Identify Risky Clients, Wall St. J. 19. 11. 2010, abrufbar unter: http://online.wsj.com/news/articles/ SB10001424052748704648604575620750998072986 (zit.: Scism/Maremont, Wall St. J. 19. 11. 2010). Sengupta, Somini: No U.S. Action, So States Move on Privacy Law, N. Y. Times 30. 10. 2013, abrufbar unter: http://www.nytimes.com/2013/10/31/technology/no-us-action-so-statesmove-on-privacy-law.html?pagewanted=all&_r=1 (zit.: Sengupta, N. Y. Times 30. 10. 2013). SH LT: Umdruck 17/2684 – Facebook Germany GmbH, Sitzungsvorlage für die 69. Sitzung des Innen- und Rechtsausschusses am 7. September 2011 zu TOP 1 der Tagesordnung: „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ 07. 09. 2011, abrufbar unter: http://www.landtag.ltsh.de/infothek/wahl17/umdrucke/2600/umdruck-172684.pdf (zit.: SH LT, Umdruck 17/2684). Singer, Natasha: White House Proposes Broad Consumer Data Privacy Bill, N. Y. Times 27. 02. 2015, abrufbar unter: http://www.nytimes.com/2015/02/28/business/white-houseproposes-broad-consumer-data-privacy-bill.html?_r=1 (zit.: Singer, N. Y. Times 27. 02. 2015). Sistrix: Verbreitung von Google +, 02. 08. 2011, abrufbar unter: http://www.sistrix.de/news/ verbreitung-von-google-plus/ (zit.: Sistrix, Verbreitung). Somaiya, Ravi/Isaac, Mike/Goel, Vindu: Facebook May Host News Sites’ Content, N. Y. Times 23. 03. 2015, abrufbar unter: http://www.nytimes.com/2015/03/24/business/media/ facebook-may-host-news-sites-content.html (zit.: Somaiya/Isaac/Goel, N. Y. Times 23. 03. 2015). Staff of Senate Committee on Commerce, Science, and Transportation: A Review of the Data Broker Industry, Collection, Use and Sale of Consumer Data for Marketing Purposes, 113th Cong., 18. 12. 2013, abrufbar unter: http://www.commerce.senate.gov/public/?a=Files.Ser ve&File_id=0d2b3642-6221-4888-a631-08f2f255b577 (zit.: Staff of S. Comm. on Commerce, Science, and Trans., Data Broker). statista: Number of social network users worldwide from 2010 to 2018, abrufbar unter: http:// www.statista.com/statistics/278414/number-of-worldwide-social-network-users/. statista: Anzahl der aktiven Nutzer von Facebook in Deutschland von Januar 2010 bis Mai 2014, abrufbar unter: http://de.statista.com/statistik/daten/studie/70189/umfrage/ nutzer-von-facebook-in-deutschland-seit-2009/ (zit.: statista, Anzahl der aktiven Nutzer). statista: Welche drei Möglichkeiten nutzt Du am häufigsten, um Dich mit Deinen Freunden zu unterhalten oder im Kontakt zu bleiben?, Umfrage zu den Kommunikationsmitteln von Jugendlichen in Deutschland 2014, abrufbar unter: http://de.statista.com/statistik/daten/ studie/419774/umfrage/kommunikationsmittel-von-jugendlichen-in-deutschland/ (zit.: statista, Kontakt). Story, Louise/Stone, Brad: Facebook Retreats on Online Tracking, N. Y. Times 30. 11. 2007, abrufbar unter: http://www.nytimes.com/2007/11/30/technology/30face.html, (zit.: Story/Stone, N. Y. Times 30. 11. 2007). Stresing, Laura: Ein individueller Preis für jeden, Tagesspiegel 18. 06. 2013, abrufbar unter: http://www.tagesspiegel.de/medien/digitale-welt/verbraucherschutz-ein-individuellerpreis-fuer-jeden/8353500.html (zit.: Stresing, Tagesspiegel 18. 06. 2013). SZ.de: US-Kongress stimmt für Geheimdienstreform, 02. 07. 2015, abrufbar unter: http://www. sueddeutsche.de/politik/nsa-spionage-us-kongress-stimmt-fuer-geheimdienstreform-1. 2505194 (zit.: SZ.de, 02. 07. 2015).
Verzeichnis sonstiger Quellen
403
TACD: Resolution on Social Networking, 2010, abrufbar unter: http://tacd.org/index.php? option=com_docman&task=doc_download&gid=265&Itemid= (zit.: TACD, Social Networking). TRUSTe: Report Reveals Consumer Awareness and Attitudes About Behavioral Targeting, 26. 03. 2008, abrufbar unter: http://www.truste.org/about/press_release/03_26_08.php (zit.: TRUSTe, Attitudes). TRUSTe: TRUSTe Data Privacy Management Solutions, 2013, abrufbar unter: https://www.truste. com/window.php?url=https://download.truste.com/TVarsTf=9GEA1GX6-488 (zit.: TRUSTe, Privacy Solutions). TRUSTe: Transparency Report: 2013, abrufbar unter: https://www.truste.com/window.php?url= https://download.truste.com/TVarsTf=3L0AXBJ0-470. TRUSTe: Enterprise Privacy Certification Standards, 12. 03. 2015, abrufbar unter: https://www. truste.com/privacy-certification-standards/program-requirements/ (zit.: TRUSTe, Certification Standards). ULD/TU Dresden: Verkettung digitaler Identitäten – Untersuchung im Auftrag des Bundesministeriums für Bildung und Forschung, Kiel 2007, abrufbar unter: https://www. datenschutzzentrum.de/projekte/verkettung/2007-uld-tud-verkettung-digitaleridentitaeten-bmbf.pdf (zit.: ULD/TU Dresden, Verkettung digitaler Identitäten). ULD: Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 19. 08. 2011, abrufbar unter: https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (zit.: ULD, Reichweitenanalyse). ULD: Wer ist datenschutzrechtlich verantwortlich für Facebook-Fanpages und Social Plugins?, 30. 09. 2011, abrufbar unter: https://www.datenschutzzentrum.de/facebook/20110930facebook-verantwortlichkeit.pdf (zit.: ULD, Verantwortlichkeit Fanpages). ULD: Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics, 2009, abrufbar unter: https://www.datenschutzzentrum.de/tracking/20090123_GA_stellungnahme.pdf (zit.: ULD, Google Analytics). ULD: Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik“, 15. 03. 2011, abrufbar unter: https://www.datenschutzzentrum.de/tracking/piwik/20110315webanalyse-piwik.pdf (zit.: ULD, Piwik). ULD: Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG) gegenüber Facebook Inc. – Sperrung von Nutzerkonten und Aufforderung an Nutzer zur Eingabe von Echtdaten durch Facebook Anordnung Klarnamenpflicht, Kiel 14. 12. 2012, abrufbar unter: https://www.datenschutzzentrum.de/facebook/20121214-anordnung-fb-inc.html (zit.: ULD, Anordnung Klarnamenpflicht). ULD: 34. TB, Kiel 2013, abrufbar unter: https://datenschutzzentrum.de/tb/tb34/uld-34taetigkeitsbericht-2013.pdf. ULD: 35. TB, Kiel 2015, abrufbar unter: https://datenschutzzentrum.de/tb/tb35/uld-35taetigkeitsbericht-2015.pdf. ULD: Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14, 14. 10. 2015, abrufbar unter: https://www.datenschutzzentrum. de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf (zit.: ULD, Positionspapier 14. 10. 2015). UNCTAD: Information Economy Report 2009 – Trends and Outlook in Turbulent Times, New York/Geneva 2009, abrufbar unter: http://unctad.org/en/Docs/ier2009_en.pdf (zit.: UNCTAD, Information Economy Report 2009).
404
Verzeichnis sonstiger Quellen
unwatched.org: Tracking: Pharmakonzerne durchkämmen soziale Netzwerke nach „kranken“ Kunden, 21. 12. 2013, abrufbar unter: https://www.unwatched.org/20131221_ Pharmakonzerne_durchkaemmen_soziale_Netzwerke_nach_kranken_Kunden (zit.: unwatched.org, Tracking). Verbraucherkommission BW: Positionspapier „Soziale Netzwerke: Recht auf Privatheit ernst nehmen! Vielfalt fördern!“, 22. 09. 2011, abrufbar unter: http://www. verbraucherkommission.de/servlet/PB/show/2921740/11_09_22%20Positionspapier% 20Verbraucherkommission%20Soziale%20Netzwerke%2022-09-11.pdf (zit.: Verbraucherkommission BW, Soziale Netzwerke). vzbv: Behavioral Economics – eine neue Grundlage für Verbraucherpolitik?, Berlin 2008, abrufbar unter: http://www.vzbv.de/sites/default/files/mediapics/studie_behavioral_ economics_12_2008.pdf (zit.: vzbv, Behavioral Economics). WD BT: Die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook Fanpages und Social-Plugins – Zum Arbeitspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, 07. 10. 2011, abrufbar unter: https://www. datenschutzzentrum.de/facebook/material/WissDienst-BT-Facebook-ULD.pdf (zit.: WD BT, Fanpages). WD LT SH: „Facebook-Kampagne“ des ULD, Schleswigholsteinischer Landtag Umdruck 17/2988, 24. 10. 2011, abrufbar unter: http://www.landtag.ltsh.de/infothek/wahl17/ umdrucke/2900/umdruck-17-2988.pdf (zit.: WD LT SH, Facebook-Kampagne). White House: Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, Februar 2012, abrufbar unter: http://www.whitehouse.gov/sites/default/files/privacy-final.pdf (zit.: White House, Consumer Data Privacy (2012)). White House: Big Data: Seizing Opportunities, Preserving Values, Mai 2014, abrufbar unter: http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_may_1_ 2014.pdf (zit.: White House, Big Data). Zschunke, Peter: Ist Privatsphäre noch zeitgemäß?, stern 24. 03. 2011, abrufbar unter: http:// www.stern.de/digital/online/post-privacy-debatte-ist-privatsphaere-noch-zeitgemaess1667312.html (zit.: Zschunke, stern 24. 03. 2011).
Sachregister Algorithmen 35 – 38, 79 – 81, 83, 221, 340, 350 App 27, 40, 131, 253 f., 260 f., 271 Audit 28 f., 124, 173, 202 f., 252, 254, 301, 332 f. Aufsichtsbehörde 184 f., 187 f., 193, 197 – 202, 209, 249, 273, 294, 306 f., 313, 315, 320 f., 326 f., 329 – 332, 350, 354 – 357 Auskunftei 2, 42, 75, 162, 180, 246, 338 Aussagekraft 32, 34, 39, 46, 53, 62, 93, 103, 175, 206, 232 Beacon 12, 47, 245 Bewertungsportal 158 Big Data 34 f., 43, 62, 108, 353 f. Binding Corporate Rules 188, 193, 200 f., 320 Brussels Effect 6, 314 Compliance 291, 314 f., 329 f., 332 f. Consumer Privacy Bill of Rights Act 295 – 304, 325 f., 328, 333, 335 – 338, 340, 350, 352, 355 f. Cookie 28 – 30, 128, 136 f., 148 f., 156, 166, 168, 177 f., 239, 243 f., 286 f., 313 Data Mining 35 f., 43, 108, 111, 207, 227, 341 Datenportabilität 172, 208, 358 Datenschutzbehörde s. Aufsichtsbehörde Datenschutzerklärung 55 f., 168, 173, 175, 178, 182, 189 f., 192, 207, 249, 254, 256 – 260, 262, 269, 271, 276, 291, 313, 320, 322 – 324, 340, 342 – 346, 353 Datensparsamkeit 155, 165, 289, 293 Default s. Voreinstellung Design 45, 58 – 60, 108 f., 257, 261, 266, 269, 344, 351, 357 Do-not-track 177 f., 259, 271, 296 – s. a. Tracking Doubleclick-Entscheidung 243, 247, 278 Dwyer v. Am. Express Co. 273, 275 f., 278 – 280
Fair Information Practice Principles 215 f., 249, 290 f. Fanseite 27, 33 Fingerprinting 139, 149 Framing 58, 208, 357 Freundefinder 12, 23, 31, 33, 118 f., 124 – 126, 129, 168, 173, 178, 241, 245, 313 Freundesliste 17 – 19, 25, 33, 41 f., 236 Global Privacy Enforcement Network 306 Google Spain-Urteil 72, 120, 123, 126 f., 129, 131, 312 f. Griswold v. Connecticut 217, 234 Gütesiegel 200 – 202, 289 – 291, 305, 329, 331 – 333, 357 Hill v. National Collegiate Athletic Assn. 237 f. Insights 41, 75 f., 121, 134, 158, 246 Interoperabilität 10, 295 f., 304 f., 307, 311, 314, 316 f., 354 IP-Adresse 27, 33, 106, 135 – 140, 152, 243 f., 258, 287 Katz v. United States 227 f. 2-Klick-Lösung 149 f., 179, 342 Knowledge Discovery in Databases 35 – 39, 174, 347 Konvergenz 2, 6, 8, 309 Koppelungsverbot 169 – 171, 208, 288 Like Button 2, 9, 30, 45, 78, 108, 131, 135 f., 138, 149, 151, 169, 265, 349 – s. a. Social Plugin Logfile 27 – 31, 34, 132, 136 – 140, 143, 146, 148 f., 151 Löschanspruch 180, 187, 272, 300, 350 Löschfrist 102, 113, 155, 208, 272, 287, 289, 293, 299, 351 Löschpflicht 116, 148, 155 f., 164 f., 208, 293, 298, 351, 354 f.
406
Sachregister
Manipulation 34, 62, 91 f., 98, 111 Medienkompetenz 288, 357 Meinungsfreiheit 75, 77, 218 – 226 Mikrozensus 61, 67, 85 – 87, 111 f. Minderjährige 18, 23, 47, 53 – 55, 59, 118, 145 f., 167 f., 170 f., 204, 248, 253, 271 f., 303, 329, 358 Mitgliederzahl 4, 42, 52 Netzwerkeffekt 18, 78, 171 Newsfeed 12, 78 Nicht-Mitglied 30 f., 48, 136 f., 140, 155, 159 Nutzergenerierte Inhalte 22, 33, 120 f., 128 f., 132 f., 148, 158 f. Online Behavioural Advertisement 8, 44, 48 f., 52, 159, 203, 220 – 222, 226, 268, 284 – 287, 289 f., 293, 318 – s. a. Werbung Online-Durchsuchung 88 f., 91 – 98, 107, 109 f., 115 f. Opt-in 176, 267, 344 Opt-out 176, 267 f., 287 f., 290 f., 293, 344 Payback-Urteil 176 f. Personalisierung 38, 40, 44, 48 f., 51, 62, 115, 121, 259, 287, 346, 358 Personally Identifiable Information 270 f., 286, 291 Persönlichkeitsentfaltung 63, 84, 86, 90, 92 – 94, 109 – 112, 353 Pixel Tag 29 f., 37 f., 131, 135 f., 141 f., 157, 165, 169, 259 f., 276 Plattform 15, 17, 19, 23 f., 106 f., 130 f., 135, 141, 145, 158 f., 268 Privacy Label 344 – 349, 357 Privacy Shield 189, 192 – 194, 241, 250, 255, 266 – 268, 305 f., 312, 323 – 325, 337, 339, 355 Privatheitserwartung 93 f., 96, 98 f., 107, 109, 227 – 229, 232 – 234, 237 – 240, 262 f., 274 – 278, 280, 282 f., 340, 354 Profil 20 – 22, 25 f., 32, 35, 38, 43 – 45, 50, 55, 62 – 64 – Bewegungsprofil 24, 61, 103, 181 – Gruppenprofil 37 f., 40, 45, 160 – Individualprofil s. Nutzerprofil
– –
Langzeitprofil 35, 113, 150, 196 Nutzerprofil 17 – 19, 43, 62, 108, 134, 137 – Nutzungsprofil 28, 35, 108, 137, 141, 143 f., 148, 150 – 156, 166 f., 194, 206, 336 f. – Persönlichkeitsprofil 20 f., 39, 43, 85 f., 98, 113, 116, 150 f., 164 f., 196, 206, 208, 233, 240, 277 f., 339, 351, 354 Profiling 163 f., 174, 180 Profilseite 22, 24, 33, 40, 75 f., 156, 239, 245, 262, 266, 280 f., 340 Prognose s. Vorhersage Rationalität, begrenzte 55, 57 – 59, 347 f. Recht auf informationelle Selbstbestimmung 67, 88 – 91, 99, 105 f., 110 f., 114 – 116, 317, 349, 353 f. Reichweitenanalyse 41 Right to Information Privacy 226, 234 – 236 Safe Harbor 181 – 194, 241, 250, 253, 255, 266 – 269, 305 f., 312, 324, 337, 339, 341, 355 f. Sammelklage 243, 245, 247, 279, 282 SCHUFA 43, 64, 180, 350 Scoring 80, 163, 332 Shibley v. Time, Inc. 279 f. Single-Sign-On 31, 121, 132, 135, 141 Smith v. Maryland 230, 232 f. Social Plugin 30, 45, 135 f., 140 – 143, 149, 151, 155, 157, 159 f., 165, 169, 179, 223, 244, 259 f., 265 f., 276, 342, 349 – s. a. Like Button Sorrell v. IMS Health 218 – 222, 226 Sozialer Graph 16, 42, 61 Speicherdauer s. Löschfrist Sponsored Stories 12, 241, 279 Standardvertragsklauseln 188, 193, 320 Surfverhalten 22, 30, 36, 48 – 50, 109, 276 – s. a. Tracking Third-party doctrine 227, 229, 234, 238 f., 275, 280 Third-Party-Tool 131 f., 141 – 143, 148 – 150, 158 f., 286 f. – s. a. Social Plugin
Sachregister
Timeline 25, 31 Tracking 27, 29, 38, 45, 50, 108, 135 – 140, 142 f., 148 – 150, 166, 220, 227, 241, 245, 259, 268, 276, 278, 285, 287, 296, 313, 354 United States v. Jones 277 f., 283, 351
228 f., 232, 239 f.,
Vertraulichkeitserwartungen s. Privatheitserwartung Volkszählungsurteil 20, 61 – 63, 85 f., 88 – 91 Voreinstellung 162, 178, 257, 261, 264, 266, 337, 346, 351 Vorhersage 1, 34 – 38, 62, 111, 246 Vorratsdatenspeicherung 63, 70, 83 f., 86 f., 100 – 105, 113
407
Web 2.0 2 – 4, 8, 52, 145 Werbeanzeige 37, 39 f., 44, 76, 127, 158, 279, 290 Werbeeinnahmen 44, 158, 358 Werbekunde 2, 29, 32 f., 40 f., 44, 46, 81, 120, 222 – 224, 253, 286 Werbung 1, 4, 8 f., 132, 38, 40, 44, 48 – 52, 60, 64 – Direktwerbung 154 f., 267 f. – Kontextwerbung 285 Whalen v. Roe 234 – 236 Zertifizierung s. Gütesiegel Zweckbindung 100, 112 – 114, 153, 163, 188, 267