Alle News & Events anzeigen

30.09.2016

„Facebook & WhatsApp – Datenschutzrechtliche Anforderungen der Profilbildung“, in: Aus der Rechtspraxis

Eine Verwaltungsanordnung vom 27.09.2016 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegenüber Facebook es zu unterlassen Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern bringt das kritische Thema der Profilbildung in das Bewusstsein der Öffentlichkeit.

Die Verknüpfung von zuvor getrennt gespeicherten personenbezogener Datensätzen zu Profilen stellt Unternehmen seit jeher vor datenschutzrechtliche Herausforderungen. Nicht nur der Grundsatz der Datentrennung, der besagt, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt voneinander gespeichert werden müssen ist betroffen, sondern das viel wichtigere Prinzip des sog. Verbots mit Erlaubnisvorbehalt. Danach sind alle Datenverarbeitungen verboten, es sei denn sie sind durch eine Rechtsgrundlage legitimiert.

Welche Rechtsgrundlagen kommen in Betracht, wenn eine einzige verantwortliche Stelle oder auch konzernverbundenen Unternehmen die Synergien der Verknüpfung personenbezogener Daten nutzen möchten?

Primärdatenbanken sind dabei häufig solche, die von den Betroffenen über Erhebungsbögen ganz bewusst zu bestimmten Zwecken mit Daten befüllt wurden. Dies können im konkreten Fall Bewerberprofile für Recruiting Firmen oder Stammdaten für Mitgliedschaften in Vereinen sein. Sekundärquellen bieten sich zur Anreicherung der Primärdatenbanken an, da sie regelmäßig eher unbewusst von den Betroffenen mit personenbezogenen Daten angereichert wurden. Mitunter werden Datenfragmente wie ein Geburtsdatum, eine E-Mail-Adresse oder eine Telefonnummer sorglos in öffentlich abrufbaren Bereichen des Internet abgelegt. Sie werden dann häufig vergessen und als belanglos erachtet.

Belanglos sind personenbezogene Daten mitnichten, insbesondere nicht, wenn sie öffentlich abrufbar sind. Schon im Bundesverfassungsgerichtsurteil zur Volkszählung (Volkszählungsurteil) von 1983 (BVerfG, Urteil vom 15. Dezember 1983, BverfGE 65, 1 warnten die Richter und prägten folgenden Wertung:

... Dabei kann nicht allein auf die Art der Angaben abgestellt werden. Entscheidend sind ihre Nutzbarkeit und Verwendungsmöglichkeit. Diese hängen einerseits von dem Zweck, dem die Erhebung dient, und andererseits von den der Informationstechnologie eigenen Verarbeitungsmöglichkeiten und Verknüpfungsmöglichkeiten ab. Dadurch kann ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatischen Datenverarbeitung kein "belangloses" Datum mehr.

Aktuell wird der Versuch der Profilbildung von den Firmen Facebook und WhatsApp unternommen. Sie tun dies den Pressemeldungen zufolge in einer Art und Weise, wie sie zumindest rechtlich angreifbar erscheinen muss. So erging just am 27.09.2016 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit eine Verwaltungsanordnung gegen die deutsche Facebook Niederlassung in Hamburg. Facebook Hamburg wird darin als Betreiberin des deutschen Werbegeschäfts untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Die Frage der Anwendbarkeit des deutschen Datenschutzrechts wurde vertretbar positiv in Anlehnung der Entwicklung der Rechtsprechung des EuGH zur weiten Auslegung des Begriffs der Niederlassung beschieden. Eine effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung kann angenommen werden (vgl. Urteil vom 1.10.2015 – C-230/14 (Weltimmo/Nemzeti Adatvédelmi és Információszabadság Hatóság).

Interessant ist aber die Frage der Rechtsgrundlage für eine Übermittlung von Daten, soweit es überhaupt hierzu kam.

Müssen verantwortlichen Stellen wie Facebook und WhatsApp tatsächlich die Nutzer "um Erlaubnis fragen", ob die gespeicherten personenbezogenen Daten verknüpft werden dürfen? Mit der Einholung einer Einwilligung sind hohe formale Anforderungen verbunden (vgl. § 4a BDSG) die kumulativ erfüllt sein müssen. Erklärungen müssen informiert, freiwillig, schriftlich und widerruflich ergehen.

Wie steht es um andere Rechtsgrundlagen für die Verknüpfung personenbezogener Daten. Sind nicht ohnehin ein Großteil der Daten allgemein zugänglich im Sinne des § 28 Abs. 1 S. 1 Nr. 3 BDSG? Hierunter fallen all jene Daten aus Informationsquellen,die sich sowohl ihrer technischen Ausgestaltung als auch ihrer Zielsetzung nach dazu eignen, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln. Es bestehen unterschiedliche Meinungen darüber inwieweit die Auffindbarkeit im Internet über Suchmaschinen die allgemeine Zugänglichkeit begründet oder auch schon ein für jedermann durchführbares Anmeldeverfahren (z.B. Login bei WhatsApp oder Facebook) ausreicht.

Die Möglichkeiten der Unternehmen Rechtgrundlagen für die legitime Datenverknüpfung zu finden, sind mit der ab Mai 2018 zu beachtenden DS-GVO sicherlich neu zu bewerten.

Der im BDSG geprägte Rechtsbegriff des sog. "allgemein zugänglichen Datums" findet sich in der DS-GVO nicht mehr. Die DS-GVO verfolgt aber einen ähnlichen Ansatz der Legitimation in Art. 9 Abs. 2 lit. e) wonach für besondere personenbezogene Daten die Ausnahme vom Verarbeitungsverbot nicht gilt, wenn folgende Fallgestaltung vorliegt:

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

Der unbestimmte Rechtsbegriff des "offensichtlich öffentlich machen" ist auszulegen und wird nach dem Wortlaut und dem Sinn und Zweck sicherlich auch die Auffassung stützen können, dass die Speicherung personenbezogener Daten in sozialen Netzwerken, die sich gerade über den hohen Grad der Verbreitung, sprich "Öffentlichkeit" definieren, hierunter subsumiert werden können. Die vom Betroffenen selbst durchgeführte Anlage eines Profils könnte bereits als Akt der Veröffentlichung erachtet werden. Die Tatsache, dass der Verordnungsgeber in Art. 9 eine Regelung nur für die Kategorie der besonderen personenbezogenen Daten getroffen hat, lässt den Umkehrschluss zu, dass dies jedenfalls auch für alle anderen personenbezogenen Daten gelten muss.

Es ist absehbar, dass sich künftig zentrale Diskussionen der Profilbildung um die Auslegung des Artikel 9 Abs. 2 lit. e) DS-GVO ranken werden, weil die Vorschrift der Wirtschaft interessante Chancen bietet.