Die Bedeutung der Einwilligung für den Datenschutz in sozialen ...

Der Hamburgische Beauftragte für
Datenschutz und Informationsfreiheit
Die Bedeutung der Einwilligung für den Datenschutz
in sozialen Netzwerken
Prof. Dr. Johannes Caspar
(Vortrag auf der Konferenz „Online Privacy: Consenting to your Future“, Malta, März 2013)
Ein Bericht aus der Behördenpraxis
Viele soziale Netzwerke machen ihre Geschäfte mit den Daten der Nutzer. Dies ist keine
Kritik, sondern eine Feststellung. Für die Nutzer sind ihre persönlichen Daten die
Eintrittskarte in die Welt der scheinbar grenzenlosen Kommunikation. Die kommerzielle
Auswertung von Nutzerdaten ermöglicht die Ausforschung des Verhaltens im Internet. Durch
die Verbindung von verschiedenen Datenquellen lassen sich detaillierte Profile einzelner
Personen erzeugen. Die Erhebung verschiedener Arten von Daten aus den
unterschiedlichsten Quellen im Zusammenhang mit der Nutzung von sozialen Netzwerken
kann letztlich zu Fremdbestimmung und informationeller Ausgrenzung führen. Hier droht der
irreversible Verlust, selbst über die Preisgabe und Verwendung der personenbezogenen
Daten entscheiden zu können.
Was ist nun die stärkste Waffe der Nutzer gegenüber einer datenschutzrechtlichen
Fremdbestimmung nach Registrierung in einem sozialen Netzwerk? Das zentrale Instrument
des Einzelnen ist seine individuelle Entscheidung als Ausdruck seiner Bestimmungsmacht,
was das Netzwerk seinen Informationen machen darf. So sollte es jedenfalls sein. In der
Praxis gibt es jedoch Probleme.
1. Opt-Out- und Opt-In-Strategien
Zu unterscheiden sind zwei Ansätze, die für den Diensteanbieter verschieden hohe
Voraussetzungen für die Datenerhebung bedeuten und daher besonderen
Präferenzen unterliegen. Das Opt-Out ist das Lieblingsmodell der Anbieter, da hier in
www.datenschutz-hamburg.de
E-Mail: mailbox@datenschutz.hamburg.de
Klosterwall 6 - D-20095 Hamburg - Tel.: 040 - 4 28 54 - 40 40 - Fax: 040 - 4 28 54 – 40 00
Vertrauliche Informationen sollten auf elektronischem Weg nur verschlüsselt an uns übermittelt werden.
Unser öffentlicher PGP-Schlüssel ist im Internet verfügbar (Fingerprint: 53D9 64DE 6DAD 452A 3796 B5F9 1B5C EB0E).

erster Linie der Nutzer selbst aktiv werden muss und die Verantwortung für die für ihn
passenden Einstellungen trägt. Das Opt-Out-Verfahren ermöglicht den
Diensteanbietern, die Voreinstellungen zum Schutz der Privatsphäre der Nutzer so zu
wählen, dass sie ihrem eigenen Geschäftszweck am besten gerecht wird. Es ist dann
Sache des Einzelnen, aktiv zu werden, um z.B. die Voreinstellungen zum Zwecke
eines verbesserten Datenschutzes zu seinen Gunsten zu ändern.
Das Opt-Out ist aus unterschiedlichen Gründen problematisch. Zunächst muss der
Nutzer die vom Anbieter vorgegebenen Prozesse der Datenverarbeitung dulden,
ohne sich im Einzelnen über die Tragweite bewusst sein zu können. Häufig wird im
Zuge seiner Registrierung, dessen Zustimmung zu den allgemeinen
Datenschutzbestimmungen zumeist unterstellt.
Denn in der Praxis sind die Datenschutz- und Nutzungsbestimmungen der sozialen
Netzwerke häufig unverständlich und weitgehend intransparent. Oft fehlen klare und
transparente Information der Nutzer, wie sie ihre Profileinstellungen möglichst
datenschutzkonform voreinstellen können.
Gerade mit Blick auf Kinder und Jugendliche sind die Vorgaben hier oft viel zu
komplex, so dass die Einsichtsfähigkeit für ein selbstverantwortliches
Datenschutzmanagement der Betroffenen häufig nicht vorhanden ist.
Die datenschutzrechtlichen Gefahren von Opt-Out-Lösungen können durch die
Beachtung des Grundsatzes privacy by default wesenlich abgemildert werden. Es ist
daher zu begrüßen, dass der Entwurf der EU- Datenschutz Grundverordnung künftig
in Artikel 23 eine eigene Vorschrift über die Pflicht zu datenschutzfreundlichen
Voreinstellungen vorsieht. Ob diese eher indirekte Regelung ausreicht, um Betreiber
von sozialen Netzwerken künftig dazu zu verpflichten, für die Nutzer das Maximum an
datenschutzfreundlichen Einstellungen vorzunehmen, wird sich zeigen. Dazu bedraf
es weiterer Anstrengungen. Vor allem im Bereich der rechtlichen Regulierung von
Technik.
Einen besseren Schutz genießen die Nutzer im Bereich von Opt-In-Verfahren. Hier
trägt der für die Verarbeitung Verantwortliche die Beweislast, dass die betroffene
Person ihre Einwilligung zur Datenverarbeitung erteilt hat. Ob eine wirksame
Einwilligung vorliegt, ist in der Praxis nicht immer eindeutig. Die Gesichtserkennung,
die durch die Facebook Inc. zunächst seit Ende 2010 in den USA, dann seit Mitte
2011 auch in Europa zur Ermöglichung von Markierungsvorschlägen für Nutzer
eingesetzt wird, zeigt dies deutlich.
2

Durch das biometrische Verfahren wird die Gesichtsbiometrie registrierter Personen
erfasst und automatisch ausgewertet. Facebook selbst hatte bei Einführung dieser
Funktion die Nutzer nicht darüber informiert, dass ihre Gesichter biometrisch
ausgewertet werden. Später wurde dann eine Möglichkeit zur Deaktivierung der
Funktion in den Privatsphäreeinstellungen geschaffen. Aufgrund des sich
entwicklenden Widerstands bei weiten Teilen der Nutzer, verbaucher- und
Datenschutzbehörden wies Facebook die Nutzer einmalig auf die Gesichtserkennung
und die Möglichkeit zur Deaktivierung hing.
Facebook war der Auffassung, damit alles Erforderliche getan zu haben, um eine
Einwilligung der Betroffenen herbeizuführen. Frei nach dem Motto: Wer nicht
deaktiviert, der willigt eben ein. Das Verhalten des Nutzers, die Gesichtserkennung
nicht zu deaktivieren, wird hier als Einwilligung gewertet.
Ich habe sehr deutlich darauf hingewiesen, dass das Unterlassen einer Handlung –
die Deaktivierung – nicht in eine Einwilligung des Nutzers umgedeutet werden kann.
Es hat sehr jedoch lange gedauert, bis Facebook diese - nicht von allen europäischen
Datenschutzbeauftragten - später aber auch von der Artikel 29-Gruppe geteilte
Rechtsauffassung akzeptiert hat.
So war es zunächst erforderlich, ein Verwaltungsverfahren mit einer anschließenden
Anordnung gegen Facebook zu erlassen, die darauf abzielte, dass Facebook eine
Einwilligung der Nutzer einholen oder aber die biometrischen Daten löschen musste.
Hierauf hat Facebook schließlich reagiert. Die Funktion der Gesichtserkennung
wurde eingestellt und die bis dahin gespeicherten Daten der Betroffenen gelöscht.
Dass eine Einwilligung künftig unzweifelhaft eine explizite Willensbekundung in Form
einer Erklärung oder einer sonstigen eindeutigen Handlung erfordert, macht nun auch
erfreulicherweise der Entwurf der EU-Datenschutzgrundverordnung deutlich.
Erlauben Sie mir noch eine kleine Anmerkung am Rande: Das gesamte behördliche
Verfahren um die ohne Einwilligung erfolgte Gesichtserkennung durch Facebook
zeigt deutlich das Dilemma des europäischen Datenschutzes: Hierfür verantwortlich
sind nicht nur unterschiedliche Meinungen über aufsichtsbehördliche Zuständigkeiten,
sondern auch unterschiedliche Auffassungen über die Auslegung europäischen
Rechts. Die EU-Datenschutzgrundverordnung (General data protection regulation)
lässt befürchten, dass die ausschließlich aufsichtsbehördliche Zuständigkeit der
Behörde am Ort der Hauptniederlassung des Verantwortlichen zu einem Forum-
Shopping der großen Internet-Konzerne führen wird. Diese werden auch unter dem
Gesichtspunkt der materiellen Auslegung und Vollzugs des Rechts vor Ort ihre
3

Sitzwahl treffen. Ein Race to the bottom droht. Es sollte daher darüber nachgedacht
werden, die beteiligten Aufsichtsbehörden insbesondere für den Fall eines
Untätigbleibens der federführenden Behörde mit einem Selbsteintrittsrecht unter
beratender Beteiligung des Europäischen Datenschutzausschusses auszustatten.
Dies würde verhindern, dass datenverarbeitende Unternehmen ihre
Hauptniederlassung künftig am Ort der vermeintlich schwächsten Aufsichtsbehörde
wählen.
2. Weitergabe personenbezogener Daten durch Dritte auf Veranlassung des Netzwerks
als Problem
Eine Besonderheit stellt die Weitergabe von Daten Dritter an den Netzwerkbetreiber
ohne eine Einwilligung der Betroffenen dar. Konkret ging es in der Vergangenheit
dabei um das sogenannte Friend-Findung-Verfahren von Facebook. Danach erhält
Facebook üver dritte Personen Daten, indem die Plattform die Nutzer dazu einlädt,
persönliche Kontakte, die beim Email-Provider oder auf dem Handy gespeichert sind,
Facebook zur Verfügung zu stellen. Facebook gleicht sodann die Kontaktdaten Dritter
gegen Daten von Facebook-Mitgliedern ab, um danach entweder die Einladung eines
Kontaktes in das Netzwerk bei Nicht-Facebook-Nutzern oder die Zusendung einer
Freundschaftswerbung innerhalb des Netzwerks bei Facebook-Nutzern
vorzuschlagen. Viele Personen fanden es zutiefst beunruhigend, von Facebook
angeschrieben zu werden, obwohl sie mit dem sozialen Netzwerk bislang gar nichts
zu tun hatten. Das von Facebook praktizierte Verfahren des Friend-Findung
ermöglicht es nicht nur für den eigenen Dienst Werbung bei Nichtnutzern zu treiben,
sondern auch durch großflächiges Auslesen von Adressbüchern Beziehungsprofile
unterschiedlicher Personen, die bei dem Netzwerk gar nicht angemeldet sind,
herzustellen.
Im Juli 2010 habe ich ein Bußgeldverfahren gegen Facebook Inc. wegen der
Erhebung, Speicherung und Nutzung der Daten von Nichtnutzern zu
Marketingzwecken ohne deren Einwilligung eingeleitet. Im Laufe dieses Verfahrens
ist es zu längeren Verhandlungen mit Facebook gekommen. Es konnte eine
Vereinbarung erzielt werden, durch die das Friend-Finding-Verfahren in vielen
Punkten europaweit datenschutzkonform umgestaltet wurde. Zu nennen sind in
diesem Zusammenhang folgende wesentliche Änderungen:
Facebook weist im Zusammenhang mit der Erhebung der Daten auf die
besondere Verantwortung der jeweiligen Nutzer für das Importieren der
Adresse und der Versendung einer Einladung hin.
4

Der Nutzer erhält ferner zur eigenständigen Verwaltung der importierten
Adressen ein Adressbuch, das ihm die eigenständige Adressverwaltung
ermöglicht. Damit ist den Nutzern selbst die Weitergabe der Adressen
zuzurechnen.
Zum Schutz von Nicht-Mitgliedern des Netzwerks, deren Daten im Rahmen
des Friend-Finding-Verfahren durch die Nutzer auf Facebook importiert
werden, hat Facebook akzeptiert, dass die Adressen nur zum Zweck der
Freundessuche verwendet werden dürfen.
Ferner ist der eingeladene Nicht-Facebook-Nutzer über einen Link in der
Einladung genau darüber zu informieren, welchen Hintergrund die
Übersendung der Einladung hat.
Schließlich wird ihm ein Opt-Out zur Verfügung gestellt, das dem Empfänger
die Gelegenheit gibt, der Verwendung seiner Email-Adresse für die
Freundessuche für die Zukunft zu widersprechen.
Die Entwicklung eines Opt-Out in diesem Zusammenhang – und nicht etwa einer
Einwilligung - erschien tragfähig, zumal die Adressweitergabe an Facebook eben auf
Geheiß der Nutzer selbst erfolgt und insoweit eine datenschutzrechtliche
Verantwortlichkeit von Facebook nicht besteht.
Damit ist es auch beim Friend-Finding-Verfahren gelungen, Facebook europaweit auf
ein verändertes Verfahren festzulegen, das den Anforderungen des Datenschutzes
entspricht.
3. Fazit
Abschließend bleibt festzustellen, dass in der Vergangenheit Probleme mit der
Einwilligung gerade bei der Nutzung von Facebook durch den Einsatz rechtlicher
Instrumente, aber ohne gerichtliche Auseinandersetzungen beigelegt werden konnten.
Es zeigt sich, dass die Frage der Einwilligung sehr vielgestaltig ist. Künftig ist durch die
EU-Datenschutzverordnung eine materielle Stärkung des Datenschutzrechts zu
erwarten. Dies gilt für die explizite Einwilligung wie auch für den Grundsatz privacy by
default. Ob dies auch beim Rechtsvollzug gilt, ist angesichts des bürokratischen
Kohärenzverfahrens und der ausschließlichen Zuständigkeit der Aufsichtsbehörde am
Ort der Hauptniederlassung noch fraglich. Hier ist ein tragfähiges Modell, etwa auf der
Basis eines Selbsteintrittsrechts von Aufsichtsbehörden, zu fordern. Nur so wird sich eine
einheitlicher an an einem hohen Standard des Datenschutzes ausgerichteter
Rechtsvollzug künftig absichern lassen.
5