Facebook

Das VG Hannover, Urteil vom 27.11.2019,Az.: 10 A 820/19  hat entschieden, dass die Veröffentlichung eines Fotos auf der Facebook-Fanpage  einer Partei einen Verstoß gegen die Vorschriften der DSGVO darstellt.

Die Partei hatte auf Ihrer Facebook-Fanpage  Fotos von einer Veranstaltung (ca. 70 Personen) online gestellt.  Die zuständige Datenschutzbehörde sah hierin einen Verstoß gegen die DSGVO. Da die Partei das Bild aber entfernt hatte sprach die Behörde lediglich eine Verwarnung aus.

Hiergegen wehrte sich die Partei und reichte Klage ein, welche vom VG Hannover nun abgelehnt wurde.

Zunächst wies das Gericht darauf hin, dass es dahinstehen könne, ob hier §§ 22, 23 KUG oder die DSGVO zur Anwendung kämen, da die Handlung in beiden Fällen nicht erlaubt gewesen sei.

Die Veröffentlichung  des Fotos sei zwar grds. gemäß § 23 Abs.1 Nr.3 KUG erlaubt. Vorliegend standen aber der Veröffentlichung die berechtigten Interessen der Eheleute S nach § 23 Abs.2 KUG entgegen.

Aus dem gleichen Grunde scheitere die Datenverarbeitung nach Art. 6 Abs.1 f) DSGVO, da auch in dieser Konstellation die berechtigten Interessen der abgelichteten Person überwiegen würden.

Bei dem Urteil handelt es sich aber um eine Einzelfallentscheidung.  Eine Verletzung des Rechts am eigenen Bild liegt nicht immer zwangsläufig vor, wenn Fotos der Teilnehmer von öffentlichen Veranstaltungen ohne deren Einwilligung verwendet werden. Es muss immer der Einzelfall betrachtet werden.

Grds gilt, dass sofern keine Einwilligung des Abgebildeten vorliegt, idie Verbreitung seines Bildes nur erlaubt ist, wenn das Bild dem Bereich der Zeitgeschichte oder einem der weiteren Ausnahmetatbestände des § 23 Abs. 1 KUG positiv zuzuordnen ist und berechtigte Interessen des Abgebildeten nicht verletzt werden (§ 23 Abs. 2 KUG).

Als ob das Urteil des europäischen Gerichtshofes, welches vor ein paar Tagen bereits die Runde gemacht hat, nicht genug wäre. Der EuGH hat unlängst entschieden, dass Betreiber von Fanpages bei Facebook in gleichem Maße datenschutzrechtlich verantwortlich sind, wie Facebook selbst. Das Urteil ist für sich genommen schon harter Tobak für alle Fanpagebetreiber, vor allem weil es unerheblich ist, wer hinter den Fanpages steht. Durch das Urteil wird jeder auf Augenhöhe mit Facebook gehoben, egal ob Anwalt, Sportverein oder der Bäcker von nebenan. Das Urteil unterstellt latent, dass jeder, der eine Facebook-Fanpage betreibt, den gleichen Datenhunger haben müsse, wie Facebook. Ob das tatsächlich der Fall ist, dürfte mehr als zweifelhaft sein.

Hinzu kommt, dass Fanpagebetreiber zwangsläufig selbst Mitglieder von Facebook sein müssen, um eine solche Fanpage überhaupt zu erstellen. Sie sind somit aus datenschutzrechtlicher Sicht sowohl Betroffene, als jetzt auch Verantwortliche. Ihnen wurden jetzt die gleichen Pflichten aufgetragen, wie Facebook. Der Unterschied ist jedoch: Fanpagebetreiber haben nicht die gleichen Mittel, um diesen Pflichten nachzukommen. Als Mitglieder von Facebook haben sie kaum bessere Möglichkeiten, Angaben darüber zu machen, welche Daten der Fanpagebesucher (selbst der Besuch von Nicht-Facebook-Mitgliedern genügt) gesammelt und verarbeitet werden. Diese Vorgänge verbleiben weiterhin bei Facebook, sodass Fanpagebetreiber jetzt auf Facebook angewiesen sind, um rechtskonforme Angaben machen zu können. Ob sich Facebook hierzu wird bewegen lässt, darf bezweifelt werden. Schließlich hat Facebook kaum Anreiz, sich in die Karten schauen zu lassen. Die Folge: Fanpagebetreiber können ihre Pflichte nicht erfüllen und bleiben auf der Strecke.

Die Entschließung der Konferenz der unabhängigen Datenschutzbehörden vom 06.06.2018 legt jetzt noch einen drauf. Sie begrüßt das Urteil des EuGH mit der fulminanten Überschrift „Die Zeit der Verantwortungslosigkeit ist vorbei“.

Starke Worte, die leider zeigen, dass die Konferenz das ganze Ausmaß des Urteils nicht ganz verstanden zu haben scheint. Bereits jetzt zeichnet sich ab, dass die neue DSGVO kaum wird erreichen können, was sie sich vorgenommen hat. Die wirklichen Datenkraken lächeln müde, nehmen sich gut bezahlte Anwälte und nutzen ihre Systemrelevanz, um ihre Nutzer zur Abgabe von Einwilligungen zu bewegen. Völlig freiwillig natürlich.

Wirklich hart trifft die DSGVO den Mittelstand, der jetzt aufwändige und kostspielige Datenschutzmaßnahmen betreiben muss, um allein das Risiko von Abmahnungen zu minimieren. Wer sich sowas leisten kann, ist fein raus. Der Rest muss sehen wo er bleibt und hoffen, weder von Abmahnanwälten noch von Datenschutzbehörden entdeckt zu werden.

Mit ihrer Stellungnahme hat die Konferenz eine Position bezogen, die ihrer Aufgabe entspricht. Schließlich geht es um den Schutz der Daten. Allerdings zeigt sie wenig Feingefühl für die gegenseitigen Interessen und Bedürfnisse. Gerade die „kleinen“ Fanpagebetreiber, wie besagter Sportverein, oder Frisöre, Handwerker, aber auch Anwälte oder Ärzte dürften sich durch diese Stellungnahme bitterlich im Stich gelassen fühlen. Es ist lebensfremd jedem Fanpagebetreiber den gleichen Datenhunger wie Facebook zu unterstellen. Nichtsdestotrotz drängt die Konferenz auf Eile, es bestehe „dringender Handlungsbedarf“.

Die Konferenz der unabhängigen Datenschutzbehörden hätte die Gelegenheit nutzen können, ein Zeichen dafür zu geben, dass nicht alle Fanpagebetreiber über einen Kamm geschert werden können. Sie hat sich entschieden, dies nicht zu tun. Datenschutz um jeden Preis also. Ein Preis, den wieder die falschen zahlen müssen. Denn nach jetziger Rechtslage, bestärkt durch die Stellungnahme der Konferenz scheint der einige Weg, sich aus einer datenschutzrechtlichen Haftung zu entziehen, keine Fanpage zu betreiben. Damit dürfte Facebook für jeden, der sich das Risiko einer Abmahnung oder eines Bußgeldverfahrens nicht leisten kann, als „digitale Nutzfläche“ bis auf weiteres entfallen.

Dabei sind mögliche Lösungen nicht schwer vorstellbar: Die DSGVO kennt z.B. den Begriff der Datenschutz-Folgenabschätzung. Wie der Name es bereits andeutet, muss abgeschätzt werden, ob und welches Risiko für personenbezogene Daten besteht. Je höher das Risiko, desto besser müssen die Datenschutzmaßnahmen sein. Vielleicht wäre es eine Idee, diesen Gedanken auf Fanpages zu übertragen. Freilich steht auch dies wieder in Abhängigkeit zu der Zusammenarbeit mit Facebook. Aber Facebook könnte z.B. Aussagen über die Reichweite bestimmter Fanpages treffen, die wiederum zur Einschätzung eines datenschutzrechtlichen Risikos herangezogen werden könnten. Wenn sich dann beispielsweise herausstellt, dass der Fußballverein von nebenan eh Mühe hat, auf über 100 „Follower“ zu kommen, scheint eine „Entlassung“ aus der datenschutzrechtlichen Verantwortlichkeit zumindest nicht mehr völlig undenkbar. Aber das ist erst noch Zukunftsmusik. Es bleibt abzuwarten, wie sich die Dinge entwickeln werden.

Einziges „Trostpflaster“ scheint zu sein, dass das Urteil des EuGH keine unmittelbare Wirkung entfaltet. Das zugrundeliegende Verfahren muss erst beendet werden. Gleichwohl ist klar, wo die Reist hingeht: Solange Facebook kein datenschutzrechtskonformes Produkt anbietet, sind Fanpages keine Option mehr.

Facebook und die Daten, ein immer wieder beliebtes Thema. Auch für Gerichte. In einem aktuellen Urteil hat das Kammergericht Berlin wichtige Klarstellungen getroffen, auch wenn diese angesichts der neuen Datenschutzgrundverordnung nicht mehr lange relevant sein dürften.

Ist Facebook kostenlos? Nein. Womit verdient Facebook eigentlich Geld? Mit Informationen. Facebook sammelt täglich eine unglaubliche Menge an Daten über seine Nutzer. Informationen über Aufenthaltsort, Aktivitäten, Freunde oder persönlichen Geschmack sind die Währung, mit der Facebook handelt. Diese sind Werbetreibenden bares Geld wert. Die Jagd auf Informationen macht Facebook und die Werbetreibenden erfinderisch.

Es wundert also nicht, dass Facebook immer wieder ins Fadenkreuz von Datenschützern und Verschwörungstheoretikern landet. Ab und zu landet es auch vor Gericht. Wie im vorliegenden Fall, in dem es darum ging, dass Nutzern von Facebook abverlangt wurde, Zugriff auf ihre Daten zu gewähren, um auf bestimmte Inhalte (Spiele) zugreifen zu können. Mehr noch, die Nutzer sollten sich damit einverstanden erklären, dass die Spiele-App im Namen der jeweiligen Nutzer Posts, also Statusmeldungen, Fotos „und mehr“ veröffentlichen darf. Hierbei war die Zustimmung dadurch zu erteilen, dass ein Button geklickt wird, der mit „Spiel spielen“ beschriftet war.

„So nicht!“ befand ein Verbraucherschutzverband und verklagte Facebook. Aufgrund der oben beschriebenen Ausgestaltung der Einwilligungserklärung könnten gerade Jugendliche und junge Erwachsene könnten die Tragweite ihrer Erklärung nicht richtig einschätzen. Vor dem Landgericht bekam der Verband Recht. Und auch vor dem Kammergericht scheiterte Facebook.

Der „Doppelschlag“ bezieht sich allerdings auf den Inhalt des Urteils. Das Kammergericht hat die Gelegenheit genutzt und zwei wichtige Aspekte klargestellt:

Zum einen hat es deutsches Datenschutzrecht für anwendbar erklärt. Diese Feststellung ist deshalb wichtig, weil Facebook bekanntermaßen kein deutsches Unternehmen ist. Egal, sagt das Kammergericht, wer eine Niederlassung innerhalb eines Mitgliedsstaates der EU unterhält, muss die datenschutzrechtlichen Vorschriften dieses Staates einhalten. Und mehr noch: Wer mehrere Niederlassungen in verschiedenen Mitgliedsstaaten unterhält, muss die jeweils geltenden Regelungen berücksichtigen. Dadurch dürfte endgültig klargestellt sein, dass die – leider – unterschiedlich hohen Datenschutzniveaus innerhalb der EU durch gezielte Wahl der Niederlassungsstandorte ausgenutzt werden können.

Zum anderen hat das Kammergericht die in dem vorliegenden Fall verwendete Aussage „Diese Anwendungen darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ als eine AGB eingestuft, sodass diese einer entsprechenden Prüfung unterzogen werden konnte. Ergebnis: Sie ist unangemessen i.S.d. § 307 BGB, weil sie zu intransparent ist. Der Nutzer wird nicht in ausreichendem Maße darüber aufgeklärt, welche Folgen eine Einwilligung in diese Klausel für ihn haben kann. Gleichzeitig stellt diese Ermächtigung für den Einwilligungsempfänger aufgrund der hohen Reichweite eine äußerst wertvolle Informations- und Marketingquelle dar. Denn mit mal erreicht der Einwilligungsempfänger mit seinen Posts nicht nur seine eigenen Fans, sondern auch Freunde, Familie und Kollegen aller Nutzer, die eingewilligt haben. Hinzu kommt: Einen Schutz davor, dass diese Einwilligung für unlautere Zwecke missbraucht werden könnte, war scheinbar nicht vorgesehen.

Die Entscheidung des Kammergerichts ist begrüßenswert. Vor allem die Klarstellung, dass datenschutzrechtliche Vorschriften nicht durch eine geschickte Standortauswahl umgangen werden können, verdient Beachtung. Es ist fast schade, dass diese gelungene Entscheidung nicht lange relevant bleiben wird. Der Grund dafür ist aber ein sehr guter: Zum 24.05.2018 tritt die neue Datenschutzgrundverordnung der EU in Kraft, sodass ab dann EU-weit ein einheitliches Datenschutzniveau gilt. Die Wahl des Standortes von Niederlassungen macht dann keinen Unterschied mehr.

Aber auch die pragmatisch wirkende Abhandlung zu dem so harmlos wirkenden Satz dürfte Datenschützer freuen. Das Kammergericht hat dargestellt, dass viel mehr dahinter steckt, als es den Anschein macht. Es ist gut, dass das Gericht diesem Vorgehen einen Riegel vorgeschoben hat.

 

Sie haben  Fragen zum Datenschutz? Dann sind sie bei uns richtig!

 

 

 

 

 

 

 

Facebook wurde durch den Bundesgerichtshof wieder einmal eine Grenze aufgezeigt.

Der Bundesgerichtshof, Urteil vom 14.01.2016, I ZR 65/14 hat entschieden, dass „Einladungs-E-Mails von “Facebook” an Empfänger, die in den Erhalt der E-Mails nicht ausdrücklich eingewilligt haben, eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG darstellen. Die Einladungs-E-Mails sind als Werbung von Facebook zu qualifizieren, auch wenn ihre Versendung durch den sich bei “Facebook” registrierenden Nutzer ausgelöst wird. Dies deshalb, da es sich um eine von Facebook zur Verfügung gestellte Funktion handelt.- Die Einladungs-E-Mails werden vom Empfänger nicht als private Mitteilung des “Facebook”-Nutzers, sondern als Werbung der Beklagten verstanden.

Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände in Deutschland. Dieser hatte Facebook  wegen der Gestaltung der von ihr bereit gestellten Funktion “Freunde finden”, mit der der Nutzer veranlasst wird, seine E-Mail-Adressdateien in den Datenbestand von “Facebook” zu importieren, und wegen der Versendung von Einladungs-E-Mails an bisher nicht als Nutzer der Plattform registrierte Personen auf Unterlassung in Anspruch genommen.

Nach unserer Auffassung eine begrüßenswerte Entscheidung, welche die Rechte der Verbraucher gegen Spam Mail weiter stärkt. Quelle: Pressemitteilung des BGH Nr. 007/2016 vom 14.01.2016
Nächste Seite »