Düsseldorfer Kreis äußert sich zum Datenschutz in sozialen Netzwerken

14. Dezember 2011

Der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) hat am 08.12.2011 einen Beschluss zum Datenschutz in sozialen Netzwerken gefasst. Folgende Kernpunkte wurden dabei herausgearbeitet:

  • Das Telemediengesetz erfordert zumindest die pseudonyme Nutzungsmöglichkeit von sozialen Netzwerken. Nutzungsdaten dürfen nicht zur personenbeziehbaren Profilbildung verwendet werden, solange keine Einwilligung vorliegt. Nach der Beendigung der Mitgliedschaft sind jegliche Daten zu löschen.
  • Informationen darüber, welche Daten erhoben werden, und für welche Zwecke diese verarbeitet werden, müssen leicht zugänglich und verständlich sein.
  • Sämtliche Voreinstellungen müssen auf dem Einwilligungsprinzip beruhen, wenn nicht die Mitgliedschaft zwingend die Angabe solcher Daten voraussetzt. Insbesondere ist es nicht rechtmäßig zunächst mit der Datenverarbeitung zu beginnen und nur eine Widerspruchsmöglichkeit vorzusehen.
  • Ohne ausdrückliche und bestätigte Einwilligung des Abgebildeten ist es unzulässig, anhand von Fotos biometrische Gesichtserkennungsmerkmale zu erheben, zu speichern oder zu verwenden.
  • Die Betreiber der Netzwerke haben die sensiblen Daten durch geeignete technisch-organisatorische Maßnahmen zu schützen und einen Nachweis über diese Maßnahmen zu erbringen.
  • Um die besonders sensiblen Daten von Minderjährigen angemesen zu schützen sind datenschutzfreundliche Standardeinstellungen zu wählen. Weiterhin sind die Informationen über die Datenverarbeitung so zu formulieren, dass diese auch für Minderjährige verständlich sind.
  • Betroffenen muss eine einfache Möglichkeit gegeben werden, ihre Auskunfts-, Berichtigungs-, und Löschungsansprüche geltend zu machen. Dafür müssen zumindest die Kontaktdaten leicht auffindbar sein, damit Betroffene einen Ansprechpartner finden.
  • Es ist unzulässig Social-Plugins (z.B. den Like-Button von Facebook) auf Websites einzubinden, wenn dadurch eine Datenübertragung an den Anbieter des sozialen Netzwerkes erfolgt und die Nutzer nicht bereits vorher bezüglich der Datenübertragung informiert wurden und ihnen eine Möglichkeit zur Unterbindung der Datenübertragung eingeräumt wurde. Nur wenn die Nutzer verlässliche Informationen über die übermittelten Daten und deren Zweck erhalten, können sie rechtswirksam ihre Einwilligung erklären. In der Regel werden Anbieter deutscher Websites nicht über die nötigen Kenntnisse bezüglich der Datenverarbeitungsvorgänge verfügen, um  die Nutzer entsprechend zu informieren. Daher begehen die Anbieter der Websites selbst Rechtsverstöße, wenn sie Social-Plugins einbinden, die sie in Bezug auf die Datenverarbeitung nicht überblicken können.
  • Auch Betreiber, die außerhalb des Europäischen Wirtschaftsraumes (EWR) ansässig sind, müssen sich deutschem Datenschutzrecht unterwerfen, wenn sie ihre Datenerhebung durch einen Rückgriff auf Rechner von Nutzern in Deutschland verwirklichen (§ 1 Abs. 5 Satz 2 BDSG). Daher sei auch ein Inlandsvertreter als Ansprechperson für die Datenaufsicht zu bestellen (§ 1 Abs. 5 Satz 3 BDSG). Eine Anwendung des BDSG kann nich dadurch umgangen werden, dass eine rechtlich selbständige Niederlassung in einem anderen Staat des EWR gegründet wird. (Damit stellt sich der Düsseldorfer Kreis gegen Facebook, die bisher auf dem Standpunkt beharren, dass nur der irische Datenschutz auf Facebook Anwendung fände – Anmerkung der Redaktion)

(se)