Privatheit in der Waagschale: Instrumente des datenschutzrechtlichen Interessenausgleichs im Kontext sozialer Online-Netzwerke [1 ed.] 9783428553501, 9783428153503

Citation preview

Internetrecht und Digitale Gesellschaft Band 9

Privatheit in der Waagschale Instrumente des datenschutzrechtlichen Interessenausgleichs im Kontext sozialer Online-Netzwerke

Von Eva Beyvers

Duncker & Humblot · Berlin

EVA BEYVERS

Privatheit in der Waagschale

Internetrecht und Digitale Gesellschaft Herausgegeben von

Dirk Heckmann

Band 9

Privatheit in der Waagschale Instrumente des datenschutzrechtlichen Interessenausgleichs im Kontext sozialer Online-Netzwerke

Von Eva Beyvers

Duncker & Humblot · Berlin

Die Juristische Fakultät der Universität Passau hat diese Arbeit im Sommersemster 2017 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2018 Duncker & Humblot GmbH, Berlin

Satz: TextFormA(r)t, Daniela Weiland, Göttingen Druck: CPI buchbücher.de GmbH, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-15350-3 (Print) ISBN 978-3-428-55350-1 (E-Book) ISBN 978-3-428-85350-2 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de

Meinem Vater

Vorwort Mit der Verabschiedung der europäischen Datenschutzgrundverordnung (DSGVO) hat das Datenschutzrecht jüngst eine öffentlichkeitswirksame Neuerung erfahren, während sich auch die tatsächlichen Voraussetzungen, unter denen der Datenschutz Relevanz gewinnt, laufend verändern. Unter diesen Vorzeichen widmet sich die vorliegende Arbeit einer der klassischen Fragestellungen des Datenschutzrechts  – der Abwägung zwischen den Rechten und Interessen der an der Datenverarbeitung beteiligten Akteure – im Zusammenspiel mit dem Phänomen sozialer Online-Netzwerke. Deren gesellschaftliche, technologische und wirtschaftliche Implikationen rücken einerseits Fragen nach dem Schutz personenbezogener Daten im Verhältnis zu anderen Rechten und Interessen in den Mittelpunkt und beeinflussen andererseits selbst den Ausgleich dieser Rechtspositionen ganz maßgeblich. Die vorliegende Arbeit wurde im Dezember 2016 fertiggestellt und im Sommersemester 2017 von der juristischen Fakultät der Universität Passau als Dissertation angenommen. Gesetzgebung, Literatur und Rechtsprechung sind im Wesentlichen auf dem Stand Dezember 2016. Verweise auf das erst nach Abgabe der Arbeit verabschiedete DSAnpUG-EU wurden nachträglich eingefügt. Lediglich vereinzelt konnten außerdem Rechtsprechung und Literatur bis August 2017 berücksichtigt werden. Meinem Doktorvater Prof. Dr. Dirk Heckmann, der die Anregung zu diesem Projekt gab, danke ich sehr herzlich für die stets hervorragende Betreuung und für die Aufnahme meiner Arbeit in diese Schriftenreihe. Dank gebührt auch Prof. Dr. Kai von Lewinski für die zügige Erstellung des Zweitgutachtens. Großzügige finanzielle und umfangreiche ideelle Förderung erhielt mein Projekt zudem durch die Deutsche Forschungsgemeinschaft im Rahmen des an der Universität Passau beheimateten Graduiertenkollegs Privatheit. Die dadurch erst ermöglichte interdisziplinäre Zusammenarbeit im Kolleg und die Teilnahme an vielfältigen Kolloquien, Seminaren und Konferenzen waren fachlich wie auch persönlich eine großartige Bereicherung. Nicht zuletzt danke ich Familie, Freunden und Kollegen, die meinen Weg begleiten und mir immer mit Rat, Tat und Unterstützung zur Seite stehen. Langenpreising, im August 2017

Eva Beyvers

Inhaltsübersicht A. Problemaufriss und Ausgangsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 B. Gang der Untersuchung, Methodik, Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . . 29 I. Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 II. Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 III. Methodik für die Untersuchung des Interessenausgleichs . . . . . . . . . . . . . . . . . . 37 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 C. Instrumente des Interessenausgleichs im Datenschutzrecht . . . . . . . . . . . . . . . . . 54 I. Abwägungsbelange im Datenschutzrecht □ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 II. Mechanismen des Interessenausgleichs im Datenschutzrecht △ . . . . . . . . . . . . . 57 III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○ . . . . . 83 IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht . . . . . . . . . . . . . . . . 115 V. Ergebnisse, Einordnung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 D. Instrumente des datenschutzrechtlichen Interessenausgleichs im Umfeld sozialer Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes . . . . . . . . . . 143 II. Interessengefüge und besondere Voraussetzungen für den Interessenausgleich im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 III. Datenschutzrechtliche Ausgleichsinstrumente (□ △ ○) im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 IV. Ergebnisse, Einordnung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 E. Anwendungsbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 I. Beispiel: Verantwortlichkeit für Datenverarbeitungsvorgänge im Vorfeld der Ausspielung von Werbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 II. Beispiel: Personenbeziehbarkeit hinsichtlich der für den Betrieb eines sozialen Plugins ausgetauschten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung kommerzieller Inhalte auf der Startseite des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

10

Inhaltsübersicht IV. Beispiel: Gesetzliche Erlaubnis für die Verwendung öffentlich zugänglicher Netzwerkdaten zu Zwecken des Monitorings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 V. Zusammenfassung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

F. Ergebnisse, Stellungnahme und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 I. Zusammenfassung und Ergebnisse der Untersuchung der Ausgangsfragen . . . . . 291 II. Einordnung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 III. Abschließende Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 IV. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Rechtsgrundlagenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Rechtsprechungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Inhaltsverzeichnis A. Problemaufriss und Ausgangsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 B. Gang der Untersuchung, Methodik, Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . . 29 I. Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 II. Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 1. Internationales Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2. Primärrecht der Europäischen Union . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3. Sekundärrecht der Europäischen Union . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4. Deutsches Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 5. Übergang von der Richtlinie zur Verordnung . . . . . . . . . . . . . . . . . . . . . . . . . . 36 III. Methodik für die Untersuchung des Interessenausgleichs . . . . . . . . . . . . . . . . . . 37 1. Verbal-argumentative Strategien des Interessenausgleichs . . . . . . . . . . . . . . . . 40 2. Logisch-numerische Strategien des Interessenausgleichs . . . . . . . . . . . . . . . . . 42 3. Ungeeignetheit beider Ansätze für die Untersuchung der Ausgangsfragen . . . 45 4. Eigener Ansatz: Untersuchung der Funktionsweise der Abwägungsinstrumente 47 5. Möglichkeiten und Grenzen der gewählten Vorgehensweise . . . . . . . . . . . . . . 51 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 C. Instrumente des Interessenausgleichs im Datenschutzrecht . . . . . . . . . . . . . . . . . 54 I. Abwägungsbelange im Datenschutzrecht □ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 II. Mechanismen des Interessenausgleichs im Datenschutzrecht △ . . . . . . . . . . . . . 57 1. Ausgewählte vom Gesetzgeber implementierte Mechanismen . . . . . . . . . . . . 57 a) Verhältnismäßigkeitsgrundsatz △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 b) Ausdrücklich angeordnete Interessenabwägung △ . . . . . . . . . . . . . . . . . . . 59 c) Erforderlichkeitsklauseln △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 d) Unbestimmte Begriffe und allgemeine Verarbeitungsgrundsätze . . . . . . . . 62 aa) „Persönliche[…] oder familiäre[…] Tätigkeiten“ △ . . . . . . . . . . . . . . . 62 bb) Personenbeziehbarkeit: „identifizierbare natürliche Person“ △ . . . . . . . 63 cc) Verantwortlichkeit: „über Zwecke und Mittel entscheide[n]“ △ . . . . . . 64 dd) Verantwortlichkeit mehrerer: „gemeinsam“ Verantwortliche △ . . . . . . . 65

12

Inhaltsverzeichnis ee) Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung“ △ . . . 66 ff) Zweckbindungsgrundsatz △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 e) Selbstbestimmungselemente △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 f) Datenschutzrechtsspezifische Mechanismen . . . . . . . . . . . . . . . . . . . . . . . . 70 aa) Informationspflichten und Auskunftsrechte △ . . . . . . . . . . . . . . . . . . . . 70 bb) Sonstige Betroffenenrechte: Widerspruch, Berichtigung, Löschung, Recht auf Vergessenwerden, Datenportabilität △ . . . . . . . . . . . . . . . . . . . . . . . 71 cc) Voreinstellungen, Garantien, technische und organisatorische Maßnahmen △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 dd) Standardisierung und einheitliche Anwendung △ . . . . . . . . . . . . . . . . . 74 ee) Darlegungs-, Beweis-, Nachweis- und Dokumentationspflichten △ . . . 75 ff) Durchsetzung: Rechtsbehelfe, Haftung, Sanktionen △ . . . . . . . . . . . . . 76 gg) Überwachung der Einhaltung der Datenschutzvorschriften △ . . . . . . . . 77 g) Tabellarische Übersicht der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 2. Ausgleichsmechanismen in der Rechtsprechung des EuGH und EGMR △ . . . 79 3. Zwischenergebnis: Mechanismen des Interessenausgleichs im Datenschutzrecht 82 III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○ . . . . . 83 1. Ausgewählte gesetzgeberische Kriterien und Wertungen des Interessenausgleichs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 a) Arten und Kategorien von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 aa) Sensible Daten ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 bb) Personenbezogene Daten ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 cc) Veröffentlichte Daten ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 b) Arten und Kategorien von Betroffenen ○ . . . . . . . . . . . . . . . . . . . . . . . . . . 87 c) Art und Weise der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 aa) Verwendung neuer Technologien ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 bb) Profiling und Scoring ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 cc) Verwendung von Tracking-Werkzeugen ○ . . . . . . . . . . . . . . . . . . . . . . 90 dd) Datenmenge und Betroffenenzahl ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 ee) Datenverarbeitung im Rahmen von Direktwerbung ○ . . . . . . . . . . . . . . 91 ff) Datenverarbeitungsintensive Kerntätigkeit ○ . . . . . . . . . . . . . . . . . . . . . 92 gg) Drittlandübermittlungen ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 hh) Auftragsdatenverarbeitung ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 d) Verhältnis zwischen Betroffenen und Datenverarbeitern . . . . . . . . . . . . . . . 94 aa) Ausübung der informationellen Selbstbestimmung ○ . . . . . . . . . . . . . . 94 bb) Vertragsverhältnis ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 cc) Beschäftigungsverhältnis ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 dd) Anbieter-Nutzer-Verhältnis ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Inhaltsverzeichnis

13

e) Auswirkungen für den Betroffenen und berechtigte Erwartungen ○ . . . . . . 99 f) Zeitliche Aspekte ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 g) Gesellschaftlicher oder rechtlicher Bezug der Datenverarbeitung und Grundrechtsgefüge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 aa) Erfüllung rechtlicher Verpflichtungen ○ . . . . . . . . . . . . . . . . . . . . . . . . 101 bb) Öffentliche Interessen ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 cc) Gesundheit und Soziales ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 dd) Wissenschaft und Statistik ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 ee) Kollision mit den Rechten anderer ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 h) Tabellarische Übersicht der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 2. Kriterien des Interessenausgleichs in der Rechtsprechung des EuGH und EGMR 106 a) EuGH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 aa) Kriterien mit Einfluss auf die Breite des Eingriffs ○ . . . . . . . . . . . . . . . 107 bb) Kriterien mit Einfluss auf die Tiefe des Eingriffs ○ . . . . . . . . . . . . . . . 108 cc) Zeitliche Komponente ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 dd) Sonstige Argumente und konkrete Wertungen ○ . . . . . . . . . . . . . . . . . . 109 b) EGMR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 aa) Kriterien mit Einfluss auf die Breite des Eingriffs ○ . . . . . . . . . . . . . . . 110 bb) Kriterien mit Einfluss auf die Tiefe des Eingriffs ○ . . . . . . . . . . . . . . . 111 cc) Zeitliche Komponente ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 c) Rezeption der gerichtlichen Abwägungspraxis . . . . . . . . . . . . . . . . . . . . . . 112 d) Tabellarische Übersicht der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 3. Zwischenergebnis: Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht . . . . . . . . . . . . . . . . 115 1. Ausgleichsbelange □ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 2. Mechanismen des Interessenausgleichs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 a) Ausgewählte vom Gesetzgeber implementierte Mechanismen △ . . . . . . . . 117 b) Ausgleichsmechanismen vor dem BVerfG △ . . . . . . . . . . . . . . . . . . . . . . . 118 3. Kriterien und Wertungen des Interessenausgleichs . . . . . . . . . . . . . . . . . . . . . . 120 a) Ausgewählte gesetzliche Kriterien und Wertungen ○ . . . . . . . . . . . . . . . . . 120 b) Ausgleichskriterien in der Rechtsprechung des BVerfG . . . . . . . . . . . . . . . 122 aa) Kriterien mit Einfluss auf die Tiefe des Eingriffs ○ . . . . . . . . . . . . . . . 122 bb) Kriterien mit Einfluss auf die Breite des Eingriffs ○ . . . . . . . . . . . . . . . 125 cc) Zeitliche Komponente ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 dd) Auswirkungen für Betroffene oder Dritte ○ . . . . . . . . . . . . . . . . . . . . . 127 4. Inkurs: Umgang mit abweichenden Wertungsergebnissen . . . . . . . . . . . . . . . . 128

14

Inhaltsverzeichnis 5. Zwischenergebnis: Instrumente des Interessenausgleichs im deutschen Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 V. Ergebnisse, Einordnung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 1. Instrumente des Interessenausgleichs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 a) Belange, Mechanismen, Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 b) Kombinierbarkeit und Kumulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 c) Wirkweise und Stoßrichtung der Ausgleichsinstrumente . . . . . . . . . . . . . . 139 2. Anwendung durch Akteure des Interessenausgleichs . . . . . . . . . . . . . . . . . . . . 139 3. Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

D. Instrumente des datenschutzrechtlichen Interessenausgleichs im Umfeld sozialer Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes . . . . . . . . . . 143 1. Begriffsdefinition: soziale Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . 143 2. Ebenen und Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 3. Entstehung und Verbreitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 4. Geschäftsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 a) Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 b) Weitere Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 5. Daten in sozialen Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 a) Datenkategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 b) Zugriff, Gewinnung und Auswertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 II. Interessengefüge und besondere Voraussetzungen für den Interessenausgleich im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 1. Akteure und ihre Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 a) Nutzerinteressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 b) Unternehmerinteressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 aa) Marketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 bb) Werbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 cc) Public Relations und Imagepflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 dd) Feedback und Customer Relationship Management . . . . . . . . . . . . . . . 165 ee) Recruiting und Human Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 c) Anbieterinteressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 aa) Dienstleistung und Angebotsoptimierung . . . . . . . . . . . . . . . . . . . . . . . 167 bb) Werbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 cc) Konzernstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 dd) Don’t be evil? Unbekannte, verschleierte und vorgeschobene Interessen 169

Inhaltsverzeichnis

15

d) Interessen im Rahmen von wirtschaftlichen Kooperationen . . . . . . . . . . . . 171 e) Branchenspezifische Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 aa) Externe Anbieter für Statistik und Monitoring . . . . . . . . . . . . . . . . . . . . 171 bb) Kreditwirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 cc) Versicherungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 dd) Datenhändler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 ee) Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 2. Spezifische äußere Umstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 a) Technologische Faktoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 aa) Interaktive und integrative Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 bb) Dynamische Entwicklung und Betaversionen . . . . . . . . . . . . . . . . . . . . 176 cc) Cloud-Strukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 dd) Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 b) Ökonomische Faktoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 c) Gesellschaftliche Faktoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 d) Mediensoziologische Faktoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 3. Besonderheiten des Interessengefüges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 a) Strukturelles Ungleichgewicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 b) Informationelles Ungleichgewicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 c) Vernetzung, Auflösung von Grenzen, normativen Rollen und analogen Zusammenhängen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 d) Kollision privater Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 III. Datenschutzrechtliche Ausgleichsinstrumente (□ △ ○) im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 1. Datenschutzrechtliche Abwägungsbelange im Umfeld sozialer Netzwerke □ . 191 a) Verfassungsrechtliche Belange □ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 b) Interessen und Belange unterhalb der Verfassungsebene □ . . . . . . . . . . . . . 195 2. Ausgewählte Mechanismen des Interessenausgleichs im Umfeld sozialer Online-Netzwerke △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 a) Verhältnismäßigkeitsgrundsatz △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 b) Ausdrücklich angeordnete Interessenabwägung △ . . . . . . . . . . . . . . . . . . . 196 c) Erforderlichkeitsklauseln △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 d) Unbestimmte Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 aa) „[P]ersönliche[…] oder familiäre[…] Tätigkeiten“ △ . . . . . . . . . . . . . . 199 bb) Personenbeziehbarkeit: „identifizierbare natürliche Person“ △ . . . . . . . 201 cc) Verantwortlichkeit mehrerer: „gemeinsam“ Verantwortliche △ . . . . . . . 204

16

Inhaltsverzeichnis dd) Verantwortlichkeit: „über Zwecke und Mittel […] entscheide[n]“ △ . . 205 ee) Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung“ △ . . . 207 ff) Zweckbindungsgrundsatz △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 e) Selbstbestimmungselemente △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 f) Datenschutzspezifische Mechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 aa) Auskunfts- und Informationsrechte und -pflichten △ . . . . . . . . . . . . . . 212 bb) Sonstige Betroffenenrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 (1) Datenportabilität △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 (2) Recht auf Vergessenwerden △ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 cc) Voreinstellungen, Garantien, technische und organisatorische Maßnahmen 215 (1) Privacy by Default und Privacy by Design △ . . . . . . . . . . . . . . . . . 215 (2) Schutzvorkehrungen und Garantien △ . . . . . . . . . . . . . . . . . . . . . . . 217 dd) Standardisierung und einheitliche Anwendung △ . . . . . . . . . . . . . . . . . 219 ee) Durchsetzung und Überwachung der Einhaltung △ . . . . . . . . . . . . . . . 220 g) Tabellarische Übersicht der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 3. Ausgewählte Kriterien und Wertungen des Interessenausgleichs im Umfeld sozialer Online-Netzwerke ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 a) Arten und Kategorien von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 aa) Sensible Daten ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 bb) Personenbezogene Daten ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 cc) Veröffentlichte Daten ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 b) Arten und Kategorien von Betroffenen ○ . . . . . . . . . . . . . . . . . . . . . . . . . . 232 c) Art und Weise der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 aa) Verwendung neuer Technologien ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 bb) Profiling und Scoring ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 cc) Verwendung von Tracking-Werkzeugen ○ . . . . . . . . . . . . . . . . . . . . . . 238 dd) Datenmenge und Betroffenenzahl ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 ee) Direktwerbung ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 ff) Datenverarbeitungsintensive Kerntätigkeit ○ . . . . . . . . . . . . . . . . . . . . . 242 gg) Drittlandübermittlungen ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 hh) Auftragsdatenverarbeitung ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 d) Verhältnis zwischen Betroffenen und Datenverarbeitern . . . . . . . . . . . . . . . 244 aa) Ausübung der informationellen Selbstbestimmung ○ . . . . . . . . . . . . . . 244 bb) Vertragsverhältnis ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 cc) Beschäftigungsverhältnis ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 dd) Anbieter-Nutzer-Verhältnis ○ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 e) Auswirkungen für Betroffene und berechtigte Erwartungen ○ . . . . . . . . . . 257 f) Zeitliche Aspekte: Ablauf einer Zeitspanne, Recht auf Vergessenwerden ○ 259

Inhaltsverzeichnis

17

g) Gesellschaftlicher oder rechtlicher Bezug der Datenverarbeitung, Integration in das Grundrechtsgefüge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 aa) Rechtekollision: Konflikt mit der Meinungsfreiheit ○ . . . . . . . . . . . . . 260 bb) Rechtekollision: Konflikt zwischen Betroffeneninteresse an Privatheit und Informationsinteresse von Internetnutzern ○ . . . . . . . . . . . . . . . . . 262 h) Tabellarische Übersicht der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 4. Exkurs: Abwägungsinstrumente des deutschen Datenschutzrechts im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 a) Grundrechtlicher Schutzumfang und Menschenwürdekern □ . . . . . . . . . . . 267 b) Eigener Geschäftszweck und geschäftsmäßige Übermittlung ○ . . . . . . . . . 269 IV. Ergebnisse, Einordnung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 1. Ergebnisse und Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 2. Zusammenspiel und Wechselwirkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 3. Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 E. Anwendungsbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 I. Beispiel: Verantwortlichkeit für Datenverarbeitungsvorgänge im Vorfeld der Ausspielung von Werbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 1. Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 2. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 II. Beispiel: Personenbeziehbarkeit hinsichtlich der für den Betrieb eines sozialen Plugins ausgetauschten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 1. Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 2. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung kommerzieller Inhalte auf der Startseite des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 1. Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 a) Einschlägigkeit: Inwieweit war eine Ausübung der Privatautonomie beabsichtigt? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 b) Beschränkungen des Kriteriums: Müssen Einwilligungsregeln zur Anwendung kommen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 c) Sonstige zu berücksichtigende Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 2. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 IV. Beispiel: Gesetzliche Erlaubnis für die Verwendung öffentlich zugänglicher Netzwerkdaten zu Zwecken des Monitorings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 1. Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 2. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

18

Inhaltsverzeichnis V. Zusammenfassung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

F. Ergebnisse, Stellungnahme und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 I. Zusammenfassung und Ergebnisse der Untersuchung der Ausgangsfragen . . . . . 291 1. Methodischer Zugang zur Untersuchung der Funktionsweise von Ausgleichsinstrumenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 2. Analyse der Funktionsweise von Abwägungsinstrumenten im Datenschutzrecht 292 3. Analyse der Funktionsweise von datenschutzrechtlichen Abwägungsinstrumenten im Kontext sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . 293 4. Überprüfung der Resultate anhand von Beispielen . . . . . . . . . . . . . . . . . . . . . . 296 5. Zusammenfassende Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 II. Einordnung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 1. Ursachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 2. Konsequenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 3. Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 a) Schaffung adäquater Ausgleichsinstrumente im Rahmen von Spezialnormen 300 b) Schärfung der Ausgleichsinstrumente durch die stärkere Berücksichtigung ökonomischer, gesellschaftlicher und technologischer Gegebenheiten . . . . 301 aa) Daten als Wirtschaftsgut auf dem Datenmarkt . . . . . . . . . . . . . . . . . . . . 301 bb) Datenschutz als Gesellschaftsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 cc) Weiterentwicklung risikobasierter Ansätze . . . . . . . . . . . . . . . . . . . . . . 306 dd) Umkehrung des Verbots mit Erlaubnisvorbehalt, Post Privacy . . . . . . . 309 c) ‚Nicht-legislative‘ technologische Ausgleichsinstrumente . . . . . . . . . . . . . 310 d) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 III. Abschließende Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 IV. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Rechtsgrundlagenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Rechtsprechungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Tabellen- und Abbildungsverzeichnis Tabelle 1:

Instrumente des Interessenausgleichs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Tabelle 2:

Funktionsweise der Ausgleichsmechanismen im europäischen Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Tabelle 3:

Datenschutzrechtliche Ausgleichsmechanismen in der Rechtsprechung . 82

Tabelle 4:

Kriterien und Wertungen des europäischen Datenschutzrechts . . . . . . . . 104

Tabelle 5:

Datenschutzrechtliche Kriterien und Wertungen in der Rechtsprechung . . 113

Tabelle 6:

Datenschutzrechtliche Ausgleichsmechanismen im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Tabelle 7:

Datenschutzrechtliche Kriterien und Wertungen im Umfeld sozialer Online-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

Tabelle 8:

Ergebnisse und Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 [Quelle: jeweils eigene Darstellung]

Formel 1:

Gewichtsformel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 [Quelle: Darstellung nach Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, 2003, S. 771 (790).]

Abbildung 1: Instrumente des datenschutzrechtlichen Interessenausgleichs . . . . . . . . . 48 [Quelle: eigene Darstellung]

Abkürzungsverzeichnis △ □ ○

Mechanismen des Interessenausgleichs Belange des Interessenausgleichs Kriterien und Wertungen des Interessenausgleichs a. A. anderer Ansicht a. E. am Ende ABl. Amtsblatt Absatz, Absatz Abs. AcP Archiv für die Civilistische Praxis AEUV Vertrag über die Arbeitsweise der Europäischen Union AG Aktiengesellschaft, Amtsgericht AGB Allgemeine Geschäftsbedingungen Asynchronous Java Script and XML Ajax American Journal of Sociology AJS API Application Programming Interface App. Application ArbAktuell Arbeitsrecht Aktuell Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten der BunARD desrepublik Deutschland Archiv für Rechts- und Sozialphilosophie ARSP Art. Artikel Art. 29 DSGr. Artikel 29-Datenschutzgruppe Aufl. Auflage BB Betriebsberater Bd. Band BDSG Bundesdatenschutzgesetz BeckOK Beck’scher Online-Kommentar BeckRS Beck Rechtsprechung Beil. Beilage bevh Bundesverband E-Commerce und Versandhandel Deutschland e. V. BfDI Bundesbeauftragte(r) für den Datenschutz und die Informationsfreiheit Bürgerliches Gesetzbuch BGB BGBl. Bundesgesetzblatt, Bundesgesetzblatt BGH Bundesgerichtshof BGHZ Entscheidungen des Bundesgerichtshofs in Zivilsachen Business Horizons BH BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. BMI Bundesministerium des Innern BSI Bundesamt für Sicherheit in der Informationstechnik bspw. beispielsweise BT-Drs. Bundestagsdrucksache

Abkürzungsverzeichnis Entscheidungen des Bundesverfassungsgerichts BVerfGE BVerfGG Bundesverfassungsgerichtsgesetz bzgl. bezüglich bzw. beziehungsweise CILJ Cornell International Law Journal CLSR Computer Law & Security Report Commision Nationale de L’Informatique et des Libertés CNIL CookieRL Cookie-Richtlinie CR Computer und Recht CRi Computer Law Review International Croatian Yearbook of European Law and Policy CYELP das heißt d. h. DatenSR Datenschutzrecht Deutsches Institut für Vertrauen und Sicherheit im Internet DIVSI Duke Law Journal DLJ DÖV Die Öffentliche Verwaltung Data Protection Commissioner DPC Drs. Drucksache DSAnpUG-EU Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DS-GVO Datenschutz-Grundverordnung DS-RL Datenschutz-Richtlinie DuD Datenschutz und Datensicherheit DVÜ-Rat Datenverarbeitungsübereinkommen des Europarates eingetragener Verein e. V. European Constitutional Law Review ECL European Data Protection Law Review EDPL European Digital Rights EDRi EG Europäische Gemeinschaft EHRLR European Human Rights Law Review EJRR European Journal of Risk Regulation Europäische Menschenrechtskonvention EMRK European Union Agency for Network and Information Security ENISA E-PrivacyRL E-Privacy-Richtlinie Ergl. Ergänzungslieferung Erwgr. Erwägungsgrund et aliter et al. etc. et cetera EU Europäische Union EuCML Journal of European Consumer and Market Law EUV Vertrag über die Europäische Union EuZW Europäische Zeitschrift für Wirtschaftsrecht ff. fortfolgende Fn. Fußnote FRA EU Agency for Fundamental Rights GastG Gaststättengesetz GewO Gewerbeordnung GG Grundgesetz GmbH Gesellschaft mit beschränkter Haftung

21

22

Abkürzungsverzeichnis

Charta der Grundrechte der Europäischen Union GRC grdsl. grundsätzlich GRUR Gewerblicher Rechtsschutz und Urheberrecht GWB Gesetz gegen Wettbewerbsbeschränkungen Hervorhebung im Original H. i. O. Hdb. Handbuch Humboldt Forum Recht HFR Hamburgische(r) Beauftragte(r) für Datenschutz und Informationsfreiheit HmbBfDI HPI Hasso-Plattner-Institut Hrsg. Herausgeber Hs. Halbsatz HTML Hypertext Markup Language i. R. v. im Rahmen von im Sinne von i. S. v. in Verbindung mit i. V. m. Journal of Law and Policy for the Information Society I/S Information Commissioner’s Office ICO International Data Privacy Law IDPL IFG Informationsfreiheitsgesetz International Journal of Constitutional Law IJCL The International Journal of Not-for-Profit Law IJNPL Indiana Law Journal ILJ Inc. Incorporated InfoR Informationsrecht insbes. insbesondere ITRB IT-Rechts-Berater Magazin für professionelle Informationstechnik iX JCMC Journal of Computer-Mediated Communication Jg. Jahrgang JZ Juristenzeitung Kommunikation & Recht K&R Kap. Kapitel KR-RL Kommunikationsdienste-Rahmenrichtlinie KUG Kunsturhebergesetz LG Landgericht Limited Liability Company LLC Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberLSP-OECD schreitenden Verkehr personenbezogener Daten der OECD Ltd. Limited m. w. N. mit weiteren Nachweisen m. W. v. mit Wirkung vom MedienR Medienrecht Mio. Million(en) MMR MultiMedia und Recht MP Media Perspektiven Medienpädagogischer Forschungsschwerpunkt Südwest mpfs Mrd. Milliarde(n) Management Science MS

Abkürzungsverzeichnis

23

neue Fassung n. F. NASDAQ National Association of Securities Dealers Automated Quotations National Institute of Standards and Technology NIST NJOZ Neue Juristische Online-Zeitschrift NJW Neue Juristische Wochenschrift Nr. Nummer Neue Zeitschrift für Verwaltungsrecht NVwZ New York Stock Exchange NYSE Neue Zeitschrift für Arbeitsrecht NZA NZG Neue Zeitschrift für Gesellschaftsrecht oder ähnlich o. ä. öAT Zeitschrift für das öffentliche Arbeits- und Tarifrecht Datenschutz-Verordnung für die Organe und Einrichtungen der GemeinOE DS-VO schaft Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OECD Privacy in Germany PinG Datenschutz-Richtlinie für Polizei und Justiz PJ DS-RL RdA Recht der Arbeit RDCE Revista de Derecho Comunitario Europeo Recht der Datenverarbeitung RDV Ratio Juris RJ Rn. Randnummer Rom-II-VO Rom-II-Verordnung Rom-I-VO Rom-I-Verordnung s. siehe S. Seite Schutzgemeinschaft für allgemeine Kreditsicherung SCHUFA SCLR Southern California Law Review SGB Sozialgesetzbuch sog. sogenannte(r)/(s) StGB Strafgesetzbuch TKG Telekommunikationsgesetz Texas Law Review TLR TMG Telemediengesetz u. a. unter anderem, und andere Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD ULR Utrecht Law Review United Nations UN UN-RL Richtlinien über personenbezogene Daten der Vereinten Nationen University of New South Wales Law Journal UNSWL United States of America USA v. vom v. a. vor allem Var. Variante VDS-RL Vorratsdatenspeicherungs-Richtlinie VG Verwaltungsgericht vgl. vergleiche vs. versus

24

Abkürzungsverzeichnis

Verbraucher und Recht VuR VVG Versicherungsvertragsgesetz Wissenschaftliche Dienste des Deutschen Bundestages WD YLJ The Yale Law Journal zum Beispiel z. B. z. T. zum Teil Zeitschrift für Datenschutz ZD Zweites Deutsches Fernsehen ZDF ZfD Zeitschrift für Datenschutz ZJS Zeitschrift für das juristische Studium Zeitschrift für Rechtspolitik ZRP ZUM Zeitschrift für Urheber- und Medienrecht

A. Problemaufriss und Ausgangsfragen Datenschutz ist eines der großen gesellschaftlichen und politischen Themen des 21. Jahrhunderts. Kaum ein Gegenstand wird gegenwärtig derart breit und kontrovers diskutiert1 – äußerst passend ist daher Bruce Schneiers Vergleich des Datenschutzes mit der in den vorangegangenen Jahrzehnten ähnlich lebhaft geführten Umweltschutzdebatte: „Data is the pollution problem of the information age, and protecting privacy is the environmental challenge.“2 Betroffen ist die Gesellschaft als Ganzes, aber auch jedes einzelne Individuum, unlösbar scheinen die aufgeworfenen Probleme zu sein, unvereinbar die gegensätzlichen Positionen. Besonders eindrucksvoll zeigten sich in der jüngeren Vergangenheit die wachsende Kluft zwischen Recht und Technik und die kontroversen Positionen verschiedener Interessenträger im Zusammenhang mit der Erscheinungsform sozialer Netzwerke, wo fortschrittliche Datenverarbeitungstechnologien auf einen veralteten Rechtsrahmen trafen und private Kommunikationsinteressen auf kommerzielle Absichten prallten. Während das Bundesverfassungsgericht von einem der Menschenwürde nahestehenden „Recht auf ‚informationelle Selbstbestimmung‘“3 spricht und der europäische Gerichtshof die Bedeutung der Grundrechte auf die Achtung des Privatlebens und den Schutz personenbezogener Daten betont4, verlangt die Wirtschaft nach umfangreichem Handlungsspielraum, um Datenverarbeitungen monetär aus-

1 Es wäre allerdings verfehlt, den Datenschutzdiskurs als bloße Modeerscheinung zu begreifen. Zwar ist das Schlüsselelement der ‚Daten‘ in diesem Zusammenhang erst mit der durch technologische Entwicklungen ermöglichten automatisierten Verarbeitung selbiger in den Mittelpunkt der Diskussion gerückt. Ein ausgedehnter Diskurs über die Grundfragen der Gestaltung, Abgrenzung und Beschreibung der Privatsphäre von Individuen sowie eine ganze Reihe damit zusammenhängender Theorien (vgl. etwa: die Dreiteilung des Privatheitsbegriffs bei Rössler, Der Wert des Privaten, S. 144–304, die Annahme einer Begriffsdichotomie zwischen Privatheit und Öffentlichkeit bei Bobbio, Democracy and Dictatorship, S. 1–21, oder die Theorie der Kontextualität von Privatheit bei Nissenbaum, Privacy in Context), welche auch jeder Auseinandersetzung mit der Preisgabe und Verwendung von oder dem Zugriff auf persönliche Daten zugrunde liegen müssen, reicht in der Geschichte jedoch weit zurück – vgl. dazu etwa Beyvers/Helm/Hennig/Kreknin/Keckeis/Püschel, in: Beyvers/Helm/Hennig et al. (Hrsg.), Räume und Kulturen des Privaten, S. 1 (1). 2 Schneier, Data and Goliath, S. 238. 3 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (43). 4 Vgl. nur die Verfahren EuGH, Urt. v. 14.05.2014 – C-131/12; EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12; EuGH, Urt. v. 06.10.2015 – C-362/14, in denen sich das Gericht jeweils umfangreich schützend vor die betroffenen Grundrechte gestellt hat.

26

A. Problemaufriss und Ausgangsfragen

zuschlachten5. Die Technologie setzt indessen unumstößliche Fakten: Datenverarbeitungen sind in großem Umfang zu geringen Kosten, in fast beliebiger Komplexität und zu beliebigen Zwecken möglich.6 Aus einer Anwendung von Lawrence Lessigs Annahme „Code is Law“7 auf den Datenschutz ließe sich daher folgern, dass diese fast unbegrenzten Möglichkeiten der datenverarbeitenden Technologien im Stande sind, jeglichen tatsächlichen und rechtlichen Rahmen aufzulösen. Demgegenüber fordern zahlreiche Interessengemeinschaften sowie Vertreter aus Gesellschaft und Politik eine schärfere Regulierung von Datenverarbeitungen, insbesondere der Privatwirtschaft.8 Die Thematisierung von Datenschutzkonflikten im gesellschaftspolitischen Diskurs hat schließlich dazu geführt, dass in der Bevölkerung ein Bewusstsein für Datenschutzproblematiken entstanden ist, so dass sogar bisweilen Konsumentscheidungen unter Berücksichtigung von Datenschutzaspekten getroffen werden.9 In scheinbarem Gegensatz dazu steht die noch immer anhaltende weite Verbreitung der Nutzung sozialer Medien. Trotz ihres zweifelhaften Rufes im Hinblick auf den Datenschutz10 haben sie eine wichtige Position im Privat-, Sozialund Berufsleben ihrer stets wachsenden Nutzerschaft inne. Sie sind gleichermaßen Kommunikationsmittel unter Freunden, Quelle für Informationen aller Art, Medium des lockeren Kontakts mit Bekannten sowie Plattform für Selbstdarstellung im privaten wie beruflichen Umfeld. Dieser Kontrast zwischen dem vorhandenen 5 Vgl. beispielhaft die Forderungen des BITKOM, Stellungnahme zum Vorschlag der EUKommission für eine EU-Datenschutz-Grundverordnung vom 25.01.2012, S.  2: „Erforderliche Datenverarbeitung im wirtschaftlichen Umfeld“ müsse „unkompliziert  – d. h. auf der Basis von Interessenabwägung (auch zugunsten von Dritten) – möglich sein“. Anforderungen an die Einwilligung dürften nicht „zu formalistisch“ geraten, eine Einwilligung müsse überdies „mit Blick auf zukünftige Produkte“ auch implizit erteilbar sein. Gefordert wird außerdem ein Konzernprivileg sowie die ausdrückliche Gestattung der Profilbildung. 6 Die flexible, effiziente und zugleich kostengünstige Verfügbarkeit von Rechenleistung und Anwendungen ist insbesondere den Fortschritten beim Cloud Computing – dazu näher unter D. II. 2. a) cc) – sowie der stetigen Optimierung der verwendeten Algorithmen zu verdanken. 7 Lessig, Code, S. 5, mit Rückverweis auf Reidenberg, TLR 1998, 553; Mitchell, City of Bits, S. 111 („code is the law“); Wagner, SCLR 2005, 457 (457) („software code as complimentary to law“). 8 Vgl. z. B. die Forderungen der Bürger- und Menschenrechtsorganisation EDRi, Position on the Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). 9 Für ganze 69 Prozent der Befragten einer Studie der Tomorrow Focus Media gelten die Privatsphäreeinstellungen eines sozialen Netzwerkanbieters als Auswahlkriterium: ­Tomorrow Focus Media, Social Trends Studie, S. 15. 10 Wiederholt war den Anbietern sozialer Medien Nachlässigkeit und sogar Ignoranz im Umgang mit Datenschutzvorschriften unterstellt worden, vgl. etwa Roosendaal, in: Camenisch/Crispo/Fischer-Hübner et al. (Hrsg.), Privacy and Identity Management for Life, S. 274 (279–281). Jüngst drängte sich das ‚Negativ-Image‘ durch die Beteiligung mehrerer großer Anbieter (u. a. Google, Facebook und YouTube)  als „Provider“ des Spionage Programms ‚PRISM‘ erneut in das Bewusstsein der Öffentlichkeit: Unbekannter Autor, NSA ­slides explain the PRISM data-collection program, Artikel v. 06.06.2013, The Washington Post ­[Online].

A. Problemaufriss und Ausgangsfragen

27

Problembewusstsein und einer zumindest in der Theorie kritischen Haltung auf der einen Seite, jedoch scheinbar unreflektierter faktischer Nutzung der vorhandenen Technologie unter Inkaufnahme sämtlicher Risiken auf der anderen Seite, ist dabei nicht nur typisch für die Nutzung sozialer Medien, sondern kennzeichnet generell das Verhältnis großer Teile der Bevölkerung zu unterschiedlichsten datenverarbeitungsintensiven Technologien und Anwendungen.11 Der europäische Gesetzgeber reagierte auf die veränderten Anforderungen im Datenschutz und dessen gesteigerte Bedeutung mit Reformbestrebungen. Aus jahrelangem Ringen12 um die Ausgestaltung eines europäischen Rechtsrahmens für den Datenschutz ging schließlich ein Regelungswerk hervor, das neben altbekannten Prinzipien (etwa Rechtmäßigkeit, Transparenz oder Zweckbindung) auch neue Denkansätze (beispielsweise ein sogenanntes Recht auf Vergessenwerden, risikobasierte Ansätze sowie die Herstellung von diensteübergreifender Datenporta­ bilität) etabliert. Die ‚Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG‘ ist jedoch mehr als nur ein simpler Kompromiss; ihre Bestimmungen wurden über Jahre hinweg vielfach überarbeitet, kontrovers diskutiert, in Frage gestellt, revidiert und novelliert13 und dabei durch eine der größten Lobbyismus-Kampagnen der europäischen Geschichte14 von politischen und wirtschaftlichen Interessenträgern maßgeblich beeinflusst. Das über allen Detailkonflikten stehende Anliegen des europäischen Gesetzgebers bleibt es dennoch, mit der Datenschutz-Grundverordnung (DS-GVO) einen zeitgemäßen und zukunftsfähigen Rechtsrahmen für den Datenschutz zu implementieren, der im Stande sein soll, die unterschiedlichen Interessenlagen über die von den technologischen Gegebenheiten geschaffenen Fakten hinweg im Sinne des europäischen Grundrechtskatalogs und der Ziele der Union auszugleichen (vgl. Erwgr. 1–7 DS-GVO). Das Prinzip des Interessenausgleichs zieht sich dabei wie ein roter Faden durch das gesamte Regelwerk: Sämtliche Regelungen der Verordnung – von dem einleitenden Bekenntnis zum Ziel des Interessenausgleichs („Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wah 11

Sog. ‚Privacy Paradox‘, dazu näher unter D. II. 2. d). Der Berichterstatter des europäischen Parlaments, Albrecht, CRi 2016, 33 (33), spricht von „long and dogged negotiations“. Von der Einbringung des Kommissionsentwurfs der DSGVO am 25.01.2012 bis zur Bekanntmachung der endgültigen Fassung am 04.05.2016 vergingen mehr als vier Jahre. 13 Eine Übersicht über den Verfahrensgang und sämtliche zugehörigen Arbeitsdokumente finden sich bei EUR-Lex, Webseite ‚Procedure 2012/0011/COD‘. 14 Dazu: McNamee, Vote on Data Protection and Passenger Name Record Package, Pressemeldung v. 13.04.2016; Albrecht, CRi 2016, 33 (34) („unprecedented extent of the influence of interest groups“); Roßnagel, in: Roßnagel (Hrsg.), DS-GVO, § 1 Einleitung: Das neue Datenschutzrecht, Rdnr. 15. Einen Überblick über die verschiedenen Positionen, einflussnehmende Organisationen und diverse Dokumente bezüglich der europäischen Datenschutzreform werden bereitgestellt durch: LobbyPlag, Webseite ‚Homepage‘. 12

28

A. Problemaufriss und Ausgangsfragen

rung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“ Erwgr. 4 DS-GVO) über die Implementierung der Interessenabwägung als Erlaubnistatbestand (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO) bis hin zur ins Detail geregelten Verteilung der Rechte und Pflichten einzelner Beteiligter – lassen erkennen, dass ein Gleichgewicht zwischen den widerstreitenden Belangen angestrebt wird. Pauschallösungen stünden aber der Herstellung eines Gleichgewichts im Einzelfall selbstredend im Weg; stattdessen ist die Berücksichtigung der jeweils spezifischen Interessenlage des Sachverhalts unerlässlich. Dies lässt vermuten, dass das europäische Datenschutzrecht generell Werkzeuge etabliert, die es Rechtsanwendern ermöglichen sollen, im Einzelfall einen Interessenausgleich herzustellen. Soziale Netzwerke sind eine relativ junge Erscheinung, die sich rasend schnell verbreitet und großer Beliebtheit erfreut. Neuartig sind dabei sowohl die Kommunikationsform selbst als auch die mit sozialen Online-Netzwerken spezifisch verknüpften Geschäftsmodelle. Die Beliebtheit sozialer Netzwerke erstreckt sich dabei nicht ausschließlich auf deren private oder berufliche Nutzung als Kommunikationsmedien, sondern auch und gerade auf die damit zusammenhängenden Geschäftsmodelle und ihre wirtschaftlichen und finanziellen Aspekte: Betreiber sozialer Medien haben sich in kürzester Zeit zu weltweit agierenden Konzernen entwickelt, und auch sämtliche geschäftlichen Nutzer der Netzwerke und ihrer Anwendungen (Werbetreibende, App-Betreiber, die Betreiber kommerzieller Auftritte in Netzwerken etc.) scheinen von dem Konzept umfangreich zu profitieren. All dies führt zu der Schlussfolgerung, dass es vielfältige und stark differenzierte Interessen sein müssen, die hinter den Beteiligten im Umfeld sozialer Netzwerke stehen. Findet aber ein- und derselbe Rechtsrahmen auf klassische Weisen der Datenverarbeitung ebenso Anwendung wie auf die Datenverarbeitung im durch neuartige Technologien, Kommunikationsformen und Geschäftsmodelle geprägten Umfeld sozialer Netzwerke, so rechtfertigt dies die Annahme, dass die Anwendung und Wirkung der vom Gesetzgeber für die Herstellung des Interessenausgleichs bereitgestellten Instrumente gewissen Abweichungen unterliegen. Die Ausgangsfrage für die vorliegende Arbeit lautet daher: Stellt das europäische Datenschutzrecht geeignete Instrumente oder Werkzeuge bereit, die es ermöglichen, hinsichtlich des Schutzes personenbezogener Daten auch im Umfeld sozialer Netzwerke die relevanten Interessen aller Beteiligten unter Berücksichtigung der spezifischen Besonderheiten der jeweiligen Sachverhalte auszugleichen? Einzelne Teilfragen, in welche sich die Ausgangsfrage untergliedern lässt, sind: (1) Welche Instrumente des Interessenausgleichs sieht das europäische Datenschutzrecht vor und wie funktionieren sie im Allgemeinen? (2) Wie stellt sich das Interessengefüge im Umfeld sozialer Online-Netzwerke dar und durch welche Besonderheiten kennzeichnet sich das Netzwerkumfeld? (3) Welche Abweichungen ergeben sich für die Funktionen der Ausgleichsinstrumente bei ihrer Anwendung im besonderen Umfeld sozialer Netzwerke?

B. Gang der Untersuchung, Methodik, Rechtsquellen I. Überblick Der eigentlichen Untersuchung der Ausgangsfragen gehen zunächst einige Überlegungen zur Methodik und zu den Rechtsquellen voran, die notwendig sind, um eine zielgerichtete und effiziente Herangehensweise an die komplexe Materie der Abwägung in einem im Umbruch befindlichen Rechtsgebiet zu gewährleisten (Gliederungspunkt B). Darauf folgt eine exemplarische Untersuchung und Darstellung der allgemeinen Funktionsweise datenschutzrechtlicher Werkezuge des Interessenausgleichs (Gliederungspunkt C). Um der Frage nachzugehen, welchen besonderen Umständen der datenschutzrechtliche Interessenausgleich im Umfeld sozialer Online-Netzwerke unterworfen ist, erfolgt nach der Eingrenzung der Netzwerkumgebung als Untersuchungsgegenstand eine Untersuchung des spezifischen Interessengefüges im Umfeld sozialer Netzwerke, welche sodann eine Betrachtung der datenschutzrechtlichen Ausgleichsinstrumente im Hinblick auf Besonderheiten und Konfliktfelder bei deren Verwendung im speziellen Umfeld sozialer Netzwerke gestattet (Gliederungspunkt D). Die Heranziehung vorhandener medienwissenschaftlicher Ansätze genügt den Ansprüchen einer datenschutzrechtlichen Betrachtung bei der Eingrenzung des Untersuchungsgegenstandes nur teilweise; zusätzlich fließen deswegen Aspekte der Datenpreisgabe und des Datenzugriffs in die Begriffsdefinition ein. Eine Betrachtung der relevanten Ebenen und Akteure, von Aufbau, Funktionalitäten, Entstehung, Verbreitung, Nutzung und der zugrundeliegenden Geschäftsmodelle vermittelt ein Gesamtbild, das als Grundlage für die weiteren Analysen dient. Das im Umfeld sozialer Netzwerke vorherrschende Interessengefüge wird zunächst anhand einer Auswertung einschlägiger Fachliteratur und quantitativer Erhebungen umrissen. Anschließend werden die im Netzwerkkontext herrschenden besonderen Voraussetzungen herausgearbeitet. Letztere lassen sich in äußere Einflüsse auf das Interessengefüge und Charakteristiken des Interessengefüges selbst aufteilen, wobei diese Aufteilung nicht abschließend oder statisch ist, sondern lediglich der besseren Zugänglichkeit und Verständlichkeit der komplexen technologischen, wirtschaftlichen, sozialen und kulturellen Zusammenhänge dient. Dabei bleibt die Betrachtung des Interessengefüges auf private Akteure begrenzt und lässt (aus Gründen notwendiger Beschränkung des Umfangs) öffentliche Stellen außen vor. Eine erneute ‚Funktionsprüfung‘ der datenschutzrechtlichen Ausgleichswerkzeuge hinsichtlich einer Anwendung unter den speziellen Voraussetzungen im Netzwerkumfeld gibt sodann Aufschluss über die dabei auftretenden Besonderheiten, Konflikte und Inkompatibilitäten. Anschließend werden die vorgefundenen theoretischen Ergebnisse im Rahmen von Anwendungsbeispielen überprüft und

30

B. Gang der Untersuchung, Methodik, Rechtsquellen

veranschaulicht (Gliederungspunkt E). Eine rechtspolitische Verortung der Problematik sowie die Vorstellung und Bewertung möglicher Lösungsansätze leisten zuletzt eine Einordnung der Ergebnisse in die größeren Zusammenhänge und gewähren einen Ausblick auf deren Übertragbarkeit auf weitere Sachverhalte (Gliederungspunkt F).

II. Rechtsquellen 1. Internationales Recht Das europäische Datenschutzrecht, dessen Regelungen nachfolgend hinsichtlich des Ausgleichs der relevanten Interessen untersucht werden sollen, ist eingebettet in einen internationalen Rahmen. Mangels ausdrücklicher Datenschutzvorschriften in der Europäischen Menschenrechtskonvention (EMRK) entstanden sowohl die Richtlinien über personenbezogene Daten der Vereinten Nationen (UN-RL) als auch die Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (LSP-OECD), welche aber im Gegensatz zum von Deutschland ratifizierten Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates (DVÜ-Rat) nicht völkerrechtlich bindend sind.1 2. Primärrecht der Europäischen Union Hervorzuheben auf der Primärrechtsebene sind zunächst die Rechte aus der Charta der Grundrechte (GRC)2, unter ihnen insbesondere die Grundrechte auf die Achtung der Privatsphäre (Art.  7 GRC) und den Schutz personenbezogener Daten (Art. 8 GRC). Daneben spielen die Grundfreiheiten – Warenverkehrsfreiheit (Art. 34 ff. AEUV), Arbeitnehmerfreizügigkeit (Art. 45 ff. AEUV), Niederlassungsfreiheit (Art.  49 ff.  AEUV), Dienstleistungsfreiheit, (Art.  56 ff.  AEUV) und Kapitalverkehrsfreiheit (63 ff. AEUV) – sowie die Verbürgungen des Art. 16 Abs.  1 AEUV eine wichtige Rolle. Die Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu den Grundrechten und Grundfreiheiten ist unmittelbar zur Auslegung dieser Vorschriften heranzuziehen. Mittelbar zu beachten sind außerdem der zur Auslegung der GRC ebenfalls einzubeziehende Wortlaut der EMRK3

1 Siemen, Datenschutz als europäisches Grundrecht, S. 39–43. Vgl. zu Hintergrund und Entstehungshistorie der LSP-OEDC und des DVÜ-Rat: Kosta, Consent in European Data Protection Law, S. 17–33. 2 Rechtskraft hat die GRC auf der Grundlage von Art. 6 Abs. 1 Satz 1 EUV. 3 Zur Bedeutung der EMRK für die Grundrechtsauslegung: Siemen, Datenschutz als europäisches Grundrecht, S. 30–32.

II. Rechtsquellen

31

(siehe dazu ausdrücklich Art. 52 Abs. 3 GRC), die entsprechende Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) zur EMRK und die Verfassungsüberlieferungen4 der Mitgliedstaaten (dazu Art. 52 Abs. 4 GRC). Art. 8 GRC5 räumt nicht nur ein Recht auf den Schutz personenbezogener Daten ein (Abs. 1), sondern beschreibt auch ein gesetzliches Verbot mit Erlaubnisvorbehalt,6 die Möglichkeit zur Einwilligung, den Zweckbindungsgrundsatz und Informationsrechte des Betroffenen (Abs. 2) sowie eine Überwachung der Einhal­ tung durch unabhängige Institutionen (Abs. 3). Allgemeine Vorgaben für die Grundrechtsbeschränkung finden sich in Art. 52 GRC. Unklar ist allerdings, ob die Bestimmungen des Art. 8 Abs. 2 GRC ebenfalls lediglich zulässige Beschränkungen des Grundrechts auf Datenschutz beschreiben und damit die Vorschriften aus Art.  52  GRC ergänzen und präzisieren oder ob sie stattdessen selbst als inhaltliche Ausgestaltungen des Grundrechts und damit als grundrechtliche Garantien zu verstehen sind.7 Art.  7  GRC hingegen verbürgt das Recht auf Achtung des Privatlebens und schützt insbesondere Aspekte der privaten Lebensgestaltung, d. h. Tätigkeiten oder Räume, die von der Öffentlichkeit in einer Weise abgeschirmt sind, die die vernünftige Annahme eines Privatsphärenschutzes rechtfertigen, die Pflege privater Beziehungen, die Selbstbestimmung über die eigene Person sowie sexuelle Orientierung und identitätsbildende Aspekte.8 Inhaltlich basiert Art. 7 GRC auf Art.  8  EMRK, welcher deswegen eine wichtige Rechtserkenntnisquelle für das Grundrecht auf Privatleben darstellt.9

4

Dazu allgemein Siemen, Datenschutz als europäisches Grundrecht, S. 29–30. Zur Praxis des EuGH, Grundrechtsgehalte zwar mit Verweis auf gemeinsame Verfassungstraditionen anzuerkennen, diesbezügliche Annahmen jedoch nicht mit einer rechtsvergleichenden Analyse zu untermauern: Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primär­ verträgen der Europäischen Union als ihrer Verfassung, S. 28–46. 5 Zur Entstehung von Art. 8 GRC und der vorangehenden Rechtsprechung des EGMR und EuGH zu Art. 8 Abs. 2 EMRK, zur Bedeutung des Grundrechts und zu dessen Verhältnis zu Völkerrecht und anderem Unionsrecht siehe Schneider, in: Wolff/Brink (Hrsg.), BeckOK­ DatenSR, Syst. B. Völker- und Unionsrechtliche Grundlagen, Rdnr.  8–34; Miguel, RDCE 2003, 7. 6 Ernst, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 1 DS-GVO, Rdnr. 5. 7 González-Fuster, The emergence of personal data protection as a fundamental right of the EU, S. 203–204. 8 Jarass, in: Jarass (Hrsg.), Charta, Art. 7 GRC, Rdnr. 13–15. 9 Der EuGH ist formal wegen des noch nicht vollzogenen Beitritts zur EMRK nicht an die Rechtsprechung des EGMR gebunden, lehnt sich aber bereits jetzt häufig an die Erkenntnisse des EGMR an. Vgl. González-Fuster, The emergence of personal data protection as a fundamental right of the EU, S. 170–173. Insbesondere dort, wo Grundrechte durch Sekundärrecht näher ausgestaltet werden, für ihre autonome Auslegung auf dieses aber nicht zurückge­griffen werden kann, bedient sich der EuGH der Erkenntnisse des EGMR – speziell für den Kontext der Grundrechte auf Privatleben und den Schutz personenbezogener Daten: Siemen, Datenschutz als europäisches Grundrecht, S. 265.

32

B. Gang der Untersuchung, Methodik, Rechtsquellen

Noch nicht abschließend geklärt ist die Abgrenzung10 der beiden Grundrechte aus Art.  7 und 8 GRC. Einigkeit besteht allenfalls darüber, dass ihre Schutz­ bereiche nicht deckungsgleich sind, obwohl es diverse Überschneidungen und Gemeinsamkeiten gibt. Das schlagende Argument für diese Annahme liegt in der Niederlegung separater Gewährleistungen durch den Gesetzgeber  – diese wäre überflüssig gewesen, wenn der Gesetzgeber mit beiden Konzepten denselben Schutzumfang hätte etablieren wollen.11 Art.  7  GRC schützt mit dem Privatleben ein sehr breites Konzept,12 das sich nicht im Schutz von Daten allein erschöpft, jedoch nur solche Sachverhalte betrifft, die unmittelbar dem Privatleben des Betroffenen zuzurechnen sind. Das Recht auf den Schutz personenbezogener Daten dagegen erstreckt sich ausdrücklich nur auf Daten mit Personenbezug. Allerdings schützt es jede Art von personenbezogenen Daten und nicht nur jene, die dem Bereich des Privatlebens zuzuordnen sind.13 Der Schutzbereich von Art. 8 GRC ist also zugleich weiter und enger als der von Art. 7 GRC. Während Eingriffe in Art. 7 GRC nach den allgemeinen Voraussetzungen (und zusätzlich herangezogenen Bestimmungen aus Art.  8 Abs.  2 EMRK) rechtfertigbar sind, stellt Art. 8 Abs. 2 GRC – soweit dessen Vorschriften als Beschreibung zulässiger Grundrechtsbeschränkungen verstanden werden – detailliertere Anforderungen an die Rechtfertigung. Das Recht auf Privatleben ist durch seine Vielschichtigkeit schwer fassbar, das prozedural ausgestaltete Grundrecht auf Datenschutz scheint hingegen viel greifbarer zu sein.14 Während manche Autoren versuchen, sich dem Datenschutzgrundrecht mittels der zugrundeliegenden Werte (z. B. Datensicherheit, Datenqualität, Verantwortung, Transparenz etc.) zu nähern15, wollen andere gerade in der Abgrenzung beider Grundrechte gegeneinander den Umfang ihrer jeweiligen Schutzbereiche bestimmen. Dabei wird betont, dass es sich um unterschiedliche Rechtsinstrumente handle, die jedoch komplementäre Funktionen erfüllen: Das Grundrecht auf Privatleben sorge für Intransparenz, während das Grundrecht auf Datenschutz gerade ein Instrument sei, das Transparenz herstelle.16 Einige kritisieren die separate Verbürgung des Datenschutzgrundrechts insgesamt, denn eine Abspaltung vom Grundrecht auf Privatleben habe eine funktionelle Abkoppelung des Datenschutzes von den zugrundeliegenden Werten der

10 Bygrave, UNSWL 2001, 277 (278), betont, eine exakte Definition und Abgrenzung sei für die Rechtsanwendung nicht immer nötig und die unscharfen Konturen des Konzepts der Privatheit brächten den Vorteil der Flexibilität. 11 Tzanou, IDPL 2013, 88 (90). 12 Tzanou, IDPL 2013, 88 (90). 13 Docksey, IDPL 2016, 195 (201) bezeichnet dies als „added-value of the right to data protection in the absence of a significant interference with privacy“. 14 Tzanou, IDPL 2013, 88 (90). 15 Tzanou, IDPL 2013, 88 (91–92). 16 Hert/Gutwirth, in: Claes/Duff/Gutwirth (Hrsg.), Privacy and the Criminal Law, S.  61 (62); kritisch zu diesem von ihr als separatistisch umschriebenen Ansatz: Tzanou, IDPL 2013, 88 (92).

II. Rechtsquellen

33

Menschenwürde und Autonomie zur Folge.17 Eine weitere Unterscheidung liegt darin, dass das Datenschutzgrundrecht selbst lediglich positive Garantien beinhaltet, während das Grundrecht auf Privatleben zumindest in Art. 8 Abs. 2 EMRK auch negativ gegen Eingriffe abgegrenzt ist.18 Daraus lasse sich schließen, dass das Datenschutzgrundrecht, um autonom neben dem Grundrecht auf Privatleben stehen zu können, ebenfalls einen negativ abgegrenzten, eingriffsresistenten Kern benötigt.19 Konzeptionell soll sich Art. 8 GRC zudem dadurch von Art.  7  GRC unterscheiden, dass gerade kein Verbot des Zugriffs auf Daten statuiert werden soll, sondern für die Verarbeitung personenbezogener Daten lediglich Voraussetzungen und Regeln aufgestellt werden; insofern sei die Verarbeitung von Daten per se keine Verletzung von Art. 8 GRC sondern gerade maßgebliche Voraussetzung für dessen Einschlägigkeit.20 Die Rechtsprechung hat es bislang vermieden, auf das Konkurrenzverhältnis der beiden Grundrechte näher einzugehen. Wo der EuGH beide Grundrechte für einschlägig hielt, prüfte er eine Rechtfertigung von Eingriffen für beide Grundrechte gemeinsam21 und betonte zudem, dass die rechtmäßigen Einschränkungen von Art.  8  GRC mit jenen des Art.  8  EMRK korrespondieren22. 3. Sekundärrecht der Europäischen Union Die DS-GVO ersetzt als das künftig unmittelbar in der Union anwendbare Datenschutzrecht (Art. 99 DS-GVO) eine ganze Reihe zum Teil sehr detaillierter nationaler Umsetzungsvorschriften zur bislang geltenden Datenschutz-Richtlinie (DS-RL). Erkenntnisquellen sind hinsichtlich der DS-GVO zunächst deren Wortlaut, Systematik und ihr Zweck, soweit er sich aus Systematik und Wortlaut oder einem Rückbezug auf jeweils relevante Grundrechte ergibt. Zur Konkretisierung des Wortlauts dienen die Erwägungsgründe, die ihm beigefügt sind. Ergänzend können Materialien aus dem zugehörigen Gesetzgebungsverfahren23 herangezo-

17 Rouvroy/Poullet, in: Gutwirth/Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 45 (74). 18 Docksey, IDPL 2016, 195 (197–198). 19 Tzanou, IDPL 2013, 88 (97). 20 Hijmans, The European Union as Guardian of Internet Privacy, S. 59. 21 Z. B.: EuGH, Urt. v. 06.10.2015  – C-362/14 (Rdnr. 91); EuGH, Urt. v. 08.04.2014  – C-293/12, C-594/12 (Rdnr. 38–69). Kritisch zu dieser Praxis aber („failure to distinguish“): Docksey, IDPL 2016, 195 (202). 22 EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 (Rdnr. 52). 23 Wesentliche Meilensteine des Gesetzgebungsverfahrens sind: der Kommissionsentwurf v. 25.01.2012, die Parlamentsfassung v. 12.03.2014, die Einigung im Trilogverfahren (dazu die entsprechende Pressemitteilung: Europäische Kommission, Einigung über die EU-Daten­ schutzreform der Kommission wird digitalen Binnenmarkt voranbringen, Pressemitteilung v. 15.12.2015), die Positionierung des Rates v. 08.04.2016 (ST  5419  2016  REV 1) sowie der Beschluss des Parlaments nach der zweiten Lesung v. 14.04.2016 (05419/1/2016  – C8-

34

B. Gang der Untersuchung, Methodik, Rechtsquellen

gen werden. Deutlich weniger Gewicht kommt jedoch solchen Materialien oder anderweitigen Stellungnahmen zu, soweit sie nur die Auffassung einzelner Organe wiedergeben.24 Die E-Privacy-Richtlinie25 (E-PrivacyRL) regelt einige Spezialfälle im Bereich der Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen (Art. 3 Abs. 1 E-PrivacyRL), verweist aber für den Datenschutz abseits der ausdrücklich geregelten Sachverhalte auf die Bestimmungen der DS-RL (Erwgr. 10 E-PrivacyRL). Für das Verhältnis zur DS-GVO gilt, dass diese die Regelungen der E-PrivacyRL ausweislich des Art. 94 Abs. 2 DS-GVO nicht berührt und dass Verweise der E-PrivacyRL auf die DS-RL als Verweise auf die entsprechenden Vorschriften der DS-GVO zu verstehen sind (Art. 95 DS-GVO). Eine Überprüfung und Anpassung der E-PrivacyRL hinsichtlich der baldigen Gültigkeit der DS-GVO ist überdies vorgesehen (Erwgr. 173 DS-GVO).26 Ausdrücklich speziell geregelt ist in der E-PrivacyRL derzeit die Speicherung von Informationen27 auf dem Endgerät des Nutzers oder der Zugriff auf solche Informationen, die auf dem Endgerät des Nutzers gespeichert sind, Art. 5 Abs. 3 E-PrivacyRL. Typischerweise geschieht eine solche Speicherung bzw. ein Zugriff bei der Verwendung von Cookies oder ähnlichen Tracking-Werkzeugen – im Rückschluss aus der Ausnahme nach Art. 5 Abs. 3 Satz 2 Alt. 2 E-PrivacyRL ist diese Bestimmung über den sonstigen Anwendungsbereich der Richtlinie hinaus (grdsl. bezieht diese sich auf den Betrieb und die Inanspruchnahme öffentlich zugänglicher Kommunikationsdienste und -netze, wovon Dienste der Informationsgesellschaft ausdrücklich ausgenommen sind, vgl. Art. 2 Satz 1 E-PrivacyRL i. V. m. Art. 2 lit. c KR-RL) auch auf Dienste der Informationsgesellschaft. Ebenfalls für den unionsweiten Datenschutz relevant sind die Verordnung für die Verarbeitung von Daten durch die Organe und Einrichtungen der Union (OE DS-VO) und die Richtlinie über die Zusammenarbeit von Polizei und Justiz (PJ DS-RL). Beide können aufgrund ihrer thematischen Stoßrichtung für die nachfolgende Untersuchung nur am Rande von Bedeutung sein, müssen aber zumindest mittelbar in ihrer Funktion als äußerer Rahmen und Zusammenhang, in den die DS-GVO sich einfügt, Berücksichtigung finden. Die sogenannte Vorrats0140/2016 – 2012/0011(COD)). Diese und zahlreiche weitere das Gesetzgebungsverfahren rekonstruierende Dokumente sind einsehbar in der Verfahrensakte Nr. 2012/0011(COD): EURLex, Webseite ‚Procedure 2012/0011/COD‘. 24 Bodenschatz, Der europäische Datenschutzstandard, S. 226. 25 Näher zur Entstehungshistorie der Richtlinie und der geänderten Fassung: Kosta, Consent in European Data Protection Law, S. 298–305. 26 Schaar, PinG 2016, 62 (63), hält auch die künftige Regelung des Datenschutzes in der elektronischen Kommunikation im Rahmen einer Verordnung für sinnvoll. 27 Der Richtliniengeber hat hier abweichend den Begriff ‚Informationen‘ verwendet und damit das Einwilligungserfordernis ausgeweitet, Kosta, Consent in European Data Protection Law, S. 296–297.

II. Rechtsquellen

35

datenspeicherungsrichtlinie (VDS-RL) hingegen ist aufgrund eines Urteils des EuGH wegen einer Unvereinbarkeit mit europäischen Grundrechten bereits nicht mehr gültig.28 4. Deutsches Datenschutzrecht Auf deutscher Verfassungsebene29 beziehen sich auf den Schutz personenbezogener Daten hauptsächlich spezielle Ausprägungen des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG), namentlich das Grundrecht auf informationelle Selbstbestimmung30 und das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme31 (im Folgenden kurz: ‚IT-Grundrecht‘) und die umfangreiche Rechtsprechung des Bundesverfassungsgerichts zu diesen Grundrechtsgewährleistungen. Daneben schützen auch andere Grundrechte32 vor der Preisgabe personenbezogener Daten, sofern ihr spezieller Schutzbereich berührt wird (hierzu gehören z. B. das Beichtgeheimnis aus der Religionsfreiheit nach Art. 4 GG, der besondere Schutz für Journalisten und Informanten aus Art. 5 Abs. 1 Satz 2 GG, der Schutz der Telekommunikation nach Art. 10 Abs. 1 GG und der Wohnung aus Art. 13 Abs. 1 GG)33 oder ermöglichen umgekehrt, zugunsten des jeweiligen Grundrechts an Informationen zu gelangen, die eigentlich von der informationellen Selbstbestimmung geschützt

28

EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12. Für eine Übersicht der verfassungsrechtlichen Verankerung des Datenschutzes in anderen mitgliedstaatlichen Rechtsordnungen der Europäischen Union vgl. González-Fuster, The emergence of personal data protection as a fundamental right of the EU, S. 174–175. 30 Das Grundrecht auf informationelle Selbstbestimmung verbürgt „den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten“ und beinhaltet die „[…] Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“, BVerfG, Urt. v. 15.12.1983  – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (43). Zum informationellen Selbstbestimmungsrecht aus­ führlicher: Brink, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, Syst. C. Verfassungsrechtliche Grundlagen, Rdnr. 46–150; Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 24–28. 31 Das IT-Grundrecht ist eine weitere Ausfaltung des allgemeinen Persönlichkeitsrechts, vom Bundesverfassungsgericht entwickelt, um den Einzelnen bei der Nutzung eines hinreichend komplexen IT-Systems als eigenes vor Eingriffen in dieses System zu schützen, soweit andere Grundrechte diesen Schutz nicht gewährleisten, BVerfG, Urt. v. 27.02.2008  – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 ff. Zum IT-Grundrecht ausführlicher Brink, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, Syst. C. Verfassungsrechtliche Grundlagen, Rdnr. 144–150. 32 Eine Zusammenstellung zahlreicher mit dem Datenschutz in Zusammenhang stehender Grundrechte findet sich bei Weichert, in: Däubler/Klebe/Wedde et al. (Hrsg.), BDSG, Einleitung, Rdnr. 30–38; Polenz, in: Kilian/Heussen (Hrsg.), Computerrechts-Hdb, Teil 13: Datenschutz, Verfassungsrechtliche Grundlagen, Rdnr. 44–51. 33 Weichert, in: Däubler/Klebe/Wedde et al. (Hrsg.), BDSG, Einleitung, Rndr. 31–32; 36–37. 29

36

B. Gang der Untersuchung, Methodik, Rechtsquellen

wären (z. B. eröffnen Forschungsfreiheit, Art.  5 Abs.  3 GG, und Meinungsfreiheit, Art. 5 Abs. 1 Satz 1 GG, erweiterte Möglichkeiten der Beschaffung und Publikation von Informationen und schränken so das informationelle Selbstbestimmungsrecht ein34). Auf einfachgesetzlicher Ebene teilen sich die Rechtsquellen für das Datenschutzrecht in allgemeine und bereichsspezifische sowie in Bundes- und Landesgesetze. Von herausragender Bedeutung sind unter ihnen das BDSG, die Landesdatenschutzgesetze sowie TKG und TMG;35 daneben existieren zahlreiche Spezialregelungen36. Das deutsche Datenschutzrecht wird unter der DS-GVO aufgrund des Anwendungsvorrangs der Unionsvorschrift unanwendbar, soweit es inhaltlich mit dieser konkurriert;37 erhalten bleiben können ausschließlich Vorschriften, welche sich materiell innerhalb des den Mitgliedstaaten zugedachten Ausgestaltungsspielraums bewegen und alle formellen Anforderungen der DS-GVO (z. B. hinsichtlich der Form ihres Zustandekommens38 oder etwaiger Meldepflichten gegenüber der Kommission) erfüllen.39 5. Übergang von der Richtlinie zur Verordnung In methodischer Hinsicht stellt sich folglich die Frage nach der Verwendung der vorgefundenen Rechtsquellen und verfügbaren Materialien im Hinblick auf die Ablösung der DS-RL und nationaler Datenschutzvorschriften durch die DSGVO. Offensichtlich können die von Schrifttum, Rechtsprechung, der Artikel 29-Datenschutzgruppe (Art. 29-DSGr.) oder den Aufsichtsbehörden hinsichtlich der DS-RL und der Umsetzungsgesetze herausgearbeiteten Auslegungsgrundsätze zumindest nicht umfassend und vorbehaltlos für die DS-GVO übernommen werden. Dennoch hat der Verordnungsgeber vielfach den Wortlaut der ­DS-RL,

34

Weichert, in: Däubler/Klebe/Wedde et al. (Hrsg.), BDSG, Einleitung, Rdnr. 32–33. Die Anwendungsbereiche der wichtigsten Bundesvorschriften – BDSG, TMG und TKG – werden mithilfe des sog. ‚Schichtenmodells‘ abgegrenzt: Schaar, Datenschutz im Internet, S. 247–254; Schaar, MMR 2001, 644 (645). 36 Beispiele finden sich bei Scheja/Haag, in: Leupold/Glossner (Hrsg.), MAH IT-Recht, Teil 5: Datenschutzrecht, Rdnr. 115; Helfrich, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. Multi­ media-Recht, Teil  16.1: Einführung und Grundbegriffe des Datenschutzes, Rdnr.  99–108; Polenz, in: Kilian/Heussen (Hrsg.), Computerrechts-Hdb, Teil 13: Datenschutz, Rechtsquellen und Grundbegriffe, Rdnr. 38–39; Weichert, in: Däubler/Klebe/Wedde et al. (Hrsg.), BDSG, Einleitung, Rdnr.  73–77a; Schaffland/Wiltfang, in: Schaffland/Wiltfang (Hrsg.), BDSG, Nr. 5001 (BDSG), § 1 BDSG, Rdnr. 45. 37 Roßnagel, in: Roßnagel (Hrsg.), DS-GVO, § 1 Einleitung: Das neue Datenschutzrecht, Rdnr. 31. 38 Zur in der DS-GVO häufig gestellten formalen Anforderung des Tätigwerdens durch ‚Rechtsvorschrift‘: Kühling/Martini/Heberlein/Kühl/Nink/Weinzierl/Wenzel, Die DSGVO und das nationale Recht, S. 8–9. 39 Vgl. umfassend zu den unter der DS-GVO verbleibenden Gestaltungsspielräumen für die nationale Gesetzgebung: Kühling/Martini/Heberlein/Kühl/Nink/Weinzierl/Wenzel, Die DSGVO und das nationale Recht, S. 14–300. 35

III. Methodik für die Untersuchung des Interessenausgleichs

37

bekannte Konzepte oder Grundstrukturen der Richtlinie in der Verordnung erneut auf­gegriffen,40 was jeweils einen deutlichen Hinweis darauf liefern kann, dass die bereits erarbeiteten Grundsätze auch unter der DS-GVO wieder zur Geltung kommen sollen und eine Übertragung von Erkenntnissen zumindest teilweise ermöglicht. Umgekehrt zeigen in der vergleichenden Betrachtung Veränderungen und Präzisierungen im Wortlaut auf, wo der Verordnungsgeber bisherige Auslegungsansätze bestätigen, sich von ihnen distanzieren oder Unklarheiten beseitigen will. Auch soweit über auslegungsfähige Begriffe und offene Abwägungstatbestände ein Rückbezug auf die Grundrechtsebene möglich ist, bleibt die Rechtsprechung der höchsten europäischen Gerichte, welche sich ganz überwiegend mit dem Verhältnis der europäischen Grund- und Menschenrechte sowie auf der primär- oder verfassungsrechtlichen Ebene zu berücksichtigenden öffentlichen Belangen auseinandersetzt, übertragbar.41 Sukzessive wird die Rechtsprechung des EuGH weitere Auslegungslinien vorgeben.

III. Methodik für die Untersuchung des Interessenausgleichs Einige methodische Probleme wirft die Analyse des Interessenausgleichs im Datenschutzrecht sowie die Analyse der Instrumente dieses Interessenausgleichs unter Einbeziehung der zuvor aufgefundenen Besonderheiten des Interessengefüges im Kontext sozialer Netzwerke auf, denn wer Interessen durch Abwägung zum Ausgleich bringt, der bedenkt oder überlegt vergleichend und prüfend oder stellt die relevanten Gewichtungen fest42. Dies berührt aber notwendiger Weise Problematiken der Gewichtung von Abwägungsbelangen und der Gegenüberstellung selbiger. Es stellt sich also die Frage, nach welcher Methode eine Gewichtung der Interessen vorgenommen und mit welchem Verfahren sie zueinander in Abwägung gebracht werden sollen, bzw. ob und auf welche Weise der datenschutzrechtliche Interessenausgleich für die Behandlung der Ausgangsfragen einer alternativen Strategie der Untersuchung zugänglich gemacht werden kann. Das Prinzip des Interessenausgleichs, das einen wesentlichen Gegenstand der nachfolgenden Untersuchung darstellt, ist im Recht weit verbreitet.43 Dabei können Rechtsnormen entweder bereits sehr konkret regeln, welche Rechtsgüter zu

40

Voßhoff/Hermerschmidt, PinG 2016, 56 (57). Zur die GRC betreffenden Rechtsprechung des EuGH ausdrücklich: Kugelmann, DuD 2016, 566 (567). 42 Vgl. die Bedeutungserklärung im Duden Online, Stichwort ‚abwägen‘. 43 Da Silva, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 236 (236); Hofmann, Abwägung im Recht, S. 1; Klatt/Schmidt, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 105 (105); Leisner, Der Abwägungsstaat, S. 12; Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 95. 41

38

B. Gang der Untersuchung, Methodik, Rechtsquellen

berücksichtigen sind und in einschlägigen Fällen den Vorrang erhalten,44 so dass durch eine einfache Subsumtion des Sachverhalts unter den Gesetzestext Interessenkonflikte bereits lösbar werden, oder aber durch die Eröffnung von unterschiedlich großen Abwägungsspielräumen und die Einführung von Wertungen einen flexibleren Interessenausgleich in der Rechtsanwendung ermöglichen. Derartige Abwägungen spielen für sämtliche Schritte der Rechtsanwendung eine Rolle.45 Kaum überraschend ist es daher, dass sich um die Bedeutung, Durchführung und Analyse des Interessenausgleichs ein umfangreicher rechtswissenschaftlicher Diskurs46 herausgebildet hat. Der grundlegende Geltungsanspruch des Ausgleichsprinzips findet vor allem Ausdruck in der Einordnung der Interessenabwägung als eine der beiden bedeutendsten juristischen Verfahrenstechniken47 oder sogar als „Fundamentalmethode des Bürgerlichen Rechts der Gleichordnung“48 und fester „Bestandteil der juristischen Methodenlehre“49. Die Abwägung wird verstanden als „Ausgleich zwischen […] privaten und öffentlichen Belangen in bilanzierender Weise“50, „Berücksichtigung aller für den konkreten Fall wichtigen Elemente“ auf der Grundlage von Art. 3 Abs. 1 GG,51 „Festsetzung einer Präferenzrelation zwischen kollidierenden Prinzipien“52, oder „Verfahren der Waage“53. Unterschieden wird zwischen der Interessenabwägung in der Rechtstheorie als „von der Semantik des Gesetzes getrennte[r] Ausgleich von Prinzipien“ und in der Rechtsprechungspraxis als „Verarbeitung von Einwänden angetrieben[r] Prozess der lokalen Ausarbeitung der Semantik“.54 Zweck der Abwägung sei es, dem Gesetzgeber eine Möglichkeit zu geben, verschiedenartige Sachverhalte flexibel zu handhaben,55 und dadurch ein möglichst hohes Maß an Gerechtigkeit zu erlangen56. 44 Leisner, MMR 1997, 636 (638), kritisiert, dass der Gesetzgeber insgesamt viel zu selten die Interessenlage deutlich genug im Gesetz angelegt habe. 45 Zur Bedeutung der Abwägung für Rechtsnormauslegung, Sachverhaltsermittlung und Subsumtion: Riehm, Abwägungsentscheidungen in der praktischen Rechtsanwendung, S. 4. 46 Vgl. nur Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung; Hofmann, Abwägung im Recht; Müller/Mastronardi (Hrsg.), Abwägung; internationale Publikationen: Tsakyrakis, IJCL 2009, 468; Khosla, IJCL 2010, 298; Bomhoff/Zucca, ECL 2006, 424. 47 Die zweite Verfahrensweise von derart grundlegender Bedeutung ist die Subsumtion, so z. B. Alexy, RJ 2003, 433 (433). Näher zur Technik der Subsumtion in der Rechtsanwendung, kritisch jedoch hinsichtlich einer strikten Trennung der beiden Methoden: Riehm, Abwägungs­entscheidungen in der praktischen Rechtsanwendung, S. 4–6. 48 Leisner, Der Abwägungsstaat, S. 22. 49 Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 815. 50 Hofmann, Abwägung im Recht, S. 263. 51 Howe, Zivilrechtlicher Eingriff und Interessenabwägung beim Persönlichkeitsrecht auf Wahrung der privaten Geheimsphäre, S. 39. 52 Klatt/Meister, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 62 (84). 53 Leisner, Der Abwägungsstaat, S. 36. 54 Rieder, Interessenabwägung in der Rechtsprechung des BGH zum Namens- und Bezeich­ nungsschutz, zum Recht am Gewerbebetrieb und zum allgemeinen Persönlichkeitsrecht, S. 87. 55 Hubmann, AcP 1956, 85 (89). 56 Howe, Zivilrechtlicher Eingriff und Interessenabwägung beim Persönlichkeitsrecht auf Wahrung der privaten Geheimsphäre, S. 39.

III. Methodik für die Untersuchung des Interessenausgleichs

39

Im Laufe der Zeit57 haben Rechtsprechung und Schrifttum zur Bewältigung der Abwägungsproblematik über die klassischen Auslegungsmethoden58 grammatischer, systematischer, teleologischer, historischer oder genetischer Art hinaus teilweise stark spezialisierte Ansätze entwickelt, die sich den grundlegenden Kategorien der verbal-argumentativen und logisch-numerischen Techniken zuordnen lassen und deren Tauglichkeit als methodische Grundlage für die Bewältigung der Ausgangsfragen nachfolgend auf den Grund gegangen werden soll.

57 Bereits im deutschen Kaiserreich war der auf den Ausgleich polizeirechtlicher Schutzgüter gerichtete polizeirechtliche Verhältnismäßigkeitsgrundsatz dogmatisch weit ausgereift: Saurer, Der Staat 2012, 3 (3), mit Rückverweis auf Fleiner, Institutionen des deutschen Verwaltungsrechts, S. 323. Dieser Entwicklung waren verschiedene Strömungen der ‚Normenstrenge‘ vorangegangen. Um dem Ausufern der Kasuistik, Rechtsunsicherheit und Willkür entgegenzuwirken, entstanden u. a. Kaiser Justitians ‚Corpus Iuris Civilis‘, das ‚Oberbayerische Rechts-Buch‘ von Kaiser Ludwig dem Bayern, das ‚Allgemeine Landrecht für die Preußischen Staaten‘ oder der französische ‚Code Civil‘. Sie alle kennzeichneten sich durch Systematik, Überschaubarkeit und eine streng normengebundene Anwendung und beließen damit wenig Raum für eine Interessenabwägung im Einzelfall: Rückert, JZ 2011, 913 (914). Seitdem das BVerfG den Verhältnismäßigkeitsgrundsatz aufgegriffen und in das Verfassungsrecht eingeführt hat, dient er vielfach als Vorbild für europäisches Recht und die Verfassungen anderer Staaten und erlebt eine fortschreitende „Globalisierung“: Saurer, Der Staat 2012, 3 (6–26). Auch im Zivilrecht wurde die Interessenabwägung spätestens mit der Bewegung der „Interessenjurisprudenz“ (vgl. etwa: Jhering, Der Zweck im Recht; Heck, Begriffsbildung und Interessenjurisprudenz; Heck, Interessenjurisprudenz; Heck, AcP 1914, 1; Müller-Erzbach, Wohin führt die Interessenjurisprudenz?; Oertmann, Interesse und Begriff in der Rechts­ wissenschaft) zum zentralen Thema. Man erkannte, „[…] dass jedes Rechtsgebot einen Interessenkonflikt entscheidet, auf einem Gegeneinanderwirken entgegenstehender Interessen beruht, gleichsam die Resultante dieser Kräfte darstellt“ (Heck, Interessenjurisprudenz, S. 13). Die bei der Interessenabwägung vorzunehmenden Schritte und Bewertungsfaktoren wurden folgerichtig einer Abstrahierung unterzogen, um ein höheres Maß an Nachvollziehbarkeit und Rechtssicherheit herzustellen (Hubmann, AcP 1956, 85 [89]; noch ausführlicher zur Ableitung von Werten und Regeln bei der Durchführung von Wertungen bei Hubmann, Wertung und Abwägung im Recht). Der Interessenjurisprudenz vorangegangen war im Zivilrecht die Lehre der „Begriffsjurisprudenz“, welche das Rechtssystem als ein in sich logisches und starres System von Begriffen betrachtete, das für Billigkeits- oder Zweckerwägungen keinen Raum lässt. Den Ausdruck „Begriffsjurisprudenz“ verwendete schon früh Jhering, Scherz und Ernst in der Jurisprudenz, S. 337. Etwas weniger wertend wird die am römischen Rechtssystem orientierte Rechtslehre des 19. Jahrhunderts auch häufig als „Pandektistik“ bezeichnet, vgl. z. B. bei Henkel, Begriffsjurisprudenz und Billigkeit, S.  1. Wesentlich geprägt wurde die Pandektistik von Georg Friedrich Puchta (z. B. Puchta, Lehrbuch der Pandekten), dem jedoch nach neueren Erkenntnissen ein Ausschluss von Gerechtigkeits- und Billigkeitserwägungen zumindest nicht pauschal vorgeworfen werden kann, vgl. die Untersuchungen von Henkel, Begriffsjurisprudenz und Billigkeit, S. 142–231. 58 Dazu allgemein bei Müller/Christensen, Juristische Methodik I, Rdnr. 350. Zu den Auslegungsmethoden speziell im Umfeld des Unionsrechts vgl. Müller/Christensen, Juristische Methodik II, S. 26–193.

40

B. Gang der Untersuchung, Methodik, Rechtsquellen

1. Verbal-argumentative Strategien des Interessenausgleichs Das Bundesverfassungsgericht (BVerfG) hat im ‚Lüth-Urteil‘ eine durch die Grundrechte aufgestellte objektive Werteordnung proklamiert.59 Im dortigen Fall hatte dies eine Ausstrahlungswirkung der von den Grundrechten aufgestellten Werteordnung auch auf das Zivilrecht in der Form zur Folge, dass innerhalb einer zivilrechtlichen Streitigkeit Rechtsbegriffe im Sinne der Verfassung und der grundrechtlichen Werteordnung auszulegen waren.60 Eine abstrakte, konsistente und kardinale Abstufung der Grundrechte im Rahmen dieser Werteordnung würde deren Abwägung gegeneinander und auch die Abwägung grundrechtsgeschützter Interessen auf einfachrechtlicher Ebene zwar wesentlich vereinfachen, bislang ist jedoch kein erfolgreicher Versuch einer umfassenden Beschreibung der Gewichtsbeziehungen der Grundrechte zueinander bekannt.61 Dennoch vollzieht das Bundesverfassungsgericht notwendigerweise regelmäßig Grundrechtsabwägungen und folgt dabei einer verbal-argumentativen, abstrakt-konkreten62 Vorgehensweise: Es ermittelt zunächst kollidierende Rechtspositionen, weist ihnen sodann abstraktes Gewicht zu und trifft zuletzt unter Berücksichtigung der konkreten Umstände eine Abwägungsentscheidung.63 Ein Zustand praktischer Konkordanz64, d. h. ein Ausgleich unter möglichst weitgehender Berücksichtigung aller verfassungsrechtlich relevanten Belange, stellt das ideale Ziel solcher Grundrechtsabwägungen dar.65 Die obersten Gerichte auf europäischer Ebene, namentlich der Europäische Gerichtshof für Menschenrechte (EGMR) und der Europäische Gerichtshof (EuGH), beschäftigen sich ebenfalls regelmäßig mit Abwägungsfragen. Dabei ist beiden Gerichten gemein, dass sie die Bedeutung von Abwägungsentscheidungen grundsätzlich anerkennen,66 regelmäßig selbst Abwägungen vornehmen und diese ver 59

BVerfG, Urt. v. 15.01.1958 – 1 BvR 400/51, BVerfGE, 7, 198 (205). BVerfG, Urt. v. 15.01.1958 – 1 BvR 400/51, BVerfGE, 7, 198 (205–207). 61 Sehr deutlich Schlink, Abwägung im Verfassungsrecht, S.  152: „Das Abwägungskonzept, das die rangmäßige Gewichtung und Ordnung von Werten und Gütern […] zur Voraussetzung hat, scheitert.“; dazu auch Dechsling, Das Verhältnismäßigkeitsgebot, S. 18–23 unter eingehender Auseinandersetzung mit der Gegenansicht; Isensee, in: Isensee/Kirchhof (Hrsg.), Hdb. Staatsrecht IX, § 191, Rdnr. 90: es gäbe „[…]keine gesicherte Skala für Rang und Gewicht der abzuwägenden Güter […]“; Müller/Christensen, Juristische Methodik I, Rdnr. 72: „Die Ganzheit eines grundrechtlichen oder verfassungsrechtlichen Wertsystems ist auch mit Hilfe des formalen Prinzips der sogenannten Güterabwägung nicht rationalisierbar.“ 62 Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 650. 63 Zu den Abwägungsschritten mit umfangreichen Verweisen auf entsprechende Rechtsprechung des BVerfG: Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 671–676. 64 Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, Rdnr. 72. 65 So jedenfalls Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 657, der feststellt, dass die Rechtsprechung des BVerfG „[i]n der Sache“ auf eine praktische Konkordanz zusteuere. 66 „It is precisely this constant search for  a balance between the fundamental rights of each individual which constitutes the foundation of a ‚democratic society‘“, EGMR, Urt. v. 24.04.1999 – App. 25088/94, 28331/95, 28443/95 (Abs. 113). 60

III. Methodik für die Untersuchung des Interessenausgleichs

41

bal-argumentativ erarbeiten und begründen. Die abzuwägenden Belange sind vielfältig – eine bedeutende Rolle spielen u. a. die von GRC und EMRK gewährten Grund- und Menschenrechte,67 die in den EU-Verträgen festgeschriebenen Grundfreiheiten68 sowie öffentliche Interessen der betroffenen Staaten und der Union. Beide Gerichte müssen im Rahmen von Abwägungen aber auch die Belange der von den Entscheidungen betroffenen Staaten, die jeweils eine eigene nationale Identität und eigene Verfassungswerte zu wahren haben, berücksichtigen.69 In der Rechtsprechung des EuGH spielen dabei das Verhältnismäßigkeitsprinzip70 und die Wahrung des Wesensgehalts71 von Grundrechten eine wichtige Rolle. Das Verhältnismäßigkeitsprinzip verlangt die Geeignetheit und Erforderlichkeit der ergriffenen Maßnahmen zur Erreichung der jeweils verfolgten Ziele, wobei unter mehreren gleich wirksamen Maßnahmen diejenige zu wählen ist, die die geringere Eingriffsintensität aufweist.72 Zuletzt muss zwischen den durch den Eingriff verursachten Folgen und den mit ihm verfolgten Zielen ein angemessenes Verhältnis bestehen.73 Bemerkenswert ist allerdings, dass der EuGH häufig die Angemessenheitsprüfung nicht ausdrücklich durchführt, was zum Teil darauf zurückgeführt wird, dass für diesen Bestandteil des Verhältnismäßigkeitsgrundsatzes im europäischen Recht kaum kodifizierte Anknüpfungspunkte existieren.74 Dies hat zur Folge, dass eine unmittelbare Gegenüberstellung – d. h. eine Abwägung, von Rechten und Interessen – in vielen Fällen zumindest nicht ausdrücklich stattfindet. Auch die Art.  29-DSGr. schlägt für die Gegenüberstellung der datenschutzrechtlich relevanten Interessen i. S. v. Art. 7 lit. f DS-RL eine Darstellung und Be 67 Zur Abwägung der europäischen Grundrechte gegeneinander durch EGMR und EuGH: Tzanou, CYELP 2010, 53. 68 Zur Abwägung der europäischen Grundrechte mit europäischen Grundfreiheiten durch den EuGH: Vries, ULR 2013, 169. 69 Der EGMR verwirklicht dies über die sog. ‚margin of appreciation‘-Doktrin (dazu: Vries, ULR 2013, 169 (183)), während der EuGH zwar regelmäßig eine Verhältnismäßigkeits­prüfung unter Berücksichtigung aller relevanten Belange fordert, es jedoch bisher meist vermieden hat, selbst konkrete Abwägungsentscheidungen zu treffen (kritisch bezüglich der Zurückhaltung des EuGH: Tzanou, CYELP 2010, 53 [74]). 70 Das Verhältnismäßigkeitsprinzip ist bezüglich der in der GRC niedergelegten Grundrechte im dortigen Art. 52 Abs. 1 Satz 2, bezüglich der Ausübung von Unionszuständigkeiten in Art. 5 Abs. 1 Satz 2 EUV festgeschrieben sowie darüber hinaus als allgemeines Rechtsprinzip in der EU anerkannt; dazu auch Jarass, in: Jarass (Hrsg.), Charta, Art. 52 GRC, Rdnr. 35– 36. Zur Anwendung des Verhältnismäßigkeitsprinzips durch den EuGH vgl. auch Vries, ULR 2013, 169 (172–175). Sauter unterscheidet auf EU-Ebene weiter zwischen Verhältnismäßigkeitsprüfungen, die die Maßnahmen von Mitgliedstaaten betreffen, und solchen, die die Maßnahmen der Union selbst betreffen, wobei letztere seiner Ansicht nach im Vergleich einer weniger strengen Prüfung unterzogen werden, Sauter, Proportionality in EU law, S. 9–23. 71 Wie genau sich der Wesensgehalt eines Grundrechts bestimmt, ist indes umstritten; vgl. dazu etwa Borowsky, in: Meyer (Hrsg.), Charta, Art. 52 GRC, Rdnr. 23. 72 So z. B. EuGH, Urt. v. 21.07.2011  – C-2/10 (Rdnr. 73); EuGH, Urt. v. 05.06.2008  – C-534/06 (Rdnr. 25). 73 Vgl. etwa EuGH, Urt. v. 05.06.2008 – C-534/06 (Rdnr. 25). 74 Jarass, in: Jarass (Hrsg.), Charta, Art. 52 GRC, Rdnr. 36.

42

B. Gang der Untersuchung, Methodik, Rechtsquellen

wertung derselben mit natürlich-sprachlicher Methodik vor: „Legitimate interests can range from insignificant through somewhat important to compelling […], the interests and rights of the data subjects may be more or may be less significant and may range from trivial to very serious.“75 Nachrangige Interessen des Datenverarbeiters seien demnach nur in der Lage, die Interessen der Betroffenen zu überwiegen, wenn diese im zu untersuchenden Fall von noch geringerer Bedeutung sind, während in anderen Fällen sogar bedeutende Interessen des Betroffenen hinter absolut zwingende Interessen des Datenverarbeiters zurücktreten müssten.76 2. Logisch-numerische Strategien des Interessenausgleichs In Konkurrenz zu dieser rein sprachlichen Bewältigung von Abwägungsszenarien stehen logisch-numerische Strategien, die darauf abzielen, Interessenausgleiche mithilfe mathematisch-logischer Methoden zu erarbeiten. Einen derartigen Ansatz verfolgt etwa Robert Alexy, dessen Abwägungskonzept mathematisch durch eine „Gewichtsformel“77 beschreibbar ist und auf der an Ronald Dworkins Rechtstheorie78 anknüpfenden Annahme fußt, dass (Grund-)Rechtsnormen sowohl Regeln als auch Prinzipien beinhalten können. Prinzipien, die im Gegensatz zu Regeln gerade keine unbedingte Erfüllung verlangen, seien gegeneinander aufwägbar, und wo zwei Prinzipien kollidieren, müsse nicht zwangsläufig eines vollständig seine Geltung verlieren, sondern es könne ein Prinzip im konkreten Fall den Vorzug erhalten.79 Für die Gesetzmäßigkeiten der Abwägung seien das Kol­ lisionsgesetz („Die Bedingungen, unter denen das eine Prinzip dem anderen vorgeht, bilden den Tatbestand einer Regel, die die Rechtsfolge des vorgehenden Prinzips ausspricht.“80) und das Abwägungsgesetz („Je höher der Grad der Nichterfüllung oder Beeinträchtigung des einen Prinzips ist, umso größer muss die Wichtigkeit der Erfüllung des anderen sein“81) gültig. Um die Abwägung sodann

75

Art. 29-Datenschutzgruppe, WP 217, S. 30. Art. 29-Datenschutzgruppe, WP 217, S. 30. 77 Dazu auch ausführlich Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 ff. 78 Zur Unterscheidung von Regeln und Prinzipien und der Abwägungsfähigkeit von Prinzipien im Recht formulierte Dworkin, Taking rights seriously, S. 39–43: „I call a ‚principle‘ a standard that is to be observed […] because it is a requirement of justice or fairness or some other dimension of morality. […] Rules are applicable in an all-or-nothing fashion. […] This first difference between rules and principles entails another. Principles have a dimension that rules do not – the dimension of weight or importance. When principles intersect […], one who must resolve the conflict has to take into account the relative weight of each. […] If two rules conflict, one of them cannot be a valid rule.“ 79 Alexy, Theorie der Grundrechte, S. 76–79. 80 Alexy, Theorie der Grundrechte, S. 84. 81 Alexy, Theorie der Grundrechte, S. 146; Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (772). 76

III. Methodik für die Untersuchung des Interessenausgleichs

43

mathematisch abzubilden, sei eine Gewichtsformel82 geeignet, die Variablen für das ‚konkrete Gewicht‘ (Gi,j) eines Prinzips (Pi) im Verhältnis zu einem anderen Prinzip (Pj) im zu prüfenden Kollisionsfall, für die ‚Eingriffsintensität‘ (Ii,j) bzgl. Pi und Pj unter einer bestimmten Bedingung (C), für das ‚abstrakte Gewicht‘ (Gi,j) der Prinzipien Pi und Pj und für die ‚Sicherheit‘ (Si,j) der empirischen Annahme darüber, wie sich die Maßnahme auf die Realisierung oder Nichtrealisierung von Pi und Pj auswirkt, enthält.83 Um konkrete Abwägungsvorgänge mit Zahlen auszudrücken, könnten die Variablen durch Zahlenwerte im Rahmen einer neunstufigen Ordinalskala ersetzt werden,84 deren Werte sich durch die ersten 9 Potenzen von 2 (20 bis 28) ausdrücken85. Ist das Ergebnis größer als 1, so setzt sich das Prinzip Pi gegenüber dem Prinzip Pj durch,86 ist der Wert kleiner als 1, verhält es sich exakt umgekehrt. Ergibt der Bruch genau den Wert 1, so handelt es sich um eine „Pattsituation“87.  l × Gi ×Si  Gij = i  lj × Gj × Sj  Formel 1: Gewichtsformel

Wenn auf jeder Seite der Abwägung, respektive im Nenner und Zähler der Gewichtsformel, mehrere Prinzipien streiten, so kann diese Prinzipienmehrheit auf verschiedene Weise mathematisch abgebildet werden. Die simple Addition der Prinzipien88 auf beiden Seiten des Bruches muss jedenfalls bei thematischen Über 82 Die Formel und ihre Variablen wurden unverändert übernommen von Alexy, in: Jickeli/ Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (790). 83 Für die ausführliche Erklärung und Herleitung der Variablen und ihrer Bezeichnungen siehe: Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (777–791). 84 Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (777–783). 85 Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S.  771 (785). Die Zahlenfolge ist durchaus nicht zufällig gewählt; Alexy verwendet zunächst versuchsweise die Zahlenwerte 1, 2 und 3 für die drei Stufen leicht, mittel und schwer, wechselt sodann jedoch auf die „geometrische Darstellung“ mittels 1, 2 und 4, die es zum einen erlaubt, das Gewicht eines Prinzips als mathematischen Bruch darzustellen, zum anderen auch das von ihm beschriebene Phänomen der „Indifferenzkurve“, also die Tatsache, dass ein Prinzip mit größerer Eingriffsintensität mehr Kraft gewinnt, abbildet. Um eine noch aussagekräftigere und detaillierte Funktionsfähigkeit der Formel zu erhalten, erweitert Alexy zuletzt die dreistufige Darstellung zu einer neunstufigen, wobei jede der vorherigen Bewertungsstufen jeweils wiederum in drei Stufen zerteilt und durch eine Potenz von 2 in Zahlen ausgedrückt wird, vgl. Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (783–787). 86 Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (786). 87 Alexy, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (786). 88 Nach Alexy als „erweiterte Gewichtsformel“ bezeichnet, vgl. Alexy, in: Jickeli/Kreutz/ Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771 (791–792).

44

B. Gang der Untersuchung, Methodik, Rechtsquellen

schneidungen der Prinzipien ausscheiden („teilweise Homogenität“).89 Vorgeschlagen wurde daher die Einführung eines „Heterogenitätssubtrahenden“.90 Dieser kann im Nenner und im Zähler zum Einsatz kommen, tendiert stärker gegen 0, je geringer die substanzielle Überschneidung ist, und ist maximal so groß wie das Gewicht des schwächsten ein anderes Prinzip verstärkenden Prinzips.91 Um dagegen das Problem der Vergleichbarkeit von Verfassungswerten zu bewältigen, wird zum Teil die Gegenüberstellung von Prinzipien durch einen Vergleich sogenannter ‚Trade-offs‘ ersetzt.92 Trade-offs sind dabei der Verzicht eines Individuums auf eine Grundrechtsposition zu Gunsten der Verwirklichung einer anderen Grundrechtsposition bei einem anderen Individuum.93 Der Grad der Erfüllung oder Nichterfüllung einer Grundrechtsposition sei messbar und daher zur Abwägung auch inkommensurabler Werte geeignet.94 Auch die von Alexy in der Variablen S berücksichtigte empirische (Un-)Sicherheit hat bereits eine Verfeinerung und Erweiterung erfahren: Nach einer Aufspaltung95 der empirischen Sicherheit in ‚Prämissenunsicherheit‘ und ‚Einstufungsunsicherheit‘ soll nur die erstere im Rahmen der Gewichtsformel berücksichtigt werden, während der Einstufungsunsicherheit im Rahmen eines der eigentlichen Abwägung vorausgehenden Einstufungsprozesses Rechnung getragen wird.96 Zusätzlich in die Abwägungsformel einfließen soll aber der Grad der normativen Unsicherheit.97 Eine Alternative für die unmittelbare Gegenüberstellung von Rechtsgütern stellt die Bildung sogenannter ‚Numéraires‘, also einer Bezugswährung, die das Verhältnis zweier Güter zueinander ausdrückt, dar.98 Sogar für nicht am Markt gehandelte Güter sei es möglich, deren Werte in eine einheitliche Währung, z. B. in Geld, zu überführen,99 wodurch sie einer abwägenden Gegenüberstellung zugänglich werden. Diskutiert wird in diesem Zusammenhang der Einsatz numerischer Verfahren aus dem Bereich der normativen Entscheidungstheorie,100 insbesondere 89 Breckwoldt/Kleiber, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 1 (12–13). 90 Breckwoldt/Kleiber, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 1 (20–22). 91 Breckwoldt/Kleiber, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 1 (21). 92 Da Silva, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 236 (236–270). 93 Da Silva, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 236 (249). 94 Da Silva, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 236 (249–258). 95 Klatt/Schmidt, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S.  105 (119–123). 96 Klatt/Schmidt, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S.  105 (124–129). 97 Klatt/Schmidt, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S.  105 (130-130-138). 98 Hofmann, Abwägung im Recht, S. 286–287. 99 Hofmann, Abwägung im Recht, S. 297–299. 100 Hofmann, Abwägung im Recht, S. 4. Unterschieden werden normative und deskriptive Entscheidungstheorie. Die von Hofmann behandelte normative Entscheidungstheorie befasst sich mit der mathematischen Analyse einer Entscheidungssituation zur Errechnung von Ent-

III. Methodik für die Untersuchung des Interessenausgleichs

45

verschiedener Verfahren zur Darstellung und Verarbeitung von Wahrscheinlichkeiten (u. a. die Berechnung von Wahrscheinlichkeiten nach Laplace,101 Methoden des Frequentismus,102 normativ-subjektivische Ansätze,103 Addition und Multi­ plikation von Wahrscheinlichkeiten,104 das Bayes-Theorem105 und Grundzüge der Fuzzy Logic106). 3. Ungeeignetheit beider Ansätze für die Untersuchung der Ausgangsfragen Der Vorteil der logisch-mathematischen Herangehensweise gegenüber einer sprachlich-intuitiven liege allgemein in der gesteigerten Präzision und Nachvollziehbarkeit der Aussagen.107 Letztere sei zudem mit einer höheren Akzeptanz108 hoheitlicher Entscheidungen verbunden. Unter Anwendung beider Herangehensweisen bleibt aber der eigentliche Inhalt der Abwägung im Recht dennoch unbestimmt, was manche zu dem Schluss kommen lässt, „[w]er abwägt, tut oft nicht mehr, als ein theoretisches Loch mit etwas Füllmaterial zu stopfen, von dem man eigentlich nicht genau weiß, woraus es besteht“109. Die Abwägung bringe eine scheidungsempfehlungen, vgl. Schwaiger/Meyer, Theorien und Methoden der Betriebswirtschaft, S. 179. Einführend zur Thematik: Saliger, Betriebswirtschaftliche Entscheidungstheorie. 101 Hofmann, Abwägung im Recht, S. 217–219. Die Formel von Laplace beschreibt ein Zufallsexperiment, das eine endliche Anzahl von Ergebnissen hat und bei dem jedes mögliche Ergebnis mit der gleichen Wahrscheinlichkeit auftreten kann; die Wahrscheinlichkeit für den Eintritt eines bestimmten Ereignisses (entweder ein einzelnes Ergebnis oder mehrere zum Ereignis kombinierte Ergebnisse) wird in diesem Fall durch einen Quotienten ausgedrückt, der im Nenner die Anzahl aller möglichen Ergebnisse und im Zähler die Anzahl der Ergebnisse trägt, bei denen das gewünschte Ereignis eintritt. Einführende Erläuterung der LaplaceFormel und Beispiele z. B. bei Wewel, Statistik im Bachelor-Studium der BWL und VWL, S. 161–162; Schira, Statistische Methoden der VWL und BWL, S. 219–222. 102 Hofmann, Abwägung im Recht, S. 219–221. Der frequentistische Wahrscheinlichkeitsbegriff versteht Wahrscheinlichkeiten als Grenzwert, d. h. es wird bei einer unendlichen Anzahl von Wiederholungen eines Zufallsexperiments unter gleichbleibenden Bedingungen die Anzahl der gewünschten Ereignisse zur Anzahl der unendlich großen Zahl von Wieder­ holungen ins Verhältnis gesetzt, dazu einführend mit Begriffsdefinitionen und Beispielen z. B. Rooch, Statistik für Ingenieure, S. 2–10. 103 Hofmann, Abwägung im Recht, S. 221–224. 104 Hofmann, Abwägung im Recht, S. 227–232. 105 Hofmann, Abwägung im Recht, S. 232–234. Der Satz von Bayes erlaubt es, die Wahrscheinlichkeit eines bedingten Ereignisses zu berechnen, also die Wahrscheinlichkeit, mit der ein bestimmtes Ereignis unter einer bestimmten Bedingung eintritt. Einführung und Beispiele z. B. bei Schira, Statistische Methoden der VWL und BWL, S. 247–249. 106 Hofmann, Abwägung im Recht, S. 310–314. Im Wesentlichen geht es bei der Methode der Fuzzy Logic um die Darstellung unscharf gegeneinander abgegrenzter Mengen und zugehöriger Rechenoperationen. Eine Einführung in die komplexe Materie bieten z. B. Nguyen/ Walker, A First Course in Fuzzy Logic. 107 Hofmann, Abwägung im Recht, S. 321–322; 287–292. 108 Hofmann, Abwägung im Recht, S. 292. 109 Windisch, in: Müller/Mastronardi (Hrsg.), Abwägung, S. 19 (19).

46

B. Gang der Untersuchung, Methodik, Rechtsquellen

„Entgesetzlichung nach oben“ und eine „Flucht in Generalklauseln“ mit sich.110 Sie gleiche einem „Zauberstab“, der unbekannte oder verlorene Werte durch ein Verfahren zu ersetzen suche.111 Kritisiert wird insbesondere die mangelnde Bewertungs- und Gewichtungs­ fähigkeit112 von abzuwägenden Rechtspositionen, aber auch deren Inkommen­ surabilität sowie unüberschaubare Vielfalt und mangelnde Kumulationsfähigkeit113 oder allgemein die Verortung von Abwägungsprozessen außerhalb der Ebene der Gesetzgebung.114. Indem er Abwägungen dennoch durchführe, kehre der Staat ein demokratisches System sorgfältiger und kompromissbereiter Verfahren nach außen, sichere jedoch letztlich nur seinen ausführenden Kräften „Macht […] über alle Normen hinweg“.115 Auch eine Kontrollfähigkeit von Abwägungsprozessen sei, schon wegen ihrer mangelnden Rationalität und Nachvollziehbarkeit, nicht gegeben, weshalb der Abwägungsstaat letztlich das Antonym zum Rechtsstaat darstelle.116 Verhältnismäßigkeit sei ein „geheimnisvoll-schillernder Begriff“, der lediglich einen Mangel an Rechtsklarheit und Rechtssicherheit, eine Entfernung von den eigentlichen Rechtsquellen, verdecke.117 Gerade im Datenschutzrecht sei außerdem das Abwägungsprinzip ungeeignet, die vielfältigen strukturellen, informationellen und gesellschaftlichen Hintergründe zu berücksichtigen, die für den Ausgleich relevant sind.118 Ein „allgemeiner Abwägungsvorbehalt“ führe stattdessen dazu, dass „[a]bstrakt definierte Allgemeininteressen“, „frei erfundene Gegen­

110

Leisner, Der Abwägungsstaat, S. 12. Leisner, MMR 1997, 636 (638). 112 Isensee, in: Isensee/Kirchhof (Hrsg.), Hdb. Staatsrecht IX, § 191, Rdnr.  90; Leisner, MMR 1997, 636 (638); speziell zur Bewertung von Grundrechtspositionen: Knies, Schranken der Kunstfreiheit als verfassungsrechtliches Problem, S. 39–41; Tsakyrakis, IJCL 2009, 468 (471) und insgesamt auch Goerlich, Wertordnung und Grundgesetz. Schmitt, in: Schelz (Hrsg.), Die Tyrannei der Werte, S. 9 (41), formuliert zum Problem der Bewertung: „Ein Jurist, der sich darauf einläßt, unmittelbarer Wertvollzieher zu werden, sollte wissen, was er tut. Er sollte die Herkunft und Struktur der Werte bedenken und […] müsste mit der neuzeitlichen Wert-Philosophie ins klare kommen, ehe er sich entschließt, Werter, Umwerter, Aufwerter oder Abwerter zu werden und als werttragendes und wertfühlendes Subjekt die Setzungen einer subjektiven oder auch objektiven Wertstufenordnung […] zu verkünden.“ 113 Aleinikoff, YLJ 1987, 943 (972–979). 114 Tsakyrakis, IJCL 2009, 468 (472). 115 Leisner, Der Abwägungsstaat, S. 243. Der Eindruck größtmöglicher Gerechtigkeit und Rechtsstaatlichkeit scheint dem Konzept der Abwägung inhärent zu sein, vgl. Tsakyrakis, IJCL 2009, 468 (469): „[Balancing] is a powerful metaphor that claims to capture, as a whole, the best method of decision making.“ 116 Leisner, Der Abwägungsstaat, S. 131–132. Dass es unmöglich sei, Abwägungsvorgänge zu rationalisieren, bemängelt auch Schlink, Abwägung im Verfassungsrecht, S. 151. F ­ orsthoff geht sogar noch weiter, und befürchtet eine teilweise Auflösung der Verfassung, verursacht durch „geisteswissenschaftlich-werthierarchische Auslegungsmethoden“ der Abwägung, Forsthoff, in: FS Schmitt, S. 35 (59). 117 Leisner, Der Abwägungsstaat, S. 243. 118 Pelopidas, Datenschutz – Prinzipien und Ziele, S. 120. 111

III. Methodik für die Untersuchung des Interessenausgleichs

47

interessen der Verwaltung“ und „aus dem Hut gezauberte ‚Gegenrechte‘“ das informationelle Selbstbestimmungsrecht in den Hintergrund drängen.119 Neben dieser völlig unüberschaubaren Bewertungsproblematik, der sich eine Untersuchung des Interessenausgleichs im Netzwerkumfeld unter Heranziehung der vorausgehend vorgestellten verbal-argumentativen oder logisch-mathematischen Ansätze immer stellen müsste, haben diese Methoden der Annäherung an die Abwägung einen weiteren entscheidenden Nachteil: Sie sind allesamt vorrangig dazu bestimmt, konkrete Abwägungsergebnisse im Einzelfall zu erarbeiten. Zwar soll die Strukturierung und Abstrahierung die Vergleichbarkeit verschiedener Abwägungsfälle verbessern und die Abwägung so weit als möglich rationalisieren, es bleibt aber das primäre Ziel all dieser Methoden, konkrete (wenn auch möglichst rationale und einem theoretischen Erklärungsmodell zugängliche) Abwägungsergebnisse zu produzieren. Die Untersuchung der zuvor aufgeworfenen Ausgangsfragen (Gliederungspunkt A) verlangt hingegen gerade nicht, dass für den konkreten Einzelfall der Rechtsanwendung ein Interessenausgleich hergestellt oder konkrete Ergebnisse dieses Interessenausgleichs beleuchtet werden, sondern es steht stattdessen in Frage, auf welche Weise das Datenschutzrecht überhaupt einen Interessenausgleich anstrebt, d. h. welche ‚Instrumente‘ oder ‚Werkzeuge‘ es für die Durchführung von Interessenabwägungen bereitstellt, wie diese Instrumente im Allgemeinen funktionieren (sollen) und ob sich für ihre Funktionsweise bei einer Verwendung im Umfeld sozialer Medien Besonderheiten oder gar Inkompatibilitäten ergeben. Um dies zu ermitteln, ist es folglich weder erforderlich noch förderlich, einzelne Fälle des Interessenausgleichs zu lösen, sondern es steht eine an funktionellen Aspekten orientierte Untersuchung des Interessenausgleichs im Datenschutzrecht im Vordergrund. Über eben jene funktionellen Aspekte geben die bislang vorgestellten Ansätze aber keinen oder nur wenig Aufschluss. 4. Eigener Ansatz: Untersuchung der Funktionsweise der Abwägungsinstrumente Anstelle von Einzelfallargumentationen wird im Folgenden daher der Rückgriff auf einen rein funktionellen Ansatz der Analyse angestrebt, welcher darauf abzielt, die vom Gesetzgeber für den Interessenausgleich bereit­gestellten und von Schrifttum und Recht­sprechung ver­wendeten ‚Ausgleichs­instrumente‘ oder ‚Ab­ wägungs­werk­zeuge‘ zunächst auf ihre allgemeinen Funktionen und Wirkweisen und sodann auf mögliche besondere Relevanzen und Ab­weichun­­gen der Funktionen und Wirk­­weisen im Netzwerk­umfeld hin zu untersuchen. Die Einnahme eines rein funktionellen Blickwinkels soll dabei eine möglichst objektive Untersuchung der Wirkung und Funktionen einzelner Abwägungsinstrumente und eine objektive Beurteilung der Leistungsfähigkeit der ‚Abwägungs­mecha­nik‘ im Da­ 119

Pelopidas, Datenschutz – Prinzipien und Ziele, S. 121–122.

48

B. Gang der Untersuchung, Methodik, Rechtsquellen

tenschutz­recht unter verschieden­artigen äußeren Be­dingungen gestatten, wobei die mit der Abwägung ansonsten stets in Ver­bindung stehenden Proble­me der subjektiven Wer­tung und Gewichtung außen vor bleiben und so die Analyse nicht beeinträchtigen können.

Abbildung 1: Instrumente des datenschutzrechtlichen Interessenausgleichs Tabelle 1 Instrumente des Interessenausgleichs

Definition

Funktions­ beschreibung

Symbol

Belange

Mechanismen

Kriterien

Vom Gesetzgeber und der Rechtsprechung anerkannte Interessen und Rechtsgüter

Vom Gesetzgeber vorgesehene Ab­ wägungsspielräume

Vom Gesetzgeber und der Rechtsprechung als abwägungsrelevant anerkannte Argumente

Kennzeichnen die abzuwägenden Rechtspositionen

Kennzeichnen Ver­ ortung und Spielraum des Interessenausgleichs im Recht

Kennzeichnen Argumente und ihre Durchschlagskraft bei der Gewichtung von abzuwägenden Belangen

□

△

○

Dem­­­ent­­sprechend sollen die relevanten Instrumente des Interessen­ausgleichs, ihrer Funktion gemäß in ‚Werkzeug‘-Kategorien der ‚Abwägungsbelange‘, ‚Abwägungsmechanismen‘ und ‚Abwägungskriterien‘ geordnet, jeweils einzeln auf ihre Funktionsweise im Allgemeinen (Gliederungspunkt C) und unter den spezifischen Voraussetzungen in der Netzwerkumgebung (Gliederungspunkt D) hin untersucht werden.120 120

Ähnliche, wenn auch abstraktere Vorgehensweise bei Woertge, Die Prinzipien des Datenschutzrechts und ihre Realisierung im geltenden Recht, S. 54–205. Dort werden zunächst „Fundamentalprinzipien“ abstrakt herausgearbeitet, die das Datenschutzrecht prägen. An-

III. Methodik für die Untersuchung des Interessenausgleichs

49

Unter ‚Belangen‘ (□) der Abwägung oder des Ausgleichs werden im Folgenden die Werte, Belange oder Interessen verstanden, die der Gesetzgeber ausdrücklich anerkennt, oder die sich implizit aus der Betrachtung einer einzelnen Regelung im Gesamtzusammenhang eines Normkomplexes, einer mittelbaren Wirkung von Grundrechten auf den zu betrachtenden Abwägungsfall121 oder dem Sachverhalt im konkreten Einzelfall ergeben. ‚Mechanismen‘ (△) bezeichnen dagegen die Spielräume oder Wirkungszusam­ menhänge, die der Gesetzgeber benutzt, um eine Abwägung und den Ausgleich von Interessen überhaupt zu gestatten. Abwägungsmechanismen finden sich demnach überall dort, wo die gesetzlichen Vorgaben offen genug bleiben, um dem Rechtsanwender den Ausgleich von Interessen im Einzelfall zu gestatten, beispielsweise also, wo der Gesetzgeber ausdrücklich die Abwägung von Interessen anordnet,122 offene Formulierungen, unbestimmte Rechtsbegriffe oder gar Generalklauseln123 einsetzt.124 Ebenso enthält der Erforderlichkeitsbegriff einen Abwägungsmechanismus125 und auch der Verhältnismäßigkeitsgrundsatz126 verlangt schließend wird deren Ausgestaltung in einzelnen Normierungen des Datenschutzrechts untersucht. 121 Dazu näher unter D. III. 2. a). 122 Ausdrückliche Interessenabwägungsklauseln oder eine direkte Bezugnahme auf das Interesse der Beteiligten finden sich z. B. in § 23 Abs. 2 KUG, § 34 StGB, §§ 626 Abs. 1, 543 Abs. 1, 275 Abs. 3 BGB. 123 Vgl. dazu Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 815–816. 124 Hubmann, AcP 1956, 85 (86); Kraft, Interessenabwägung und gute Sitten im Wettbewerbsrecht, S. 43. Diese Mechanismen erlauben eine situationsgerechte Auslegung und gestatten es, die grundrechtliche Werteordnung im Rahmen mittelbarer Drittwirkung bei der Auslegung von Normen auch im Privatrecht zu berücksichtigen, dazu: BVerfG, Urt. v. 15.01.1958 – 1 BvR 400/51, BVerfGE, 7, 198 (205–207). Letztlich verschaffen sie damit dem Prinzip des Ausgleichs zwischen Verfassungsgütern auch im einfachen Recht Geltung: Riehm, Abwägungsentscheidungen in der praktischen Rechtsanwendung, S.  9. So verlangt z. B. die Formulierung von ‚Treu und Glauben‘, § 242 BGB, „eine Abwägung zwischen den Interessen aller am Rechtsverhältnis beteiligten Personen“. Weitere Beispiele für unbestimmte Rechtsbegriffe oder -prinzipien, die eine Interessenabwägung implizieren, sind ‚(Un-)Zuverlässigkeit‘, z. B. § 35 Abs. 1 GewO, § 4 Abs. 1 Nr. 1 GastG, oder ‚Zumutbarkeit‘, z. B. § 35 Abs. 1 StGB sowie der Gefahrenbegriff im Gefahrenabwehrrecht (dazu Schneider, ARSP 2009, 216). 125 So ist z. B. einem Gewerbetreibenden nach § 35 Abs. 1 GewO auch bei Unzuverlässigkeit die Gewerbeausübung nur dann zu untersagen, wenn dies erforderlich ist, um die Allgemeinheit oder Angestellte zu schützen. Anderer Ansicht aber Leisner, Der Abwägungsstaat, S.  195, der eine Abwägung im Zusammenhang mit dem Erforderlichkeitsgebot insgesamt ausschließt: „Was erforderlich ist, läßt sich nie, im Bereich der Staatlichkeit wie auch sonst, durch Abwägung feststellen, solange ein Grundprinzip der Rechtsstaatlichkeit nicht aufgegeben wird: die grundsätzliche Freiheit des Bürgers von hoheitlichem Zwang.“ 126 Zum Zusammenhang zwischen Verhältnismäßigkeitsgrundsatz und Abwägung Leisner, Der Abwägungsstaat, S.  202: „Die enge, untrennbare Verbindung beider Begriffe hat sich uns immer wieder gezeigt: Wo Verhältnismäßigkeit nicht im Verfahren der Abwägung wird, entsteht sie nicht wirklich“. Umgekehrt möchte Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 818, nicht Verhältnismäßigkeit durch Abwägung gewinnen, sondern Abwägungen aus dem Gebot der Verhältnismäßigkeit heraus durchführen und sich dabei an Letzterem orientieren.

50

B. Gang der Untersuchung, Methodik, Rechtsquellen

im engeren verfassungsrechtlichen Sinne „eine Abwägung zwischen dem Nutzen der Maßnahme und den durch die Maßnahmen herbeigeführten Beeinträchtigungen“127, „eine Abwägung zwischen dem eingeschränkten Grundrecht auf der einen Seite und dem Schutzgut auf der anderen Seite“128. Eine Interessenabwägung verbirgt sich in der Ermessensprüfung, die eine „Abwägung, bei der die Behörde die betroffenen privaten und öffentlichen Interessen nach ihrer konkreten Betroffenheit im jeweiligen Einzelfall gewichten muss“129, verlangt, und auch wo der öffentlichen Hand eine planerische Gestaltungsfreiheit zusteht, müssen die Vor- und Nachteile möglicher Handlungsalternativen gegeneinander abgewogen werden.130 Hinzu tritt ein weiterer Mechanismus des Interessenausgleichs, der sich durch eine aktive Rechtsgestaltung, Rechtsausübung131 oder einen Rechtsverzicht132 durch einen Interessenträger kennzeichnet.133 Rechtssubjekte können durch eine Einwilligungserklärung gegenüber staatlicher Hoheitsmacht auf ihre Grundrechte134 bzw. gegenüber privaten Dritten auf ihre absoluten und sonstigen Rechte (vgl. z. B. § 228  StGB, § 22  KUG) verzichten oder durch den Abschluss rechtswirksamer Verträge die Rechtslage aktiv gestalten und damit ihren rechtlichen oder tatsächlichen Interessen durch eine Abbedingung dispositiven Rechts Ausdruck verleihen. Dieser Mechanismus des Interessenausgleichs ist allerdings nicht unbedingt wirksam – der aktiven Willensbetätigung des Rechtssubjekts sind durch das positive Recht und die grundlegenden Voraussetzungen einer wirksamen Willens­ betätigung (insbesondere Verfügungsgewalt über das Rechtsgut und Freiwilligkeit135) eindeutige Grenzen gesetzt. Zuletzt können sehr spezifische Mechanismen eingesetzt werden, um Interessenausgleiche herbeizuführen bzw. Interessenungleichgewichte zu beheben – man denke etwa an die besonderen Widerrufsrechte, die gemäß §§ 312g Abs. 1, 355 BGB Verbrauchern im Fernabsatzhandel zugestanden sind, um ihre gegenüber dem Verkäufer schwächere Position (sie können das Produkt nicht begutachten und testen) auszugleichen. Im Zusammenhang mit diesen Mechanismen definiert der Gesetzgeber sodann Gewichtungsregeln durch die Etablierung von für die Abwägung heranzuziehen-

127 Grzeszick, in: Maunz/Dürig/Herzog et al. (Hrsg.), GG Bd.  III, Art.  20 GG, Kap.  VII, Rdnr. 117. 128 Huster/Rux, in: Epping/Hillgruber (Hrsg.), BeckOK GG, Art. 20 GG, Rdnr. 197. Erstmals ausdrücklich gefordert wurde die Grundrechtsabwägung vom BVerfG im ‚Lüth‘-Urteil: BVerfG, Urt. v. 15.01.1958 – 1 BvR 400/51, BVerfGE, 7, 198 (210). 129 Aschke, in: Bader/Ronellenfitsch (Hrsg.), BeckOK VwVfG, § 40 VwVfG, Rdnr. 55. 130 Dazu Dreier, Die normative Steuerung der planerischen Abwägung, S. 76. 131 Geiger, NVwZ 1989, 35 (37). 132 Manssen, Staatsrecht II, Rdnr. 133. 133 Buchner, Informationelle Selbstbestimmung im Privatrecht, S.  102, bezeichnet diese Mechanismen als „Rahmenbedingungen, die es den beteiligten Parteien ermöglichen, selbst für einen interessengerechten Ausgleich zu sorgen“. 134 Vgl. dazu beispielsweise Manssen, Staatsrecht II, Rdnr. 134–136; Epping, Grundrechte, Rdnr. 111–113. 135 Manssen, Staatsrecht II, Rdnr. 134.

III. Methodik für die Untersuchung des Interessenausgleichs

51

den ‚Kriterien‘ (○), mit welchen regelmäßig eine bestimmte Wertung verbunden ist, die den Grad der gesetzgeberischen Anerkennung oder eine Bewertung bestimmter Belange ausdrückt. Z. B. bringt die Schaffung von Spezialregelungen für Verbraucher oder Minderjährige allgemein zum Ausdruck, dass der Gesetzgeber mit dem Auftreten eines Rechtssubjekts in dieser Rolle eine Wertung (hier: besondere Schutzbedürftigkeit) verknüpft. Bei der Anwendung gesetzgeberisch vorgezeichneter Abwägungsmechanismen entwickeln Literatur und Rechtsprechung diese Kriterien im Rahmen einer an den Grenzen der Leistungsfähigkeit reiner Subsumtion ansetzenden methodengerechten136 Auslegung fort und fügen bisweilen im Wege der Rechtsfortbildung137 neue Kriterien hinzu. 5. Möglichkeiten und Grenzen der gewählten Vorgehensweise Eine funktionell ausgerichtete Analyse der gesetzgeberischen Abwägungsvorgaben und der in der Rechtsanwendung herausgebildeten Abwägungslinien in einem nach funktionellen Gesichtspunkten gebildeten System der ‚Abwägungsinstrumente‘  – bestehend aus ‚Abwägungsbelangen‘ (□), ‚Abwägungsmechanismen‘ (△) und ‚Abwägungskriterien‘ (○) – erlaubt es, die Funktionsweise des datenschutzrechtlichen Interessenausgleichs zunächst allgemein zu betrachten und diese Betrachtung sodann unter Einbeziehung der Besonderheiten des Interessengefüges in der Netzwerkumgebung weiter zu entwickeln, ohne bezüglich dieser Analysen mit konkreten Wertungs- oder Gewichtungsproblemen konfrontiert zu sein. Dies geschieht, indem die Abwägungsinstrumente und ihre jeweilige Funktionsweise zunächst exemplarisch dargestellt werden. Anschließend werden für ausgewählte Werkzeuge die Besonderheiten der Anwendung im Kontext sozialer Online-Netzwerke und auftretende spezifische Konflikte und Inkompatibilitäten ermittelt. Auf diese Weise kann eine (zwangsläufig von subjektiven Faktoren beeinflusste) Argumentation hinsichtlich konkreter Wertungen vermieden und stattdessen eine möglichst objektive Beurteilung der Funktionsweise und Leistungs­ fähigkeit der ‚Abwägungsmechanik‘ im Datenschutzrecht und ihrer Tauglichkeit im Netzwerkkontext gewährleistet werden. Dabei unterliegt freilich die Feststellung der allgemeinen Wirkweise der Werkzeuge sowie die Analyse der Anwendung und Fortentwicklung durch Rechtspre 136 Dabei wird es keine letztentscheidende ‚Metamethode‘ geben können; für die wissenschaftliche Korrektheit einer methodischen Auslegung kommt es stattdessen auf die Kenntlichmachung der gewählten Methode und deren nachprüfbare Anwendung an, vgl. dazu: Adrian, Grundzüge einer allgemeinen Wissenschaftstheorie auch für Juristen, S. 98–103. 137 Zu unterscheiden sind gesetzesimmanente und gesetzesübersteigende Rechtsfortbildung. Erstere beruht auf der Gewinnung einer Erkenntnis über den von dem jeweiligen Gesetz hergestellten Interessenausgleich und einer anschließenden Übertragung dieses Interessenausgleichs auf eine neue Situation, vgl. bei Kraft, Interessenabwägung und gute Sitten im Wettbewerbsrecht, S. 36–37. Zu Begriff und Grenzen der richterlichen Rechtsfortbildung bei Drechsler, ZJS 2015, 344.

52

B. Gang der Untersuchung, Methodik, Rechtsquellen

chung und Literatur und auch die Erörterung möglicher Besonderheiten und Inkompatibilitäten im Umfeld sozialer Netzwerke bereits selbst notwendigerweise einer unvermeidbaren Wertung und Abwägung. Zu deren Feststellung sind nämlich wiederum die Heranziehung und Auslegung der gesetzlichen Bestimmungen und eine Interpretation der von Rechtsprechung und Schrifttum getätigten Äußerungen durch die Verfasserin von Nöten, was im hier weit verstandenen Sinne des Begriffes wiederum Abwägungsentscheidungen nach sich zieht.138 Auch ist die an der Funktion der Instrumente für den Interessenausgleich ausgerichtete Einteilung in ‚Abwägungsbelange‘, ‚Abwägungsmechanismen‘ und ‚Abwägungskriterien‘ weder statischer noch eindeutiger oder abschließender Natur. So können etwa auch die vom Gesetzgeber oder der Rechtsprechung zur Anerkennung oder Hervorhebung bestimmter Interessen eingesetzten Kriterien wieder der Auslegung und somit einer Abwägung zugängliche Begriffe (d. h.: Mechanismen) enthalten. Die Unterscheidung taugt mithin nur bedingt dazu, letztverbindliche Einzelfallwertungen bei der Durchführung von Interessenabwägungen zu erarbeiten. Sie dient stattdessen vielmehr einem funktionellen Zugang zur Thematik, nämlich der übersichtlichen Darstellung und Analyse der Funktionsweise des Interessenausgleichskonzepts. Sie ist nicht mehr als ein Hilfsmittel für die gezielte Untersuchung der datenschutzrechtlichen Instrumente des Interessenausgleichs und ihrer Wirkweise im Allgemeinen sowie der Veränderung und Besonderheiten ihrer Wirkweise im Zusammenhang mit dem Interessengefüge im Netzwerkumfeld, jeweils unter Berücksichtigung gesetzgeberischer Vorgaben und der von Literatur und Rechtsprechung entwickelten Strategien zu deren Anwendung. Es handelt sich mithin um ein auf das ‚Wie‘ und ‚Warum‘ gerichtetes Konzept, das erklären soll, wie der datenschutzrechtliche Interessenausgleich funktioniert, bzw. wie und warum sich seine Funktion unter gewissen Vorzeichen verändert.

IV. Zusammenfassung Die Suche nach einer zur Beantwortung der Ausgangsfragen geeigneten Herangehensweise führte zunächst über aus Rechtsprechung und Schrifttum bekannte Ansätze des Umgangs mit Abwägungsproblematiken. Es zeigte sich, dass logischmathematische Methoden sich in der Rechtsprechung nicht durchsetzen konnten, obwohl augenscheinlich die präzise Beschreibung von abzuwägenden Gewichten und ihrem Verhältnis zueinander mit mathematischen Werten deutlich besser gelingt als mit Worten. Allerdings löst die logische Beschreibung von Wertpositionen und ihrem Verhältnis nicht das jeder Abwägung zugrunde liegende Bewertungsproblem,139 d. h. die Frage, wie die „Wertigkeit“ konkurrierender Interessen 138

Zu den der Auslegung des Gesetzeswortlauts inhärenten Abwägungsprozessen und den einer jeden Abwägung zudem anhaftenden subjektiven Aspekten: Riehm, Abwägungsentscheidungen in der praktischen Rechtsanwendung, S. 8; 17–19; 193–194. 139 Stern, Das Staatsrecht der Bundesrepublik Deutschland, S. 819.

IV. Zusammenfassung

53

bestimmt werden kann140 und welcher Maßstab für deren Abwägung anzulegen ist141. Selbst die Verfechter mathematisch-logischer Ansätze müssen an dieser Stelle auf verbal-argumentative Strategien zurückgreifen, um die Gewichtung abzuwägender Belange zu begründen.142 Teile der Literatur stehen aufgrund von Bedenken hinsichtlich der Rechtsstaatlichkeit aber der Abwägung insgesamt kritisch oder zumindest skeptisch gegenüber. Für die vorliegend zu beantwortenden Ausgangsfragen ist das Treffen einzelfallbezogener Abwägungsentscheidungen allerdings nicht relevant, sondern es steht vielmehr die Frage nach der Tauglichkeit der im Datenschutzrecht allgemein verwendeten Instrumente des Interessenausgleichs für eine Anwendung im Kontext sozialer Online-Netzwerke im Raum. Um diese gezielt zu evaluieren, wird daher stattdessen ein funktionell orientierter Ansatz gewählt, wobei zunächst die im Datenschutzrecht eingesetzten ‚Abwägungswerkzeuge‘ ihrer Funktion entsprechend den Kategorien der ‚Belange‘ (□), ‚Mechanismen‘ (△) und ‚Kriterien‘ (○) des Interessenausgleichs zugeordnet und exemplarisch auf die Details der ihnen vom Gesetzgeber und der Rechtsprechung jeweils zugedachten Funktionsweise hin untersucht und dargestellt werden, um ein Gesamtbild von der datenschutzrechtlichen ‚Abwägungsmechanik‘ zu zeichnen. Darauf aufbauend sollen ausgewählte Abwägungsinstrumente auf ihre besondere Relevanz und mögliche Abweichungen in ihrer Funktionsweise im Netzwerkumfeld hin untersucht werden. Dabei ist primär die DS-GVO als künftig unmittelbar anwendbares Recht sowie ergänzend das sie rahmende europäische Primärrecht heranzuziehen.

140

Leisner, MMR 1997, 636 (638). Dechsling, Das Verhältnismäßigkeitsgebot, S. 17. 142 So auch praktiziert von Alexy, Theorie der Grundrechte, S. 150. 141

C. Instrumente des Interessenausgleichs im Datenschutzrecht Abwägungsmechanismen und -entscheidungen sind ein ganz wesentlicher Bestandteil des deutschen und europäischen Rechtssystems. Auch bei den gesetzlichen Grundlagen für Datenverarbeitungen1 und vielen weiteren datenschutzrechtlichen Vorschriften (materieller oder formeller Art) handelt es sich um nichts anderes als den Ausdruck eines vom Gesetzgeber intendierten Interessenausgleichs, wobei sich auch das Datenschutzrecht der oben beschriebenen ‚Werkzeuge‘ oder ‚Instrumente‘2 bedient, um die unterschiedlichen betroffenen Belange zum Ausgleich zu bringen. Um die vom Gesetzgeber im Datenschutzrecht berücksichtigten Belange und die zu deren Ausgleich verwendeten Mechanismen und Kriterien sowie die sich daraus ableitenden Wertungen zu ermitteln, werden die europäischen Grundrechte und das europäische Sekundärrecht – insbesondere die DS-GVO als das (zukünftig) zentrale europäische Regelungswerk für den Datenschutz  – auf die dort erkennbaren Belange, Kriterien und Mechanismen und deren Funktion hin untersucht sowie deren Bewertung bzw. Umsetzung durch einschlägige Rechtsprechung und Literatur3 beleuchtet. Eine vollständige Erfassung sämtlicher Werkzeuge 1

Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (246); Sydow/Kring, ZD 2014, 271 (272). Die DS-RL sei in verschiedener Hinsicht gerade dazu geschaffen, Spielraum für die Berücksichtigung und den Ausgleich von Interessen zu belassen („the Directive was designed to leave room for interpretation and balancing of interests“): Art.  29-Datenschutzgruppe, WP 217, S. 11. Auch die DS-GVO verlange „regelmäßig eine Interessenabwägung“, Pötters, RDV 2015, 10 (15). Die DS-GVO solle „einen Ausgleich zwischen den bedeutenden Interessen des Einzelnen am Schutz seiner Daten und dem fundamentalen Interesse der Wirtschaft am freien […] Datenaustausch“ herstellen: Schaffland/Wiltfang, in: Schaffland/Wiltfang (Hrsg.), BDSG, vor Nr. 5000 (DS-GVO), vor Rdnr. 1. 2 B. III. 4. 3 Den Ergebnissen der Identifizierung möglicher Rechtsquellen und der zugrundezulegenden Auslegungsmethodik zufolge (siehe oben unter: B.II) erfolgt eine Heranziehung von Literatur aus dem Zeitraum vor dem Erlass der DS-GVO grundsätzlich nur in ausdrücklicher Unterscheidung bzw. ausdrücklichem Vergleich zwischen DS-RL/deutscher Umsetzung und DS-GVO. Soweit Beiträge referenziert werden, die sich mit unterschiedlichen Entwurfsstadien der DS-GVO (dazu oben, Kap.  B. Fn.  23) befassen, wird ihr Zusammenhang ebenfalls eindeutig gekennzeichnet. Ein nicht in dieser Weise kommentierter Rückbezug beschränkt sich auf Beiträge zum Interessenausgleich auf der Verfassungs- bzw. Primärrechtsebene, welcher auch die Auslegung und Anwendung der DS-GVO weiterhin beeinflusst, auf Erkenntnisse bezüglich solcher Aspekte der Sekundärrechtsebene, welche aufgrund einer Wortlautübernahme unmittelbar vergleichbar sind sowie auf Erkenntnisse zu allgemeinen datenschutzrechtlichen Begriffen, Grundlagen oder Prinzipien, die auch unter der neuen Rechtslage nach wie vor Gültigkeit besitzen. Die umfassende Darstellung eines Abgleichs zwischen DS-RL und DS-GVO würde den Rahmen dieser Arbeit sprengen – ersatzweise sei deswegen

I. Abwägungsbelange im Datenschutzrecht □

55

und der zugehörigen Wertungen ist im Rahmen der vorliegenden Arbeit allerdings nicht leistbar. Die Darstellung erhebt daher keinen Anspruch auf Vollständigkeit und folgt auch nicht zwingend der Systematik der relevanten Normenkomplexe, sondern zielt vielmehr darauf, solche Werkzeuge hervorzuheben, die einerseits exemplarisch die Funktion datenschutzrechtlicher Ausgleichsinstrumente nachzeichnen und einen Überblick über die ‚Mechanik‘ der Abwägung im Datenschutzrecht liefern können und andererseits im Anschluss eine Fortentwicklung der Ergebnisse im Hinblick auf den Kontext sozialer Online-Netzwerke gestatten.

I. Abwägungsbelange im Datenschutzrecht □ ‚Abwägungsbelange‘ (□) sind die vom Gesetzgeber und der Rechtsprechung anerkannten Interessen und Rechte, die in die Abwägung auf beiden Seiten einzustellen sind.4 Auf der Ebene des Grundrechtsausgleichs sind als Abwägungsgegenstände die jeweils betroffenen Grundrechte sowie die von der Union anerkannten Gemeinwohlziele heranzuziehen, Art.  52 Abs.  1 GRC. Das europäische Datenschutzrecht widmet sich jedoch auch unterhalb der Grundrechtsebene allgemein dem Schutz natürlicher Personen5 (vgl. Art. 1 Abs. 1 DS-GVO), ihrer Grundrechte und Grundfreiheiten, insbesondere des Grundrechts auf den Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DS-GVO), und berücksichtigt dabei auch alle anderen von der GRC und den EU-Verträgen anerkannten Rechte und Freiheiten, u. a. die Achtung der Wohnung und der Kommunikation, die Gedanken-, Gewissens- und Religionsfreiheit, Meinungsfreiheit und Informationsfreiheit, unternehmerische Freiheit, Verfahrens­grundrechte und das Ziel der Vielfalt der Kulturen, Religionen und Sprachen in der EU (Erwgr. 4 DS-GVO). Gleichermaßen im Fokus stehen der freie Verkehr personenbezogener Daten in der Union (Art. 1 Abs. 3 DS-GVO), die Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, wirtschaftlicher und sozialer Fortschritt, Stärkung und Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts6 sowie allgemein das Wohlergehen natürlicher Personen (Erwgr. 2 DS-GVO). auf die Erläuterungen bei Härting, Datenschutz-Grundverordnung, sowie auf die Zusammenschau ausgewählter Normen aus dem materiellen Teil der beiden Regelungswerke bei Razvan, PinG 2016, 65, verwiesen. 4 B. III. 4. 5 Unter der Bezeichnung „Schutzgüter“ differenziert Lewinski zwischen dem Schutz des Eigenwerts des Menschen, dem Schutz physischer, logischer und sozialer Räume, der informationellen Fremdbeschränkung (d. h. „die [Mit-]Entscheidungsmacht über Informationen, die einen selbst betreffen, bei einem Dritten“), informationeller Gestaltung und Verfügung, dem Schutz des gesellschaftlichen Informationsgleichgewichts und der Eingliederung des Datenschutzes in die gesamte Informationsordnung: Lewinski, Die Matrix des Datenschutzes, S. 18–63. 6 Darauf, dass gerade die Förderung des Binnenmarkts mit dem Datenschutz aber nicht konkurrieren soll, sondern beide Belange vom Gesetzgeber als wechselseitig konstitutive Voraussetzungen etabliert wurden, verweist Birnhack, CLSR 2008, 508 (512).

56

C. Instrumente des Interessenausgleichs

Ausdrücklich als mögliche berechtigte Interessen angeführt werden im Zusammenhang mit dem Tatbestand aus Art. 6 Abs. 1 Satz 1 lit. f DS-GVO etwa die Betrugsprävention, Datenverarbeitungen im Rahmen von Direktmarketing7 (Erwgr. 47 DS-GVO), Datenübermittlungen innerhalb von Unternehmens­gruppen und Kon­zernen (Erwgr.  48  DS-GVO) sowie die Aufrechterhaltung eines angemessenen Sicherheitsniveaus für Informationsdienste und Kommunikationsnetze (Erwgr. 49 DS-GVO). Im Zusammenhang mit den Tatbeständen des Art. 9 Abs. 2 DS-GVO werden lebenswichtige Interessen des Betroffenen oder Dritter (Art. 9 Abs. 2 lit. c DS-GVO), erhebliche öffentliche Interessen (Art. 9 Abs. 2 lit. g DS-GVO), Archivzwecke, Forschungszwecke sowie statistische Zwecke (Art.  9 Abs. 2 lit. j DS-GVO) genannt. Die Grundrechte auf Datenschutz und/oder Achtung des Privatlebens hielt der EuGH für betroffen, wenn personenbezogene Daten gespeichert,8 übermittelt,9 veröffentlicht,10 anderweitig verarbeitet11 oder Dritten ein Zugang zu ihnen gewährt12 wurde. Dabei war zumindest das Vorliegen eines Eingriffs in die Grundrechte regelmäßig unabhängig von Sensibilität und Verwendungsmöglichkeiten der Daten sowie tatsächlichen Nachteilen für Betroffene13 – diese Kriterien finden erst bei einer späteren Beurteilung der Rechtfertigung des Eingriffs Eingang in die Argumentation. Als legitime ‚Gegengewichte‘ zum Datenschutz macht der EuGH die öffentliche Sicherheit und Ordnung, die effiziente Funktion von Ver­waltungsorganen und Kontrollmechanismen, die effiziente Anwendung von Rechtsvorschriften,14 Informationsinteressen15 und Informationsansprüche16 der Öffentlichkeit, das Interesse an der Einhaltung gesetzlicher Verpflichtungen17, das geistige Eigentum18 und allgemein wirtschaftliche Interessen19 aus.

7

Zur Anerkennung von Direktmarketing als legitimes Interesse im Vorfeld des Erlasses der DS-GVO sehr kritisch: EDRi, Position on the Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), S. 10. 8 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 34). 9 EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rndr. 74). 10 EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 (Rndr. 58–60). 11 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 36). 12 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 35). 13 EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rndr. 74–75); EuGH, Urt. v. 06.10.2015 – C-362/14 (Rndr. 87); widersprüchlich aber, dass im Fall ‚The Queen vs. Trevor Robert und Penny Fisher‘ trotz der Durchführung einer Datenübermittlung keinerlei Be­ einträchtigungen von Grundrechten und Grundfreiheiten festgestellt werden konnte: EuGH, Urt. v. 14.09.2000 – C-369/98 (Rndr. 37). 14 EuGH, Urt. v. 16.12.2008 – C-524/06 (Rdnr. 66). 15 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 81). 16 EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rdnr. 85). 17 EuGH, Urt. v. 14.09.2000 – C-369/98 (Rdnr. 36). 18 EuGH, Urt. v. 16.02.2012 – C-360/10 (Rdnr. 40–52). 19 EuGH, Urt. v. 14.05.2014  – C-131/12 (Rdnr. 81), hier: wirtschaftliche Interessen des Suchmaschinenbetreibers.

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

57

Mehrfach hatte auch der EGMR in der Vergangenheit das öffentliche Interesse an nationaler öffentlicher Sicherheit gegen die Belange des Datenschutzes und der Privatsphäre Betroffener abzuwägen;20 insbesondere Kriminalitäts-21 bzw. Terrorismusbekämpfung sind wichtige öffentliche Interessen, deren Kollision mit Datenschutzbelangen vor dem EGMR bereits thematisiert wurden. Der EGMR wird außerdem nicht müde zu betonen, welch grundlegende Bedeutung der Schutz personenbezogener Daten für das von Art. 8 EMRK garantierte Recht auf Privatleben besitzt,22 und konstatiert ganz grundlegend, dass Privatleben und Meinungsfreiheit als Prinzipien dasselbe Gewicht besitzen23. Die Art. 29-DSGr. verlangt, dass zu berücksichtigende Belange auf Seiten des Datenverarbeiters oder Dritter im Rahmen von Art.  7 lit.  f DS-RL nicht gesetzeswidrig sowie real und gegenwärtig sind und eindeutig geäußert werden.24 Der Begriff des Interesses Betroffener sei weit zu verstehen und beziehe sich, entgegen dem vermutlich auf einem Druckfehler beruhenden Wortlaut von Art. 7 lit. f DS-RL in der englischsprachigen Fassung, nicht ausschließlich auf Grundrechte und Grundfreiheiten, sondern darüber hinaus auch auf sonstige relevante Interessen des Datensubjekts.25

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △ 1. Ausgewählte vom Gesetzgeber implementierte Mechanismen ‚Mechanismen‘ (△) bezeichnen dem vorliegend verfolgten funktionellen Ansatz der Analyse der ‚Abwägungsmechanik‘ im Datenschutzrecht zufolge solche Ausgleichsinstrumente, die dem Rechtsanwender Abwägungsspielräume eröffnen oder die Herstellung des Interessengleichgewichts auf andere Weise gezielt begünstigen.26 Nachfolgend sollen einige dieser Ausgleichsmechanismen exemplarisch auf ihre Funktionsweise hin untersucht werden.

20 EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 55); EGMR, Urt. v. 02.09.2010 – App. 35623/05 (Abs.  77); EGMR, Urt. v. 26.03.1987  – App. 9248/81 (Abs.  49); EGMR, Urt. v. 06.09.1978 – App. 5029/71 (Abs. 46). 21 EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 100); EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 59–60); EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 55). 22 Z. B. EGMR, Urt. v. 25.11.2008 – App. 36919/02 (Abs. 40); EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 103); EGMR, Urt. v. 29.04.2014 – App. 52019/07 (Abs. 56). 23 EGMR, Urt. v. 07.02.2012 – App. 39954/08 (Abs. 87). 24 Art. 29-Datenschutzgruppe, WP 217, S. 24. 25 Art. 29-Datenschutzgruppe, WP 217, S. 29–30. 26 B. III. 4.

58

C. Instrumente des Interessenausgleichs

a) Verhältnismäßigkeitsgrundsatz △ Wo Art. 7 und 8 GRC in Konflikt mit anderen Grundrechten, Grundfreiheiten oder öffentlichen Interessen geraten, gestattet Art. 52 Abs. 1 GRC Einschränkungen dieser Rechte auf der Grundlage von Gesetzen, unter Achtung des Wesensgehalts der betroffenen Grundrechte und im Rahmen des Verhältnismäßigkeitsgrundsatzes, d. h. Einschränkungen müssen notwendig sein und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Die Einschränkung des Rechts aus Art. 7 GRC ist zudem über Art. 52 Abs. 3 GRC auch an die Schranken des Art. 8 Abs. 2 EMRK gebunden, d. h. der Eingriff muss gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig sein. Auf diese Weise sorgt der verhältnismäßige Grundrechtsausgleich für ein Gleichgewicht aller genannten Rechte und Interessen auf der Primärrechtsebene. Darüber hinaus kommt ein verhältnismäßiger Ausgleich von Grundrechten und anderen Primärrechtsgütern immer dann zum Tragen, wenn durch ausdrücklichen Rückverweis (so bezieht sich etwa Art. 2 Abs. 2 DS-GVO unmittelbar auf einen Grundrechtsausgleich) oder implizit über eine grund- oder primärrechtskonforme Auslegung der DS-GVO auf die Grundrechte und Grundfreiheiten der Beteiligten (zwischen Privaten sodann im Rahmen einer mittelbaren Drittwirkung) oder öffentliche Interessen rekurriert wird.27 Auch darüber hinaus bezieht sich der Gesetzgeber jedoch zum Zwecke des Interessenausgleichs auf der Sekundärrechtsebene auf den Verhältnismäßigkeitsgrundsatz28 Die Mitgliedstaaten können die Befugnisse von Aufsichtsbehörden teilweise einschränken, „soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen“ (Art. 90 Abs. 1 Satz 1 DS-GVO). Der Erlass von Rechtsvorschriften zum Profiling und zur automatisierten Generierung von Einzelentscheidungen mit rechtlicher oder ähnlicher Wirkung ist nach Art. 22 Abs. 2 lit. b DS-GVO zulässig, soweit diese Rechtsvorschriften „angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten“. Art. 23 Abs. 1 DS-GVO sieht vor, dass die Pflichten und Rechte gemäß Art. 12 bis 22, Art. 34 und Art. 5 DS-GVO (insofern die dortigen Bestimmungen den Rechten und Pflichten aus Art. 12 bis 22 entsprechen) gesetzgeberisch nur beschränkt werden können, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und eine in einer demokratischen Gesellschaft „notwendige und verhältnismäßige Maßnahme darstellt“. 27 „Fast jeder datenschutzrechtliche Fall tangiert somit auch primärrechtliche Fragen“: Pötters, RDV 2015, 10 (16). 28 Bygrave/Schartum, in: Gutwirth/Poullet/Hert et al. (Hrsg.), Reinventing Data Protec­ tion?, S. 157 (162–163); Gellert, IDPL 2015, 3 (8) – jeweils zu den Erscheinungsformen der Verhältnismäßigkeit in der DS-RL.

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

59

Der Verhältnismäßigkeitsgrundsatz ist mithin ein äußerst flexibler Ausgleichsmechanismus, der mit seinem weiten Spielraum ursprünglich auf der Grundrechtsebene angesiedelt ist, über verschiedene ausdrückliche Verweise oder einen mittelbaren Rückbezug im Rahmen einer grundrechtskonformen Auslegung aber auch für die Sekundärrechtsebene eine herausgehobene Rolle spielt. b) Ausdrücklich angeordnete Interessenabwägung △ Prominent platziert ist die datenschutzrechtliche Interessenabwägung in der Generalklausel des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, wo ausdrücklich die Legitimität der Verarbeitung personenbezogener Daten von einer Abwägung der Interessen des Datenverarbeiters oder Dritter mit den Interessen oder Grundrechten und Grundfreiheiten des Betroffenen abhängig gemacht wird. Die allgemeine Interessenabwägungsklausel trifft dabei keinerlei konkrete Vorgaben oder Einschränkungen für die vorzunehmende Abwägung, gestattet folglich grundsätzlich die Einbeziehung sämtlicher rechtlicher und faktischer Belange, und schreibt kein Verfahren für deren Gewichtung und Gegenüberstellung vor.29 Wegen seines großen Ausgleichsspielraums wurde bereits der annähernd wortgleiche Vorgänger­ tatbestand des Art. 7 lit. f DS-RL bisweilen als Auffangtatbestand für alle Datenverarbeitungen, deren Rechtmäßigkeit nicht schon durch einen der übrigen Tatbestände gegeben war, betrachtet.30 Die Auslegung der Interessenabwägungsklausel war allerdings bereits hinsichtlich des Vorgängertatbestandes unklar und eine umfassende Nutzung der Interessenabwägungsklausel im Bereich des Behavioral Targetings31 sowie der Wirtschaft und Industrie als praxistaugliche Alternative zur Einwilligung32 war kritisch beurteilt worden, weil eine Standardisierung des Abwägungsvorgangs 29 Die Generalklausel sei „weitestgehend inhaltslos“ ausgestaltet und ihre Anwendung könne für „praktisch jede Datenverarbeitung  – je nach rechtsplitischer Positionierung“ beliebig Zulässigkeit oder Unzulässigkeit ergeben. Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO, Art.  6 DS-GVO, Rdnr.  27 versteht aber die Erwähnung der Interessen beider Seiten und des Erforderlichkeitsgebots als Dreiteilung in der Verfahrenstruktur der Abwägung. Für den Generaltatbestand des Art. 7 lit. f DS-RL hatte bereits die Art. 29-Datenschutzgruppe, WP 217, sich an der Entwicklung eines mehrstufigen Abwägungsverfahrens und der Präzisierung der Kriterien versucht, dazu ausführlich: Beyvers, PinG 2015, 60. Auch während des Gesetzgebungsverfahrens war die Aufnahme von Leitlinien für die Durchführung der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO diskutiert worden, dieser Vorschlag hatte sich jedoch nicht durchsetzen können – wohl mit leiser Kritik: Albrecht, CRi 2016, 33 (37). 30 Brühann, in: Grabitz/Hilf/Nettesheim et al. (Hrsg.), Recht der EU, Art.  7 DSRL, Rdnr.  20; kritisch wegen der zu befürchtenden extensiven Nutzung des entsprechenden­ DS-GVO-Tatbestands durch Datenverarbeiter: EDRi, Position on the Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), S. 9. 31 Zuiderveen Borgesius, IDPL 2015, 163 (167–170). 32 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (251).

60

C. Instrumente des Interessenausgleichs

nicht möglich sei33 und es an einer eindeutigen rechtlichen Grundlage und entsprechender Rechtsprechungspraxis fehle34. Abwägungen nach dem Generaltatbestand seien stattdessen immer Einzelfallentscheidungen, was Rechts­unsicherheit mit sich bringe.35 Eine zusätzliche Öffnung erfährt der Abwägungsmechanismus, da Art. 6 Abs. 1 Satz 1 lit. f DS-GVO nun die Interessen beliebiger Dritter berücksichtigt, während Art. 7 lit. f DS-RL zuvor nur die Interessen dritter Übermittlungsempfänger einbezogen hatte.36 Für den Fall eines Widerspruchs des Betroffenen ist allerdings bei der wiederholten Prüfung der Interessenlage von der Verordnung ein deutlich strengerer Maßstab („zwingende schutzwürdige Gründe für die Verarbeitung […], die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen“, Art. 21 Abs. 1 Satz 2 DS-GVO) für die Abwägung vorgegeben, der deutlich mehr Gewicht auf die Betroffeneninteressen legt37. Auch bei Übermittlungen in Drittländer verweist die DS-GVO zwar explizit auf den Ausgleich der Interessen der Beteiligten, der Spielraum für den Interessenausgleich ist auch hier aber zumindest deutlich eingeschränkt (können Drittlandübermittlungen nicht auf die Bestimmungen der Art. 45 oder Art. 46 DS-GVO gestützt werden, so darf eine Übermittlung nicht wiederholt erfolgen, nur eine begrenzte Zahl von Personen betreffen, und muss „für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich“ sein, wobei die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen dürfen, Art. 49 Abs. 1 Satz 2 DS-GVO). Bei der angeordneten Interessenabwägung handelt es sich in der DS-GVO folglich zunächst um einen äußerst weiten Abwägungsmechanismus, der nur in ausgesuchten Zusammenhängen und unter engen Voraussetzungen eine Begrenzung erfährt, grundsätzlich aber keinerlei Einschränkungen hinsichtlich der abzuwägenden Belange, des Abwägungsverfahrens oder der Gewichtungen kennt. c) Erforderlichkeitsklauseln △ Erforderlichkeitsklauseln finden sich etwa hinsichtlich der gesetzlichen Erlaubnistatbestände zur Anbahnung und Durchführung von Verträgen (Art. 6 Abs. 1 33 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (260). Eine Abwägung müsse für den konkreten Fall erfolgen und dürfe nicht kursorisch vorgenommen werden, Verallgemeinerungen und Typisierungen seien jedoch zulässig: Brühann, in: Grabitz/Hilf/Nettesheim et al. (Hrsg.), Recht der EU, Art. 7 DSRL, Rdnr. 21. 34 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (253). 35 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (254); deutlich optimistischer hingegen: Schaffland/Wiltfang, in: Schaffland/Wiltfang (Hrsg.), BDSG, vor Nr. 5000 (DSGVO), Rdnr. 20. 36 Sehr kritisch: Roßnagel, Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24. Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages, S. 14. 37 Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 21 DS-GVO, 35; 40.

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

61

Satz  1 lit.  b DS-GVO), zu gesetzlichen Verpflichtungen des Datenverarbeiters (Art. 6 Abs. 1 Satz 1 lit. c DS-GVO), lebenswichtigen Interessen des Datensubjekts oder Dritter (Art. 6 Abs. 1 Satz 1 lit. d DS-GVO), öffentlichen Interessen im Rahmen der öffentlichen Aufgabenerfüllung (Art. 6 Abs. 1 Satz 1 lit. e DS-GVO) oder der Verwendung von Tracking-Instrumenten (Art 5 Abs. 3 Satz 2 E-PrivacyRL)38. Auch für besonders sensible Datenkategorien (definiert in Art. 9 Abs. 1 DS-GVO), für die die zur Rechtfertigung der Verarbeitung heranzuziehenden Kriterien vom Verordnungstext deutlich schärfer umrissen werden, ist die gesetzliche Erlaubnis der Verarbeitung häufig an das Erforderlichkeitsprinzip gebunden (Art. 9 Abs. 2 lit. b, c, f, g, h, i, j DS-GVO). Erforderlichkeitsklauseln sind auch dort zu finden, wo die DS-GVO den Mitgliedstaaten oder der Union gesetzgeberische Abweichungen gestattet. Art.  85 Abs.  1 DS-GVO fordert etwa die Mitgliedstaaten auf, per Gesetz das Datenschutzgrundrecht mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, der Verarbeitung personenbezogener Daten zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken zum Ausgleich zu bringen. Abs. 2 der Norm präzisiert, dass für journalistische, wissenschaftliche, künstlerische oder literarische Zwecke Ausnahmen oder Abweichungen von den Kapiteln II bis VII und IX der DS-GVO vorzusehen sind, „wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.“ Ausnahmen zu wissenschaftlichen und historischen Forschungszwecken, zu statistischen Zwecken oder zu im öffentlichen Interesse liegenden Archivzwecken können geschaffen werden, wenn sie für diese Zwecke „notwendig“ sind (Art. 89 Abs. 2 und 3 DS-GVO). Häufig kommt das Erforderlichkeitsgebot in der DS-GVO also dort zum Einsatz, wo der Gesetzgeber eine Bewertung der Interessen durch die Vorgabe eindeutiger Kriterien bereits teilweise vorweggenommen hat.39 Auf diese Weise ist sichergestellt, dass eine Abwägung40 zwar stattfindet – jedoch unter Berücksichtigung der jeweils vom Gesetzgeber bereits vorgegebenen Interessengewichtung und damit in einem deutlich beschränkten Rahmen. Ist das Erforderlichkeitsgebot hingegen lediglich mit grob umrissenen, durch weitere Gesetzgebung der Union oder der Mitgliedstaaten im Detail auszugleichenden Grundrechtspositionen verknüpft, so eröffnet sich ein ungleich weiterer Abwägungsspielraum. 38

Ob allerdings diese Vorschrift einen selbstständigen Erlaubnistatbestand bildet, wird bezweifelt – dagegen spricht, dass die E-PrivacyRL lediglich eine Ergänzung zu den euro­ päischen Datenschutzvorschriften darstellt: Zuiderveen Borgesius, IDPL 2015, 163 (173). 39 Zu den vom Gesetzgeber installierten Kriterien im Einzelnen unter C. III. 1. 40 Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 6 DS-GVO, Rdnr. 14, stellt klar, dass das Erforderlichkeitskriterium im Zusammenhang mit nichtstaatlichen Datenverarbeitungsvorgängen nicht als strenge Verhältnismäßigkeitsprüfung verstanden werden darf, lehnt sich aber implizit über die Heranziehung von Zumutbarkeitsaspekten an eine solche Prüfung an und gibt damit ebenfalls der Abwägung von Interessen und Rechten der Beteiligten Raum.

62

C. Instrumente des Interessenausgleichs

d) Unbestimmte Begriffe und allgemeine Verarbeitungsgrundsätze Umfangreiche Definitionen in Art. 4 DS-GVO sollen größtmögliche Klarheit über den Bedeutungsgehalt der verwendeten Begrifflichkeiten schaffen. Dennoch tun sich in der Verordnung auslegungsbedürftige Unschärfen auf und gewähren dadurch Raum für einen Interessenausgleich. So ermöglichen es etwa die einer Auslegung zugänglichen Begriffe im Rahmen der Anwendbarkeitsvoraussetzungen der DS-GVO, relevante Interessenlagen bereits durch die Einbeziehung oder den Ausschluss einzelner Interessenträger oder Interessen aus dem Geltungs­ bereich der europäischen Datenschutzregelungen zu berücksichtigen.41 Auch die allgemeinen Verarbeitungsprinzipien aus Art. 5 Abs. 2 DS-GVO – Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, beschränkte Speicherdauer, Integrität und Vertraulichkeit – und zahlreiche weitere Tatbestände der DS-GVO werden mit unbestimmten, auslegungsbedürftigen Begrifflichkeiten umrissen und bilden somit ein Medium der Umsetzung für den vom Verordnungsgeber intendierten Interessenausgleich zwischen Datenverarbeitern und Betroffenen. aa) „Persönliche[…] oder familiäre[…] Tätigkeiten“ △ Wer ausschließlich persönlichen oder familiären Tätigkeiten nachgeht und zu diesem Zwecke Daten verarbeitet, ist an die Vorschriften der DS-GVO nicht gebunden, Art. 2 Abs. 2 lit. c DS-GVO. Der Begriff gestattet es damit, den Interessen rein privat agierender Beteiligter, nicht den strengen Anforderungen der DSGVO zu unterliegen, durch eine vollständige Aushebelung des Regelungsregimes Rechnung zu tragen; umgekehrt liegt es aber grundsätzlich im Interesse anderer Beteiligter, dass datenverarbeitende Stellen sich an die Vorgaben der DS-GVO halten und nach ihren Vorschriften haften müssen, weil Betroffenen ansonsten weitreichend der Schutz entzogen wird. Für eine weite Auslegung des Begriffs spricht dennoch der Wortlaut der Verordnung, der im Zusammenspiel mit Erwgr. 18 deutlich macht, dass eine Bindung an die DS-GVO nicht bestehen soll, soweit Datenverarbeitungen ohne Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten erfolgen. Der Begriff der persönlichen und familiären Tätigkeiten bestimmt damit in seiner Breite über den Ausschluss von Beteiligten aus dem Regelungsbereich der DSGVO und gibt für eine entsprechende Einbeziehung widerstreitender Interessen in die Auslegung zwar einen Spielraum frei, dieser ist jedoch vom Gesetzgeber erkennbar zugunsten einer weiten Begriffsauslegung determiniert worden. 41 Nink/Pohle, MMR 2015, 563 (565) etwa sprechen von einer „Abwägung aller wesentlichen Faktoren“, die bei der Bestimmung des Personenbeziehbarkeitsbegriffes aus Art.  2 lit.  a DS-RL stattzufinden habe; auf einen verhältnismäßigen Interessenausgleich beziehen sich im Zusammenhang mit der deutschen Umsetzung der Vorschrift außerdem Karg, DuD 2015, 520 (525); Brink/Eckhardt, ZD 2015, 205 (210).

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

63

bb) Personenbeziehbarkeit: „identifizierbare natürliche Person“ △ Art. 4 Abs. 1 DS-GVO stellt scheinbar nicht eindeutig klar, ob die Verordnung einen absoluten oder relativen Ansatz des Personenbezugs verfolgt. Wird ein weites, objektives Begriffsverständnis zugrunde gelegt, so genügt es für das Vorliegen eines Personenbezuges bereits, dass ein beliebiger Dritter die Person theoretisch mit dem in Rede stehenden Datum in Verbindung bringen kann; relative oder subjektive Ansätze hingegen gehen erst von einer Personenbeziehbarkeit im Sinne der gesetzlichen Definition aus, wenn einer der Beteiligten tatsächlich und nicht nur rein theoretisch die Möglichkeit besitzt, den Bezug herzustellen.42 Zugunsten eines weiten Verständnisses ließe sich grundsätzlich der Wortlaut der Definition anführen, der auch allen bisherigen Unklarheiten unter der DS-RL 43 zum Trotz keine ganz eindeutige Klarstellung herbeiführt44. Zieht man jedoch den zugehörigen Erwgr. 26 heran, so wird deutlich, dass es dem Verordnungsgeber um die tatsächliche Wahrscheinlichkeit der Identifizierbarkeit („Mittel […], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden […]“), letztlich also um den Grad der Gefährdung des Betroffenen und seiner Persönlichkeit und Rechte geht.45 Ein insoweit einschränkendes Verständnis ist daher im Sinne des Schutzzwecks der Verordnung vom Gesetzgeber wohl vorgesehen.

42 Den relativen Begriff der Bestimmbarkeit bevorzugen bzw. halten für vorherrschend z. B. Voigt, MMR 2009, 377 (379); Gola/Schomerus, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 3  BDSG, Rdnr.  10; Dammann, in: Simitis (Hrsg.), BDSG, § 3  BDSG, Rdnr.  32; Art. 29-Datenschutzgruppe, WP 136, S. 16–17; Forgó/Krügel, MMR 2010, 17 (18–19); Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap.  9, Rdnr.  136; Spindler/Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 11  TMG, Rdnr.  8. Die objektive Ansicht wird etwa vertreten von Karg, MMR 2011, 345 (346); Pahlen-Brandt, DuD 2008, 34; wohl auch: Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, § 3 BDSG, Rdnr. 17. Die Rechtsprechung zur Personenbeziehbarkeit ist durchwegs uneinheitlich und aufgrund der häufig sehr speziellen Fallgestaltungen nicht immer vergleichbar und verallgemeinerungs­ fähig; für eine Übersicht am Beispiel des Personenbezugs von IP-Adressen vgl. Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 145–150.1. 43 Vgl. für einen Überblick zum Streitstand hinsichtlich der Vorgaben der DS-RL und der deutschen Umsetzung: Krüger/Maucher, MMR 2011, 433 (438); Härting, CR 2011, 169 ­(170–171); Piltz, Soziale Netzwerke im Internet, S.  61–63; Gerlach, CR 2013, 478 (479); Herbst, NVwZ 2016, 902 (903–905); Brink/Eckhardt, ZD 2015, 205 (205–206); Bergt, ZD 2015, 365 (365–368); Keppeler, CR 2016, 360 (361). 44 Hofmann/Johannes, ZD 2017, 221 (222). 45 Mit dem diesbezüglichen Gesetzeszweck argumentieren etwa: Nink/Pohle, MMR 2015, 563 (565). Hinsichtlich des deutschen Rechts ähnlich: Schefzig, K&R 2014, 772 (773). Der EuGH hält eine tatsächliche Möglichkeit der Identifikation sogar bereits dann für gegeben, wenn ein Webseitenbetreiber mithilfe von Strafverfolgungsvorschriften den Internetzugangsanbieter eines Betroffenen zur Herausgabe solcher Informationen verpflichten kann, die eine Verbindung zwischen der dynamischen IP-Adresse und dem Betroffenen nachträglich herstellen: EuGH, Urt. v. 19.10.2016 – C-582/14 (Rn. 45–49).

64

C. Instrumente des Interessenausgleichs

Auch die Feststellung eines Personenbezugs ist Anwendbarkeitsvoraussetzung für die weiteren Vorschriften der DS-GVO; mithin kann die Entscheidung über den Auslegungsansatz maßgeblich darüber bestimmen, welche der Beteiligten dem datenschutzrechtlichen Regelungsregime unterworfen und so ihre Belange an späterer Stelle in den Interessenausgleich eingestellt werden können. Bereits in der Auslegung des Begriffes selbst liegt daher aber ein Spielraum für die Berücksichtigung relevanter Belange, für den der Gesetzgeber mit dem deutlichen Hinweis auf den gefährdungsorientierten Ansatz jedoch bereits einschränkende Vorgaben getroffen hat. cc) Verantwortlichkeit: „über Zwecke und Mittel entscheide[n]“ △ Die Definition des Verantwortlichen (verantwortlich ist, wer „über die Zwecke und Mittel der Verarbeitung […] entscheidet“, Art. 4 Abs. 7 DS-GVO) bezieht sich nach ganz herrschender Ansicht (jedenfalls für die insofern wortgleiche Formulierung der DS-RL) auf die tatsächliche Entscheidungsmacht des Datenverarbeiters über Zwecke und Mittel.46 Für eine Feststellung dieser Entscheidungsgewalt sollen sowohl die ausdrückliche gesetzliche Zuweisung von Verantwortung als auch die implizite Verantwortlichkeit aufgrund einer funktionellen Rolle des Datenverarbeiters und dessen tatsächlicher Einfluss auf den Verarbeitungsvorgang, vertraglich zugewiesene Zuständigkeiten (jedoch nur, soweit davon ausgegangen werden kann, dass diese „die Realität korrekt widerspiegel[n]“) sowie das Auftreten des Datenverarbeiters nach außen und gegenüber den Betroffenen herangezogen werden können.47 Die Art. 29-DSGr. hat außerdem angedeutet, dass der Bestimmung über Zwecke der Datenverarbeitung (dem ‚Warum‘ der Datenverarbeitung) bei der Bestimmung des Verantwortlichen eine größere Bedeutung zukommen könnte als der Bestimmung über Mittel (dem ‚Wie‘ der Datenverarbeitung)48 – auch darüber ist jedoch noch nicht höchstrichterlich entschieden worden. Abgesehen von einzelnen Vorschriften, die sich explizit an Auftragsverarbeiter richten, stellen lediglich solche natürlichen oder juristischen Personen, die im datenschutzrechtlichen Sinne verantwortlich sind, taugliche Adressaten für die Vorschriften der DS-GVO dar. Nur wenn eine datenverarbeitende Stelle also als Verantwortlicher erfasst werden kann, können ihr gegenüber die übrigen Ausgleichsinstrumente der DS-GVO überhaupt greifen. Abhängig davon, wie das Vorliegen der gesetzlich geforderten Entscheidungsmacht argumentativ begründet wird, führt dies also zur Einbeziehung oder zum Ausschluss von an einem mit Datenverarbeitungen in Zusammenhang stehenden Sachverhalt beteiligten 46 Art. 29-Datenschutzgruppe, WP 169, S. 11; zustimmend: Jandt/Roßnagel, ZD 2011, 160 (160); Piltz, Soziale Netzwerke im Internet, S. 88–89. 47 Art. 29-Datenschutzgruppe, WP 169, S. 12–15. 48 Art. 29-Datenschutzgruppe, WP 169, S. 17–18; zustimmend: Kroschwald, ZD 2013, 388 (389).

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

65

Stellen, damit auch zur Einbeziehung oder zum Ausschluss der von ihnen geltend gemachten Interessen im Rahmen des datenschutzrechtlichen Interessenausgleichs und zur Durchsetzbarkeit bzw. Nichtdurchsetzbarkeit der Datenschutzvorschriften gegenüber diesen Stellen. Auch in die Auslegung des Verantwortlichkeitsbegriffes selbst können mithin relevante Belange, die sich für oder gegen ein enges oder weites Begriffsverständnis auswirken, bereits einbezogen werden, wodurch sich ein Abwägungsspielraum auftut. Fest steht nach dem oben Gesagten aber jedenfalls, dass (wenn auch die Details teilweise noch umstritten sind) der Wortlaut der Definition der verantwortlichen Stelle unzweideutig auf eine tatsächliche Entscheidungsmacht abzielt, wodurch dem Spielraum für die Einbeziehung der relevanten Belange und Interessen im Rahmen der Begriffsauslegung z. B. hinsichtlich des Einsatzes normativer Argumente für oder gegen das Bestehen einer Entscheidungsbefugnis eindeutige Grenzen gesetzt sind. dd) Verantwortlichkeit mehrerer: „gemeinsam“ Verantwortliche △ Während die DS-RL noch offen ließ, wie sich eine Verantwortlichkeit mehrerer ausgestaltet,49 regelt Art.  26 Abs.  1 Satz  1 DS-GVO nun ausdrücklich, dass im Falle der gemeinsamen Festlegung der Zwecke und Mittel eine gemeinsame Verantwortlichkeit mit der Pflicht zur Aufteilung datenschutzrechtlicher Verpflichtungen entsteht. Dabei kommt es für das Greifen der die gemeinsame Verantwortlichkeit betreffenden Rechtswirkungen zunächst nicht auf vertragliche Absprachen hinsichtlich der Entscheidungsbefugnisse, sondern auf das faktisch gemeinsame, d. h. wohl kooperative,50 Treffen von Entscheidungen an.51 Eine Geltendmachung von Betroffenenrechten ist sodann ungeachtet möglicher vertraglicher Absprachen gegenüber jedem der gemeinsam Verantwortlichen möglich (Art. 26 Abs. 3 DS-GVO), und auch ein Anspruch auf Schadensersatz kann gegenüber jedem für die Schadensverursachung Teilverantwortlichen vollumfänglich geltend gemacht werden (Art. 82 Abs. 4 DS-GVO).52 49

Diskutiert wurde eine teilweise oder vollständige gemeinsame Verantwortlichkeit mehrerer Datenverarbeiter, wenn über Mittel und Zwecke der Datenverarbeitung alle Datenverarbeiter teilweise oder vollständig gemeinsam entscheiden konnten. Die Kooperation konnte sich auf die gesamte Datenverarbeitung, auf einzelne Phasen oder Datengruppen beziehen oder sogar nur darin bestehen, dass eine gemeinsam genutzte Plattform für die Verarbeitung der Daten verwendet wird: Art. 29-Datenschutzgruppe, WP 169, S. 23–24. Als Rechtsfolge einer Kooperation war sowohl eine „kumulative“, jeweils vollständig ähnlich einer Gesamtschuld im Zivilrecht wirkende (Jandt/Roßnagel, ZD 2011, 160 [161]) als auch eine „kollektive“, d. h. jeweils dem Ausmaß der Bestimmungsmöglichkeit des einzelnen Datenverarbeiters über Mittel und/oder Zwecke der Datenverarbeitung entsprechend aufgeteilte Verantwortlichkeit (Jandt/Roßnagel, ZD 2011, 160 (161)), vorstellbar. 50 So jedenfalls: Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 26 DS-GVO, Rdnr. 21. 51 Dovas, ZD 2016, 512 (515). 52 Damit ergibt sich für die in Art. 26 DS-GVO geregelte gemeinsame Verantwortlichkeit ein Konstrukt, das der zuvor im Schrifttum auch als „kumulativ“ (Jandt/Roßnagel, ZD 2011, 160 [161]) bezeichneten Verantwortlichkeit in Voraussetzungen und Rechtsfolgen ähnlich ist.

66

C. Instrumente des Interessenausgleichs

Ein zuvor unbestimmtes, jedoch entsprechend flexibles Konzept wird durch die DS-GVO somit maßgeblich präzisiert, was allgemein zwar die Möglichkeiten der Interessenberücksichtigung im Rahmen der Begriffsauslegung wesentlich beschränkt, zugleich jedoch eine entsprechende Vorwegnahme des Ausgleichs durch den Gesetzgeber – die Lage des Betroffenen soll sich im Falle der Kooperation mehrerer Verantwortlicher nicht verschlechtern53 – erkennen lässt. ee) Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung“ △ Eine der räumlichen Anwendbarkeitsvoraussetzungen der DS-GVO verlangt, dass betreffende Datenverarbeitungen „im Rahmen der Tätigkeiten“ der in Rede stehenden europäischen Niederlassung des Datenverarbeiters durchgeführt werden (Art. 3 Abs. 1 DS-GVO). Nachdem in der deutschen Rechtsprechung und Literatur weithin Uneinigkeit hinsichtlich der Begriffsauslegung der europäischen Grundlagen und der deutschen Umsetzung geherrscht hatte,54 hat der EuGH nun in der Rechtssache ‚Google und Google Spain‘ zugunsten einer sehr weiten Auslegung des Begriffes „Datenverarbeitung im Rahmen der Tätigkeiten“ geurteilt:55 Nach Ansicht des Gerichts liegt bereits eine entsprechende Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung vor, wenn die Zweigstelle eines Suchmaschinenbetreibers in einem Mitgliedstaat mit dem Verkauf von Werbeflächen befasst ist, durch die sich der ansonsten kostenlose, jedoch von einer außereuropäischen Niederlassung angebotene Suchmaschinendienst finanziert.56 Verarbeitet würden im Rahmen der Tätigkeit der Niederlassung wegen der im Geschäfts­ konzept des Suchmaschinenbetreibers vorgesehenen engen Verflechtung von Werbefinanzierung und Suchmaschinenangebot dann nicht nur die Daten der Werbekunden, sondern auch die Daten der Nutzer des Suchmaschinendienstes.57 Seine weite Auslegung stützte das Gericht auf den Wortlaut von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), der eine weite Auslegung zumindest nicht verbiete, und auf die für die Erfüllung des Schutzzwecks der DS-RL geforderte weite Ausdehnung des Anwendungsbereichs.58 53

Dovas, ZD 2016, 512 (514). Für eine Übersicht vgl. Beyvers/Herbrich, ZD 2014, 558 (559–560). 55 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 45–60). So auch zuvor bereits Jääskinen, Schlussanträge in der Rechtssache C-131/12. Auch die Art. 29-Datenschutzguppe äußerte sich bereits dahingehend, dass eine Niederlassung, die die Beziehungen zu den Nutzern einer bestimmten Region pflege oder Werbeanzeigen in einem Mitgliedstaat verkaufe, an der Datenverarbeitung für diesen Mitgliedstaat beteiligt sei, vgl. Art. 29-Datenschutzgruppe, WP 148, S. 11. 56 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 55–60). 57 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 55–57; 60). 58 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rndr. 52–54; 58). Eine Relativierung erfuhr die weite Auslegung zwar in einem weiteren Urteil, das sich mit der Anwendbarkeit im Falle mehrerer konkurrierender mitgliedstaatlicher Datenschutzvorschriften zu befassen hatte (es kam die Vorschrift des Landes zum Einsatz, in dem die Niederlassung des Verantwortlichen saß, 54

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

67

In Abhängigkeit davon, ob der Wortlaut der Definition weit oder eng ausgelegt wird, fallen Datenverarbeitungen jeweils noch unter das europäische Recht oder aus dem Anwendungsbereich der DS-GVO heraus  – es eröffnet sich in der Begriffsauslegung selbst also bereits ein Spielraum zur Berücksichtigung einschlägiger Interessen. Die vom Wortlaut bereits angedeutete (weite) Auslegungsrichtung und damit auch eine Beschränkung der Auslegungsoptionen und des entsprechenden Spielraums für die Interessenberücksichtigung wurde vom EuGH nun bestätigt, sodass künftig grundsätzlich ein weites Verständnis zugrunde zu legen ist und ein Spielraum für die Berücksichtigung solcher Interessen, denen stattdessen eine enge Auslegung näherliegen würde, kaum mehr gegeben ist. ff) Zweckbindungsgrundsatz △ Beim allgemeinen Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b DS-GVO bestimmt, dass personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ müssen und „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen) handelt es sich um einen Mechanismus, der grundsätzlich einen großen Spielraum für die Berücksichtigung von Interessenlagen im Einzelfall gewährt, denn wie exakt und eindeutig Zwecke festgelegt werden müssen (Genügt beispielsweise bereits eine grobe Kategorisierung oder bedarf es einer akkuraten Beschreibung jedes einzelnen Zwecks?59) und wann eine Weiterverarbeitung mit dem ursprünglichen Zweck nicht mehr vereinbar ist (Wie weit müssen Zwecke vom ursprünglichen Zweck abweichen, um unvereinbar zu sein? Art. 6 Abs. 4 DS-GVO lässt entgegen der ursprünglichen Zusicherung sogar Zweckänderungen auf der Grundlage einer umfassenden Berücksichtigung der Belange der Beteiligten in begrenztem Maße zu), kann im Rahmen einer Auslegung unterschiedlich beurteilt werden. Grundsätzlich gebietet das Schutzanliegen der DS-GVO, vor allem unter Berücksichtigung der Verankerung des Zweckbindungsprinzips auf der Grundrechtsebene (Art. 8 Abs. 2 Satz 1 GRC) dennoch eine sehr strenge Anwendung des Zweckbindungsgrundsatzes; die Aufweichung, die der Verordnungsgeber über Art.  6 Abs.  4 DS-GVO selbst vorgenommen

die am nächsten mit der Datenverarbeitung befasst war, EuGH, Urt. v. 01.10.2015 – C-230/14 [Rdnr. 19–41]), diese Konstellation ist unter der unionsweit einheitlichen Vorschrift der DS-GVO jedoch von verminderter Relevanz. Ergänzt wird dieser Mechanismus, durch den die jeweils relevanten Interessenträger nach der Auslegung des EuGH ohnehin umfangreich berücksichtigt werden können, nun außerdem zusätzlich durch die Bestimmungen des Art. 3 Abs. 2 DS-GVO, die eine räumliche Anwendung der DS-GVO auch dann vorschreiben, wenn Betroffenen in der Union Waren und Dienstleistungen angeboten werden (lit. a), oder wenn Betroffene in der Union einer Verhaltensbeobachtung unterzogen werden (lit. b). 59 Dammann, ZD 2016, 307 (312), spricht in dem Zusammenhang von der unklaren „Abstraktionsebene“ des Zwecks. Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO, Art.  5 DS-GVO, Rdnr. 27, verlangt recht unbestimmt „eine[…] Zweckbestimmung mit hinreichender Quantität und Qualität (Gestaltungshöhe)“.

68

C. Instrumente des Interessenausgleichs

hat,60 öffnet den Zweckbindungsbegriff allerdings wiederum für ein relativ weites Verständnis. Weil sich für beide Auslegungsrichtungen gute Gründe finden lassen, gibt der Zweckbindungsgrundsatz einen sehr weiten Spielraum für die Berücksichtigung relevanter Interessen im Rahmen der Auslegung frei. e) Selbstbestimmungselemente △ Das Interesse des Datensubjekts an einer Selbstbestimmung im Umgang mit seinen personenbezogenen Daten schlägt sich in der Möglichkeit nieder, Datenverarbeitungsvorgänge durch eine Einwilligung zu gestatten (etwa Art. 6 Abs. 1 Satz 1 lit. a i. V. m. Art. 4 Abs. 11 und Art. 7 DS-GVO, Art. 5 Abs. 3 E-PrivacyRL). Damit stellt das Institut der datenschutzrechtlichen Einwilligung einen Mechanismus bereit, der es dem Betroffenen erlaubt, seine Interessen aktiv zur Geltung zu bringen.61 Wie auch sonst im Recht62 sind der Anwendung dieses von Selbstbestimmungselementen beherrschten Mechanismus jedoch positive Grenzen gesetzt, die insbesondere für ausreichend Rechtssicherheit sorgen und einer Aushöhlung der Selbstbestimmungselemente im Datenschutzrecht entgegenwirken sollen: Die Einwilligung muss in einer unmissverständlich abgegebenen Willensbekundung in Form einer Erklärung oder eindeutigen bestätigenden Handlung bestehen (Art. 4 Abs. 11, Erwgr. 42 f. DS-GVO).63 Im Fall einer schriftlichen Einwilligungserklärung, die in andere Sachverhalte eingebunden ist, muss in einer verständlichen und leicht zugänglichen Form in klarer und einfacher Sprache um die Einwilligung so ersucht werden, dass diese von den anderen Sachverhalten klar zu unterscheiden ist (Art. 7 Abs. 2 DS-GVO). Einwilligungen können nur ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage wirksam erteilt werden (Art. 4 Abs. 11 DS-GVO).

60 Härting, Datenschutz-Grundverordnung, Rdnr.  322, etwa versteht die Regelung über Zweckänderungen als Generalerlaubnistatbestand für jede Art der mit dem ursprünglichen Zweck inkompatiblen Weiterverarbeitung von Daten. Relativierend argumentiert aber Monreal, ZD 2016, 507 (510), dass im europäischen Datenschutzrecht der Weiterverarbeitungsbegriff von Anfang an mit dem deutschen Modell der Verarbeitungsphasen, welches für jede Verarbeitungsphase eine eigene gesetzliche Grundlage verlangt hatte, nicht kongruent ge­ wesen sei. Der Verordnungsgeber habe nun klargestellt, dass unter einer ‚Weiterverarbeitung‘ die Fortsetzung einer bereits laufenden Datenverarbeitung unter Verfolgung eines neuen Zwecks zu verstehen sei, für welche sodann keine neue gesetzliche Grundlage erforderlich sei, soweit eine Gestattung über die Vorschriften zur Zweckänderung nach entsprechender Kompatibilitätsprüfung vorliege. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, DuD 2015, 722 (722), stellt insgesamt die Konformität der DS-GVO-Vorgaben zu Zweckänderungen mit Art. 8 Abs. 2 Satz 1 GRC in Frage. 61 „[P]rivatautonome[r] Interessenausgleich[…]“: Buchner, DuD 2016, 155 (157). 62 B. III. 4. 63 Die Beweislast fällt dem verantwortlichen Datenverarbeiter zu, vgl. Art. 7 Abs. 1 DSGVO.

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

69

Ein breites Zurückgreifen auf Einwilligungen Betroffener sei aber gerade keine Möglichkeit, einen gerechten Interessenausgleich herzustellen, denn die tat­ sächlichen Verfügungsmöglichkeiten des Nutzers seien eingeschränkt, weil eine informierte Einwilligung bei komplexen Datenverarbeitungsprozessen und Technologien nicht mehr möglich sei und weil eine Einwilligung die Legitimität der Datenverarbeitung unabhängig vom tatsächlich gewährten Schutzniveau herstelle.64 Obwohl anerkannt ist, dass die Einwilligung allgemein einen herausragend wichtigen Rechtfertigungsgrund für die Verarbeitung von Daten65 und ein Instrument zur Stärkung der Stellung des Betroffenen darstellt,66 bestanden also gerade im Zusammenhang mit komplexen Technologien und Datenverarbeitungsvorgängen67 schon unter der DS-RL ernsthafte Zweifel an der Geeignetheit des Einwilligungsmechanismus, eine tatsächliche Kontrolle durch den Betroffenen und damit eine echte Ausübung von Selbstbestimmung und einen angemessenen Ausgleich der Interessen herzustellen68. Grundsätzlich sind entsprechende Gestattungen auch innerhalb des Rahmens einer vertraglichen Vereinbarung über Datenverarbeitungen erteilbar. Allerdings löst die vertragliche Ausgestaltung solche Erklärungen, die inhaltlich die Ein­ willigung in eine Datenverarbeitung beinhalten, wohl nicht von den unabding­ baren datenschutzrechtlichen Anforderungen an eine solche Einwilligung.69 Insofern steht die Vertragsgestaltung speziell im Datenschutzrecht nicht in jedem Fall als eigenständiger Mechanismus neben der Einwilligung, sondern ist, sofern ver 64 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (255–257). Gegenteilig der Ansicht, dass Instrumente der privatautonomen Selbstbestimmung über Daten allgemein deutlich geeigneter zur Herstellung eines Interessenausgleichs sind als gesetzliche Ge- und Verbote: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 109–110. 65 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (255). Unklar war aber bereits hinsichtlich Art. 7 lit. a DS-RL dessen Verhältnis zu den übrigen Erlaubnistatbeständen: Für die Praxis soll der Einwilligung kein allgemeiner Vorrang zukommen können, weil sie dem Betroffenen eine Handlungs- und Entscheidungsfreiheit vermittle, die für unter eine gesetzliche Erlaubnis fallende Tatbestände überhaupt nicht besteht (Gola/Schomerus, in: Gola/ Schomerus/Klug et al. [Hrsg.], BDSG, § 4 BDSG, Rdnr. 16; Menzel, RDV 2008, 400 [405]). Obwohl es sich zumindest in der Theorie um gleichberechtigte Alternativen handelt (Menzel, RDV 2008, 400 [401]; Achtruth, Der rechtliche Schutz bei der Nutzung von Social Networks, S. 143; Plath, in: Plath [Hrsg.], BDSG, § 28 BDSG, Rdnr. 8; die Art. 29-Datenschutzgruppe, WP 187, S. 8 betont ebenfalls, dass die Einwilligung eine von mehreren Rechtsgrundlagen für eine Datenverarbeitung darstellt und dass aus ihrer Nennung an erster Stelle zwar allgemein auf ihre Wichtigkeit, nicht aber auf eine generelle Vorrangigkeit geschlossen werden könne), soll daher einer Ansicht nach die Einwilligung nur als Grundlage für eine Datenverarbeitung herangezogen werden können, soweit die gesetzlichen Tatbestände hierfür nicht ausreichen (Spindler/Nink, in: Spindler/Schuster [Hrsg.], Recht der elektronischen Medien, § 4  BDSG, Rdnr. 6). 66 Kosta, Consent in European Data Protection Law, S. 397. 67 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (257). 68 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (255). 69 In diese Richtung zu Art. 7 lit. a DS-RL bereits die Art. 29-Datenschutzgruppe, WP 187, S. 9. Dazu auch näher unter D. III. 3. d) bb).

70

C. Instrumente des Interessenausgleichs

traglich unmittelbar ein Einverständnis mit Datenverarbeitungsvorgängen erklärt wird, dem Mechanismus der Einwilligung selbst zuzuordnen. Sofern Datenverarbeitungen zur Durchführung anderweitiger vertraglicher Vereinbarungen in Rede stehen, spielt im Zusammenhang mit Verträgen außerdem der Mechanismus der Erforderlichkeit70 eine wichtige Rolle. f) Datenschutzrechtsspezifische Mechanismen Dass es denkbar ist, einen Interessenausgleich auch über die eine Datenverarbeitung gestattenden Tatbestände hinaus auf vielfältige Weise in das System des Datenschutzrechts zu integrieren, zeigt sich in dem Vorschlag einiger Autoren, ein Überwiegen der Interessen des Datenverarbeiters – oder umgekehrt das Zurückstehen der Interessen der Betroffenen – bereits immer dann anzunehmen, wenn der Datenverarbeiter für angemessene Schutzvorkehrungen sorgt.71 In diesem Fall soll auch das Verweigern einer Einwilligung nicht mehr oder nur noch im Zusammenhang mit sensitiven Datenkategorien möglich sein.72 Schon die Art. 29-DSGr. verweist im Rahmen der von ihr für Art. 7 lit. f DS-RL vorgeschlagenen Abwägungsschritte darauf, dass zusätzliche organisatorische und/oder technische Maßnahmen zum Schutz der Betroffenen und ihrer Daten bei der Beurteilung des Interessenausgleichs berücksichtigt werden können.73 In begrenztem Maße setzt auch die DS-GVO spezifische Mechanismen ein, um den Interessenausgleich abseits von Erlaubnistatbeständen zu unterstützen und zu begünstigen: aa) Informationspflichten und Auskunftsrechte △ Der Betroffene erhält weitreichende Informationen über die Datenverarbeitung (vgl. z. B. Art. 12 i. V. m. Art. 13, 14, 15, 34, 49 Abs. 1 Satz 3 DS-GVO) – dabei wird grundsätzlich zwischen Informationspflichten bei der Erhebung von Daten beim Betroffenen (geregelt in Art 13 DS-GVO, ergänzend für die Verwendung von Tracking-Instrumenten Art. 5 Abs. 3 Satz 1 E-PrivacyRL) und auf anderem Weg (Art.  14 DS-GVO),74 anderweitigen besonderen Benachrichtigungen des Betrof 70

Dazu bereits oben unter C. II. 1. c). Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (254–255). Zur Realisierung des angemessenen Schutzniveaus, das anstelle der Einzelfallabwägung Datenverarbeitungen generell legitimieren soll, schlagen die Autoren ein Compliance Programm vor, das mithilfe des aus der Wirtschaftswissenschaft bekannten PDCA-Modells („Plan – Do – Check – Act“) umgesetzt wird, vgl. dort S. 258–259. 72 Balboni/Cooper/Imperiali/Macenaite, IDPL 2013, 244 (256). 73 Art. 29-Datenschutzgruppe, WP 217, S. 56. 74 Der Datenverarbeiter muss hier unaufgefordert tätig werden; diese Informationspflichten werden daher auch als „proaktive[…] Benachrichtigungen“ bezeichnet: BfDI, Datenschutzgrundverordnung, S. 13. 71

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

71

fenen (z. B. Art. 34 DS-GVO) und der aktiven Einholung von Auskünften durch den Betroffenen (Art. 15 DS-GVO) unterschieden. Zu informieren ist außerdem z. B. ausdrücklich über das Widerspruchsrecht bei der Verarbeitung zu Direktwerbungszwecken (Art. 21 Abs. 4 Hs. 1 DS-GVO). Um auch im Falle einer durch einen Erlaubnistatbestand gestatteten Datenverarbeitung (wenn also die Anwendung der Verordnung im Einzelfall wegen des Überwiegens der Interessen des Datenverarbeiters dessen Verarbeitungstätigkeit legitimiert) die Interessen des Betroffenen möglichst weitgehend mit denen des Verarbeiters zum Ausgleich zu bringen, werden dem Betroffenen also Auskunftsrechte zugestanden bzw. dem Datenverarbeiter umfangreiche Informationspflichtenauferlegt. Durch die Implementierung umfassender Informationspflichten des Datenverarbeiters bzw. entsprechender Auskunftsrechte des Betroffenen zielt die Verordnung darauf, informationelle Nachteile des Betroffenen – sowohl hinsichtlich der vorgenommenen Datenverarbeitungsvorgänge als auch bezüglich der ihm zustehenden Rechte  – gegenüber dem Datenverarbeiter auszugleichen.75 Die so geschaffene Transparenz ist eine für die Wahrnehmung dieser Rechte und damit für die aktive Herbeiführung eines Interessenausgleichs durch den Betroffenen wesentliche Voraussetzung. bb) Sonstige Betroffenenrechte: Widerspruch, Berichtigung, Löschung, Recht auf Vergessenwerden, Datenportabilität △ Betroffene können etwa die Berichtigung unzutreffender Daten sowie die Vervollständigung unvollständiger Daten (Art. 16 Sätze 1 und 2 DS-GVO) verlangen und haben einen Anspruch auf Löschung von Daten, u. a. wenn eine Rechtsgrundlage nicht existiert oder nicht mehr greift, wenn die Einwilligung widerrufen oder rechtmäßig Widerspruch eingelegt wurde (Art. 17 Abs. 1 DS-GVO). Dem Interesse des Betroffenen, eine weitere Verbreitung der zu löschenden Daten, insbesondere über das Internet, zu verhindern, trägt die Verordnung dadurch Rechnung, dass dem Datenverarbeiter eine Pflicht auferlegt wird, andere Datenverarbeiter über das Löschungsverlangen zu informieren, soweit der entsprechende Aufwand hierfür angemessen76 ist. (Art. 17 Abs. 2 DS-GVO, sogenanntes ‚Recht auf Ver 75 Ob die Vernachlässigung von Informationspflichten aber unmittelbar die Rechtmäßigkeit der Datenverarbeitung beeinflusst oder lediglich Bußgeldzahlungen nach sich zieht, bleibt unklar. Letzteres befürwortet Franck, RDV 2016, 111 (116); es bleibt aber zu bedenken, dass die Informationspflichten als Instrument des Interessenausgleichs eine wesentlich effektivere Wirkung entfalten können, wenn ihre Erfüllung mit der Rechtmäßigkeit der Verarbeitung direkt zusammenhängt. 76 Eine in dieser Regelung enthaltene Interessenabwägung erkennt ausdrücklich Worms, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, Art. 17 DS-GVO, Rdnr. 74. Völlig offen ist jedoch, welche Maßnahmen der Verantwortliche ergreifen muss, um die zu notifizierenden Dritten, die die Daten aufgrund seiner erstmaligen Veröffentlichung verarbeiten, auszumachen und zu kontaktieren: Franck, RDV 2016, 111 (114). Für eine Kombination objektiver (Stand

72

C. Instrumente des Interessenausgleichs

gessenwerden‘77). Die gegenläufigen Interessen des Datenverarbeiters oder Dritter können im Rahmen von Löschverlangen insbesondere dann Berücksichtigung finden, wenn die Ausübung des Rechts auf freie Meinungsäußerung und Information betroffen ist (Art. 17 Abs. 3 lit. a DS-GVO). Widerspruch gegen eine Datenverarbeitung ist u. a. möglich, wenn die Verarbeitung auf der Grundlage von Art. 6 Abs. 1 Satz 1 lit. e oder f DS-GVO beruht und wenn eine besondere Situation vorliegt, die den Widerspruch rechtfertigt (Art. 21 Abs. 1 Satz 1 DS-GVO). Dieser Widerspruch kann allerdings wiederum durch zwingende schutzwürdige Gründe seitens des Datenverarbeiters ‚übertrumpft‘ werden (Art. 21 Abs. 1 Satz 2 DS-GVO). Die Widerspruchsmöglichkeit stellt damit nicht in jedem Fall eine Option dar, die Datenverarbeitung endgültig zu verhindern, sondern bietet vielmehr ein zusätzliches Verfahren zur erneuten Überprüfung der Interessenlage in Ausnahmefällen und unter deutlicher Einschränkung des Abwägungsspielraums. Anders verhält es sich mit dem Widerspruchsrecht gegen die Verarbeitung von Daten zu Zwecken der Direktwerbung – hier ist ein Widerspruch ohne besondere Voraussetzungen möglich und führt unweigerlich dazu, dass die entsprechenden Daten nicht mehr für Direktwerbungszwecke verarbeitet werden dürfen (Art. 21 Abs. 2 und 3 DS-GVO). Um Betroffenen außerdem einen Wechsel zwischen verschiedenen Anbietern und die Verwaltung ihrer persönlichen Daten zu erleichtern, steht ihnen das Recht zu, Datensätze in einem maschinenlesbaren, allgemein gängigen Format zu erhalten, sofern es sich um einen automatisierten Datenverarbeitungsvorgang handelt, in den der Betroffene zuvor eingewilligt und für den er die Daten selbst bereitgestellt78 hatte (Art. 20 Abs. 1 DS-GVO). der Technik) und subjektiver (Implementierungskosten) Aspekte der Angemessenheit: Laue/ Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 4 Rechte der betroffenen Person, Rn. 48. Von der Beurteilung einer „Zumutbarkeit“ im Einzelfall spricht Paal, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 17 DS-GVO, Rdnr. 36. 77 Berechtigterweise kritisiert wird jedoch diese Bezeichnung mit der Begründung, dass die Bestimmungen der DS-GVO einen solchen Anspruch materiellrechtlich nicht enthielten: Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S.  123 (140–141); Hornung/Hofmann, JZ 2013, 163 (167). Unter den Mechanismen, die einen Interessenausgleich begründen können, hat das Recht auf Löschung und Verhinderung der Weiterverbreitung im Zusammenhang mit entsprechenden Vorschlägen im europäischen Gesetzgebungsverfahren (vgl. Art.  17 des Kommissionsentwurfs; dazu beispielsweise: Koreng/Feldmann, ZD 2012, 311; Kodde, ZD 2013, 115; Rosen, SLRO 2012, 88; Gstrein, ZD 2012, 424; Gstrein, PinG 2015, 9; Sartor, IDPL 2015, 64; Fazlioglu, IDPL 2013, 149) und einer Entscheidung des EuGH (EuGH, Urt. v. 14.05.2014 – C-131/12; dazu beispielsweise: Nolte, NJW 2014, 2238; Boehme-Neßler, NVwZ 2014, 825; Buchholtz, ZD 2015, 570), insbesondere unter dem Begriff des sog. ‚Rechts auf Vergessenwerden‘ (Boehme-Neßler, NVwZ 2014, 825, sieht bereits eine Entwicklung hin zu einem selbstständigen europäischen Grundrecht auf Vergessenwerden) besondere Beachtung gefunden. Die Grundlage einer entsprechenden Argumentation bildet die Annahme, dass sich die Interessenlage bezüglich der Verarbeitung eines Datums durch Zeitablauf verändern kann, dazu etwa: Korenhof/Ausloos/Szekely/Ambrose/Sartor/ Leenes, in: Gutwirth/Leenes/Hert (Hrsg.), Reforming European Data Protection Law, S. 171 (189–190). 78 Für das Bereitstellen soll die einfache Zugriffsgewährung, auch unter Mitwirkung Dritter, ausreichen: Jülicher/Röttgen/Schönfeld, ZD 2016, 358 (359).

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

73

Auch über den Umgang mit Informationen hinaus besteht also ein umfassendes System von Betroffenenrechten, das an verschiedenen Stellen ansetzt, um die generelle Einhaltung von Datenschutzvorschriften zu ergänzen und zu fördern und die Position von Betroffenen gegenüber Datenverarbeitern in unterschiedlicher Weise zu stärken.79 cc) Voreinstellungen, Garantien, technische und organisatorische Maßnahmen △ Art.  24 und Art.  25 Abs.  1 DS-GVO verlangen allgemein das Ergreifen ge­ eigneter technischer und organisatorischer Maßnahmen. Voreinstellungen sollen so gestaltet sein, dass grundsätzlich nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden und Daten nicht ohne Zutun des Betroffenen einem unbegrenzten Personenkreis zugänglich werden (Art. 25 Abs. 2 Sätze 1 und 2 DS-GVO). Der Verantwortliche hat solche Auftragsverarbeiter auszuwählen, die angemessene technische und organisatorische Maßnahmen durchführen (Art. 28 Abs. 1 DS-GVO). Art. 25 Abs. 1 DS-GVO macht deutlich, dass die Vorschriften über technische und organisatorische Maßnahmen dazu bestimmt sind, die Interessen der Beteiligten auszugleichen: Obwohl Maßnahmen sich grundsätzlich nach Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten des Betroffenen richten, muss der Datenverarbeiter sie nur ergreifen, wenn sie ihm auch zumutbar sind. Art.  32 Abs.  1 und 2 DS-GVO schreibt vor, dass das Datensicherheitsniveau dem jeweiligen Risiko angemessen sein muss  – auch hier schaffen also Sicherheitsvorkehrungen ein Gegengewicht, das die entstandene Risikolage abfedert und auf diese Weise einen Ausgleich der relevanten Interessen schafft. Zu beachten bei der Beurteilung sind der Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung, die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten der Betroffenen sowie sonstige Risiken, die mit der Datenverarbeitung verbunden sind. Verletzungen sind der Aufsichtsbehörde zu melden (Art. 33 Abs. 1 Satz 1 DS-GVO). Bei Verarbeitungen, die unter dem Verdacht stehen, ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen darzustellen, muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung80 nach Art. 35 DS-GVO 79

Franck, RDV 2016, 111 (111; 119). In diese Richtung generell auch Erwgr. 11 DS-GVO. Dabei handelt es sich um „ein Instrument, um das Risiko zu erkennen und zu bewerten, das für das Individuum […] durch den Einsatz einer bestimmten Technologie oder eines Systems durch eine Organisation entsteht“, Friedelwald/Obersteller/Nebel/Bieker/Rost, Datenschutz-Folgenabschätzung, S. 5. Ein Flussdiagramm, das den „[p]rototypische[n] Ablauf einer Datenschutz-Folgenabschätzung“ illustriert, findet sich bei: Bieker/Hansen/Friedelwald, RDV 2016, 188 (189). Die vier relevanten Phasen sind demzufolge Vorbereitung, Bewertung, 80

74

C. Instrumente des Interessenausgleichs

durchführen. Für die Beurteilung des Risikos hat der Gesetzgeber einige allgemein zu beachtende Kriterien vorgegeben und zudem eine nicht abschließende Liste von Fällen vorgesehen, in denen eine Folgenabschätzung jedenfalls stattfinden muss. Neben der Beschreibung der geplanten Verarbeitungsvorgänge und einer Risikoanalyse enthält die Datenschutzfolgenabschätzung insbesondere Ausführungen zu geplanten Abhilfemaßnahmen, die die erkannten Risiken ausgleichen sollen.81 Art. 36 DS-GVO sieht zudem vor, dass in Fällen, in denen die Folgenabschätzung ein hohes Risiko aufdeckt, die Aufsichtsbehörde noch vor der Verarbeitung konsultiert werden muss, um schon der Entstehung solcher Risiken vorzubeugen. Damit stellt die Datenschutzfolgenabschätzung einen gezielten Mechanismus dar, um die Interessenlage vorab zu ermitteln82 und sogar bereits vor ihrer tatsächlichen Entstehung die notwendigen Ausgleichsmaßnahmen seitens des Datenverarbeiters und der Aufsichtsbehörden zu evaluieren.83 Insgesamt sollen also die auf die Datenschutzfreundlichkeit und Sicherheit der eingesetzten Technologie und des angewandten Verfahrens gerichteten Pflichten des Datenverarbeiters einen Rahmen bereitstellen, um die ihm zukommende Herrschaft über die technischen und organisatorischen Details der Datenverarbeitung jeweils so auszugestalten, dass sie den Interessen des Betroffenen an einem dem jeweiligen Verarbeitungsrisiko und der Verarbeitungssituation angepassten Schutz seiner Daten bestmöglich gerecht werden. dd) Standardisierung und einheitliche Anwendung △ Verhaltensregeln (Präzisierungen der in Art.  40  Abs.  2  DS-GVO genannten Aspekte, die von Verbänden oder Vereinigungen ausgearbeitet, vom Datenausschuss auf Konformität mit der DS-GVO überprüft, von der Kommission für allgemeingültig erklärt und deren Einhaltung von akkreditierten Stellen überprüft werden können, vgl. Art. 40 und Art. 41 DS-GVO) sowie Zertifizierungen (Siegel oder Prüfzeichen, die von einer akkreditierten Stelle nach einem transparenten Verfahren für jeweils maximal drei Jahre an Datenverarbeiter vergeben werMaßnahmen und Bericht, wobei in der Bewertungsphase die Elemente des von den Datenschutzbehörden des Bundes und der Länder entwickelten Standard-Datenschutzmodells (vgl. Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder [AK Technik], Das Standard-Datenschutzmodell) einfließen sollen. 81 Für ein Modell zur Durchführung der Datenschutzfolgenabschätzung unter Art. 35 DSGVO sowie für einen Überblick über die bisherige Entwicklung von Technikfolgenabschätzung, Risikoeinschätzung, Privacy Impact Assessement und ähnlichen Verfahren in der EU und weltweit vgl. Friedelwald/Obersteller/Nebel/Bieker/Rost, Datenschutz-Folgenabschätzung. 82 Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 35 DS-GVO, Rdnr. 52. 83 Kritisch hinsichtlich der praktischen Wirksamkeit des Instruments aber aufgrund entsprechender Erfahrungswerte mit der Vorabkontrolle unter dem BDSG und entsprechenden Problemen in der Zusammenarbeit mit den Aufsichtsbehörden: Hansen-Oest/Stephan, PinG 2016, 79 (84).

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

75

den, die die Voraussetzungen für das jeweilige Prüfsiegel erfüllen, Art.  42 und Art.  43  DS-GVO) sorgen nicht nur für eine dynamische Selbstregulierung,84 sondern schaffen zugleich von Experten erarbeitete, objektiv feststehende Standards,85 deren Einhaltung vollständig überprüft werden kann. Auf diese Weise wird das Datenschutzniveau insgesamt angehoben und dessen objektive Beurteilung erleichtert, was den Interessenausgleich maßgeblich begünstigt. ee) Darlegungs-, Beweis-, Nachweis- und Dokumentationspflichten △ Die DS-GVO wird der Interessenlage der Beteiligten auch durch die Zuweisung von ausdrücklichen und implizit angelegten86 Darlegungs-, Beweis-, Nachweis- und Dokumentationspflichten87 gerecht. So obliegt es z. B. in der Folge eines Betroffenenwiderspruchs dem Datenverarbeiter nachzuweisen, dass zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, um die Datenverarbeitung auf dieser Grundlage fortsetzen zu können (es handelt sich also um eine „Ex-postBeweislastumkehr“88; Art. 21 Abs. 1 Satz 2 und Erwgr. 69 DS-GVO). Auch den Nachweis, dass eine Einwilligung in die Verarbeitung vorliegt, hat immer der Datenverarbeiter zu erbringen (Art. 7 Abs. 1 und Erwgr. 42 DS-GVO). Will ein Datenverarbeiter gemäß Art. 11 Abs. 2 Satz 2 DS-GVO von seinen Pflichten befreit sein, so muss er wiederum explizit nachweisen, dass er den Betroffenen nicht (mehr) bestimmen kann (Satz 1). Art. 24 Abs. 1 DS-GVO fordert, dass der Verantwortliche die Einhaltung der Vorgaben der Verordnung nachweisen können muss; dementsprechend haben nach Art.  30 DS-GVO grundsätzlich sowohl Verantwortliche (Abs.  1) als auch Auftragsdatenverarbeiter (Abs. 2) ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, welches umfangreiche Angaben über die durchgeführten Datenverarbeitungen macht und auf Anfrage der Aufsichtsbehörde vorzulegen ist (Abs. 4). Gleichermaßen sind im Falle von Datenschutzfolgenabschätzungen umfassende Informationen über die geplanten Verarbeitungsvorgänge, die Evaluation von Notwendigkeit, Verhältnismäßigkeit, möglicher Risiken und Gegenmaßnahmen festzuhalten (Art. 35 Abs. 2 DS-GVO) und im Falle einer Konsultation der Aufsichtsbehörde vorzulegen (Art. 36 Abs. 3 lit. e DS-GVO).

84

Zu Selbstregulierungsaspekten etwa Krings/Mammen, RDV 2015, 231 (232). Einen Überblick über derzeit bestehende (ISO-)Standards und einen Ausblick auf mögliche Entwicklungen gibt Kraska, ZD 2016, 153. 86 Lepperhoff, RDV 2016, 197 (198). 87 Für eine erschöpfende Übersicht der in der DS-GVO angelegten Normen, die sich mittelbar oder unmittelbar auf die Dokumentationspflichten des Datenverarbeiters auswirken siehe: Lepperhoff, RDV 2016, 197 (198). 88 Kastelitz, in: Knyrim (Hrsg.), DS-GVO, Art. 6 DS-GVO, S. 107. 85

76

C. Instrumente des Interessenausgleichs

Im Zusammenhang mit Schadensersatzforderungen haften Verantwortliche und Auftragsdatenverarbeiter gleichermaßen für vermutetes Verschulden (Art. 82 Abs. 1, Abs. 2 Satz 1 DS-GVO), wobei für den Auftragsdatenverarbeiter die Haftung auf die Nichtbefolgung speziell ihn betreffender Pflichten und die Nicht­ beachtung rechtmäßig erteilter Anweisungen beschränkt ist (Art. 82 Abs. 1, Abs. 2 Satz 2 DS-GVO); um sich zu exkulpieren, müssen sie jeweils nachweisen, dass sie für den schadensbegründenden Umstand nicht verantwortlich sind (Art. 82 Abs. 3 DS-GVO). Diese weitreichende Zuweisung von Darlegungs-, Beweis, Nachweis- und Dokumentationspflichten zum Datenverarbeiter soll den Umstand ausgleichen, dass dieser regelmäßig die Kontrolle über tatsächliche und technische Aspekte der Datenverarbeitung besitzt. Somit ist er viel eher als der Betroffene in der Lage, Verarbeitungsvorgänge zu dokumentieren und das Vorliegen der jeweiligen Voraussetzungen für eine legitime Verarbeitung nachzuweisen. Im Falle einer gerichtlichen oder aufsichtsbehördlichen Prüfung der Interessenlage soll dies den Interessen des Betroffenen eine verfahrensrechtliche Vorteilsposition verschaffen, die strukturelle und informationelle Defizite kompensieren soll. ff) Durchsetzung: Rechtsbehelfe, Haftung, Sanktionen △ Um den Betroffeneninteressen nicht nur theoretisch zum Ausgleich, sondern auch praktisch zur Durchsetzung zu verhelfen, steht den Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art.  77  Abs.  1 DS-GVO), auf gerichtlichen Rechtsbehelf89 gegen eine Aufsichtsbehörde (Art. 78 Abs. 1 DS-GVO) 89

Weil es eine der deutschen Verfassungsbeschwerde in ihrer Unmittelbarkeit vergleichbare Klageart auf der Unionsebene nicht gibt, sind die Interessenträger für die Durchsetzung des Interessenausgleichs jedoch in verfahrensrechtlicher Hinsicht grundsätzlich zunächst auf den jeweils nach dem nationalen Recht vorgesehenen Rechtsweg angewiesen und können im Rahmen dieses Verfahrens lediglich mittelbar im Wege eines Vorabentscheidungsverfahrens (Art. 267 Abs. 1 lit. b AEUV) erreichen, dass der Interessenausgleich und mögliche Grundrechtsbeeinträchtigungen im konkreten Fall durch den EuGH beurteilt werden. Problematisch gestaltet sich bereits die Erlangung effektiven Rechtsschutzes gegen durch hoheitliche Akte nationaler öffentlicher Gewalt verursachte Grundrechtsverletzungen, die unmittelbar aufgrund der Bestimmungen der DS-GVO ergangen sind: Weil kein Organ der Union gehandelt hat, ist eine Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV von Anfang an ausgeschlossen. Gegenstand einer Verfassungsbeschwerde vor dem BVerfG kann allerdings nur die Geltendmachung der Verletzung deutscher Verfassungsrechtsgüter nach dem Grundgesetz sein (§ 90 Abs.  1 BVerfGG). Das BVerfG misst europäische Rechtsakte und darauf beruhende Akte nationaler öffentlicher Gewalt jedoch grundsätzlich nicht an deutschem Verfassungsrecht (BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 [1150]; zu Ausnahmen und der sog. ‚Solange-Rechtsprechung‘ siehe auch unter C. IV. 4.). Abseits eines Eingreifens des BVerfG verbleibt nur eine Vorlage einzelner Auslegungsfragen durch Instanzgerichte beim EuGH und somit eine der deutschen Verfassungsbeschwerde ebenfalls kaum vergleichbare, lediglich mittelbare Berücksichtigung europäischer Grundrechte. Zwar ist die DS-GVO selbst als Verordnung tauglicher Klagegegenstand für eine Nichtigkeitsklage natürlicher oder juristischer Per-

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

77

und auf gerichtlichen Rechtsbehelf gegen Verantwortliche und Auftragsverarbeiter (Art. 79 Abs. 1 DS-GVO) zu. Schadensersatzansprüche bestehen, wenn wegen Verstößen gegen die Verordnung materielle oder immaterielle Schäden entstanden sind (Art. 82 Abs. 1 DS-GVO). Darüber hinaus zielen Geldbußen und Sanktionen90 auf die Durchsetzung der Einhaltung der Vorschriften der DS-GVO (Art. 83 und 84 DS-GVO). gg) Überwachung der Einhaltung der Datenschutzvorschriften △ Unabhängige Aufsichtsbehörden sind in den Mitgliedstaaten insbesondere mit der Überwachung der Einhaltung von Datenschutzvorschriften befasst (Art.  57 Abs. 1 lit. a DS-GVO). Zur Erfüllung dieser Aufgaben sind die Aufsichtsbehörden u. a. mit Untersuchungsbefugnissen und Abhilfebefugnissen (z. B. Warnung, Tadel, Anweisungen, Beschränkungen und Verbote, Geldbußen; Art.  58 Abs.  1 und 2 DS-GVO) ausgestattet. Insbesondere wenn Unternehmen sich umfangreich mit der Verarbeitung personenbezogener Daten oder mit der Verarbeitung sensibler Daten befassen, müssen sie außerdem einen Datenschutzbeauftragten benennen, der ebenfalls die Einhaltung von Datenschutzvorschriften überwacht (Art. 37 und 39 Abs. 1 lit. b DS-GVO).91 Zusätzlich ist auch der unabhängige europäische sonen nach Art. 263 Abs. 4 Var. 2 AEUV. Die Klagebefugnis hängt in diesem Fall aber u. a. davon ab, ob der Kläger jeweils ‚individuell betroffen‘ ist. Dabei engen die von der Rechtsprechung zumindest einigermaßen regelmäßig anerkannten Fallgruppen der individuellen Betroffenheit (dazu umfassend Cremer, in: Caliess/Ruffert [Hrsg.], Verfassungsrecht der EU, Art. 263 AEUV, Rdnr. 42–51) die Klagebefugnis jedoch derart ein, dass ihre Voraussetzungen mit denen der Beschwerdebefugnis bei der deutschen Verfahrensart der Verfassungsbeschwerde (§ 90 Abs. 1 BVerfGG fordert lediglich, dass der Beschwerdeführer substantiiert behauptet, durch die Verletzung eines Grundrechts oder anderer geschützter Rechtsgüter selbst, unmittelbar und gegenwärtig betroffen zu sein) nicht vergleichbar sind. Nichtigkeitsklagen gegen die DS-GVO werden folglich regelmäßig unzulässig sein (ebenso: Nebel, in: Roßnagel [Hrsg.], DS-GVO, § 2 Grundlagen, Rdnr. 125). Zwar gab es in der Rechtsprechung des EuGH in der Vergangenheit auch vereinzelte Hinweise darauf, dass eine individuelle Betroffenheit (ähnlich wie im deutschen Verfassungsrecht) bereits bejaht werden könnte, wenn der Kläger seine eigene Betroffenheit durch einen Grundrechtsverstoß geltend macht, die neuere Rechtsprechung scheint diese Richtung aber nicht aufzugreifen (Cremer, in: Caliess/Ruffert [Hrsg.], Verfassungsrecht der EU, Art. 263 AEUV, Rdnr. 43–45). Solange eine individuelle Betroffenheit im Falle der Geltendmachung von Grundrechtsverletzungen durch den EuGH aber nicht eindeutig anerkannt worden ist und die übrigen Varianten der individuellen Betroffenheit die Klagebefugnis so weit einschränken, dass eine Vergleichbarkeit mit der Beschwerdebefugnis bei der Verfassungsbeschwerde nicht gegeben ist, stellt die individuelle Nichtigkeitsklage hinsichtlich der Verletzung von Grundrechten auf der Unionsebene durch die DS-GVO keine der deutschen Verfahrensart der Verfassungsbeschwerde ähnlich effektive Rechtsschutzmöglichkeit dar. 90 Zur praxisrelevanten Frage der Zurechnung und Verantwortlichkeit innerhalb von Konzernen: Faust/Spittka/Wytibul, ZD 2016, 120. 91 Zur Überwachung der Einhaltung der DS-GVO durch die betrieblichen Datenschutz­ beauftragten etwa Voßhoff/Hermerschmidt, PinG 2016, 56 (58).

78

C. Instrumente des Interessenausgleichs

Datenschutzausschuss für Aspekte der Überwachung der Anwendung der Verordnung im Rahmen des Kohärenzverfahrens zuständig (Art. 70 Abs. 1 Satz 1 lit. a i. V. m. Art. 64 und Art. 65 DS-GVO). Dem Datenverarbeiter sind damit Aufsichtsstellen gegenübergestellt, denen finanzielle Mittel, rechtliche Befugnisse sowie Expertenwissen zur Verfügung stehen, auf die einzelne Betroffene nicht zurückgreifen können – entsprechende Defizite auf Seiten der Nutzer sollen durch solche Mechanismen also gezielt relativiert werden. g) Tabellarische Übersicht der Ergebnisse Tabelle 2 Funktionsweise der Ausgleichsmechanismen im europäischen Datenschutzrecht Gesetzlicher Rahmen

Funktionsweise

Mechanismus △

Verhältnismäßigkeitsgrundsatz

Herstellung eines Ausgleichs auf der Grundrechtsebene; Forderung der verhältnismäßigen Ausgestaltung durch die Mitgliedstaaten; weiter Mechanismus

Ausdrücklich angeordnete Interessenabwägung

Bestandteil eines der wichtigsten Erlaubnistatbestände, kein vorgeschriebenes Verfahren, Einbeziehung sämtlicher tatsächlicher und rechtlicher Belange; weiter Mechanismus

Erforderlichkeitsklauseln

In zahlreichen Erlaubnistatbeständen zu finden; soweit mit einschränkenden Kriterien verbunden – engerer Abwägungsspielraum; ansonsten: weiter Spielraum

Unbestimmte Begriffe und Verarbeitungsgrundsätze

Einbeziehung bzw. Ausschluss von Beteiligten oder ihren Interessen aus dem Interessenausgleichsregime; unterschiedlich weite und enge Abwägungsspielräume

Selbstbestimmungselemente

Aktive Gestaltung der Rechtslage entsprechend den Inte­ ressen der Beteiligten  – strenge Voraussetzungen zur Sicherstellung autonomer, selbstbestimmter Entscheidungen

Datenschutzrechtsspezifische Mechanismen Informationspflichten und Auskunftsrechte

Ausgleich informationeller Nachteile des Betroffenen, Transparenz

Sonstige Betroffenenrechte

Generelle Ergänzung und Unterstützung des Interessenausgleichs im jeweiligen Zusammenhang; Stärkung der Position Betroffener

Technische und organisatorische Maßnahmen

Risiko-und situationsangepasste Skalierung der Maßnahmen, um dem Schutzinteresse Betroffener gerecht zu werden

Standardisierung und einheitliche Anwendung

Erleichterung der Beurteilung des Schutzniveaus, dadurch Begünstigung des Interessenausgleichs

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

79

Gesetzlicher Rahmen

Funktionsweise

Mechanismus △

Datenschutzrechtsspezifische Mechanismen Nachweis- und Dokumentationspflichten

Obliegen mehrheitlich dem Datenverarbeiter, tragen der Tatsache Rechnung, dass dieser die entsprechenden Mittel zur Erfüllung von Nachweis- und Dokumentationspflichten besitzt

Durchsetzungs­ vorschriften

Effektive Durchsetzung des von der DS-GVO geschaffenen Interessenausgleichs

Überwachung der Einhaltung

Ausgleich von Defiziten auf Seiten der Betroffenen durch mit finanziellen Mitteln, rechtlichen Befugnissen und Expertenwissen ausgestattete unabhängige Stellen

2. Ausgleichsmechanismen in der Rechtsprechung des EuGH und EGMR △ Der EuGH gelangt über verschiedene ‚Mechanismen‘ zur Abwägung von datenschutzrechtlichen Belangen mit anderen Interessen und (Grund-)Rechten: Das Gericht geht allgemein davon aus, dass solche Mechanismen, die eine Abwägung von Rechten und Interessen gestatten, in den europäischen und nationalen Vorschriften verankert seien.92 Dementsprechend gelangt es auch über eine Auslegung des Sekundärrechts regelmäßig zu der Frage, ob in die Grundrechte auf Privatleben (Art. 7 GRC) und den Schutz personenbezogener Daten (Art. 8 GRC) eingegriffen wurde und ob ein derartiger Eingriff im Einzelfall gerechtfertigt war.93 Anlass zu einer Abwägung gaben (z. T. bereits mehrfach) die insbesondere in Art. 6 Abs. 1 lit. c und Art. 7 lit. c und e DS-RL verankerten Grundsätze der Verhältnismäßigkeit und Erforderlichkeit,94 die Interessenabwägungsklausel des Art. 7 lit. f DS-RL,95 Art. 9 DS-RL, der einen Ausgleich zwischen dem Grundrecht auf Da-

92 EuGH, Urt. v. 06.11.2003 – C-101/01 (Rndr. 82); EuGH, Urt. v. 29.01.2008 – C-275/06 (Rndr. 66). 93 Hier droht ein argumentativer Zirkelschluss, weil die DS-RL ausdrücklich oder implizit auf Grundrechte verweist, die ihrerseits durch die DS-RL sekundärrechtlich näher ausgestaltet werden sollten; diesen Konflikt versucht der EuGH durch Verweise auf Art. 8 EMRK und die zugehörige EGMR-Rechtsprechung zu vermeiden, vgl. dazu Siemen, Datenschutz als europäisches Grundrecht, S. 265. Art. 52 Abs. 3 bestimmt hierzu, dass die Grundrechte der GRC den gleichen Schutzgehalt und die gleiche Tragweite wie die entsprechend zuordenbaren Rechte der EMRK besitzen sollen; zum Ganzen auch bereits Kap. B. Fn. 9. 94 EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rndr. 66–67; 72); EuGH, Urt. v. 16.12.2008 – C-524/06 (Rndr. 49). 95 EuGH, Urt. v. 14.09.2000 – C-369/98 (Rndr. 33–35); EuGH, Urt. v. 24.11.2011 – C-468/10, C-469/10 (Rndr. 40); EuGH, Urt. v. 14.05.2014 – C-131/12 (Rndr. 74).

80

C. Instrumente des Interessenausgleichs

tenschutz und dem Grundrecht auf Meinungsfreiheit vorsieht96 und Art. 12 lit. c DS-RL, der bezüglich der Informationspflichten des Datenverarbeiters eine Einschränkung vorsieht, wenn die Einhaltung der Vorschriften mit einem unverhältnismäßigen Aufwand verbunden wäre97. Auch bei der Auslegung von Begriffen der DS-RL zog der EuGH die jeweils berührten Belange für die Argumentation heran.98 Trotz des anerkannt hohen Stellenwerts der Privatsphäre99 betont der EuGH, dass das Grundrecht auf den Schutz personenbezogener Daten nicht schrankenlos gewährleistet sei.100 Vielmehr sei dessen gesellschaftliche Funktion zu berücksichtigen,101 Einschränkungen seien aber auf das absolut Notwendige zu beschränken102. Soweit im Rahmen von Verfahren, bei denen ein Verstoß gegen die GRC gerügt wurde, die Grundrechte aus der Charta unmittelbar heranzuziehen waren, ging das Gericht deswegen im Rahmen einer Grundrechtsprüfung auf die Verhältnismäßigkeit, d. h. Erforderlichkeit und Angemessenheit, von Grundrechtseingriffen ein.103 Spätestens im Rahmen der Überprüfung der Angemessenheit hatte das Gericht dann über konfligierende Grundrechte und deren Abwägung mit den Grundrechten auf Achtung des Privatlebens und den Schutz personenbezogener Daten zu entscheiden. Für die Beurteilung der Rechtmäßigkeit der Beeinträch­ tigung des Datenschutzgrundrechts zieht das Gericht Art. 8 Abs. 2, Art. 52 GRC sowie Art. 8 Abs. 2 EMRK i. V. m. Art. 52 Abs. 3 GRC heran104. Diesen Vorschriften gemäß prüft es, ob es sich um einen gesetzlich vorgesehenen Eingriff handelt, der ein berechtigtes Ziel verfolgt,105 ob der Eingriff dem Grundsatz der Verhältnismäßigkeit entspricht und ob der Wesensgehalt der betroffenen Rechte und Freiheiten durch den Eingriff missachtet wird.106

96

EuGH, Urt. v. 16.12.2008 – C-73/07 (Rndr. 50–54). EuGH, Urt. v. 07.05.2009 – C-553/07 (Rndr. 61–63). 98 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rndr. 53–60); EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rndr. 68). 99 EuGH, Urt. v. 20.05.2003  – C-465/00, C-138/01, C-139/01 (Rndr. 70); EuGH, Urt. v. 29.01.2008 – C-275/06 (Rndr. 63); EuGH, Urt. v. 16.12.2008 – C-73/07 (Rndr. 52); EuGH, Urt. v. 07.05.2009 – C-553/07 (Rndr. 47); EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 53). 100 EuGH, Urt. v. 24.11.2011 – C-468/10, C-469/10 (Rndr. 42). 101 EuGH, Urt. v. 09.11.2010  – C-92/09, C-93/09 (Rndr. 48); EuGH, Urt. v. 05.05.2011  – C-543/09 (Rndr. 51). 102 EuGH, Urt. v. 16.12.2008  – C-73/07 (Rndr. 56); EuGH, Urt. v. 09.11.2010  – C-92/09, C-93/09 (Rndr. 77); EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 52); EuGH, Urt. v. 06.10.2015 – C-362/14 (Rndr. 92). 103 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 45–69).­ 104 Vgl. z. B. EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 (Rndr. 49–52). 105 Vgl. z. B. EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rndr. 76–81). 106 Vgl. z. B. EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rndr. 38–69); zwischen Privaten jedoch lediglich mit einem kursorischen Verweis darauf, dass ein „angemessener Ausgleich“ zwischen den Grundrechten hergestellt werden müsse: EuGH, Urt. v. 14.05.2014  – C-131/12 (Rndr. 81). 97

II. Mechanismen des Interessenausgleichs im Datenschutzrecht △

81

Vor dem EGMR werden Abwägungsfragen regelmäßig im Zusammenhang mit der Kollision mehrerer Rechte aus der EMRK behandelt. Der EGMR gewährt grundsätzlich den Mitgliedstaaten einen gewissen Spielraum bei der Ausgestaltung von Gesetzen (sogenannte ‚margin of appreciation‘-Doktrin, insbesondere etabliert im Zusammenhang mit den Rechten aus Art. 8 bis Art. 11 GRC)107, erwartet jedoch, dass das Gesetz die Bewertung von Interessen für den jeweils zu regelnden Fall zum einen in einem ausreichenden Maß, zum anderen im Einklang mit den in der EMRK niedergelegten Rechten vorweg nimmt. Zunächst prüft das Gericht also, ob das Gesetz überhaupt ausreichend Vorgaben macht, um das Ermessen bei seiner Anwendung weit genug einzuschränken. Weil bereits die Schärfe und Tiefe der Kollision verschiedener Rechte mit beeinflusst, wie stark eine Ermessensentscheidung im Gesetz vorweggenommen sein muss,108 spielen für den EGMR bereits an dieser Stelle auch Abwägungskriterien eine entscheidende Rolle. Der EGMR bemängelte vielfach, dass die in Rede stehenden nationalen Vorschriften einen zu weiten oder unklaren Ermessensspielraum für die Gesetzesanwendung eröffneten und verlangte regelmäßig, dass entsprechende nationale Gesetze im Zusammenhang mit dem Umgang mit personenbezogenen Daten zumindest Vorgaben hinsichtlich zeitlicher Aspekte (thematisiert wurden etwa die unbegrenzte Aufbewahrung von Daten,109 Dauer von Maßnahmen110 und Weitergabe von Daten nach langem Zeitraum111), möglicher betroffener Personenkreise112 und Datenkategorien113 machen. Das Gericht erkannte auch grundsätzlich an, dass die Anforderungen an die gesetzliche Ausgestaltung des Ermessens mit der Intensivierung von Eingriffen durch moderne Überwachungsmethoden ebenfalls steigen müssen.114 Weiterhin prüft der EGMR, ob das Gesetz – auch im Falle seiner konkreten Anwendung – die Interessenlage, namentlich die Kollision der betroffenen (Grund-)Rechte und Interessen, innerhalb des gewährten Spielraums korrekt wiedergibt. Eingriffe müssen demnach auf einer gesetzlichen Grundlage beruhen, ein legitimes Ziel verfolgen und zur Erreichung des legitimen Ziels in 107 Vgl. nur EGMR, Urt. v. 23.09.1994 – App. 19823/92 (Abs. 55); EGMR, Urt. v. 26.03.1987 – App. 9248/81 (Abs.  59; 67); zu den den Anwendungsspielraum einschränkenden Aspekten aber: EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 112). 108 Besonders deutlich z. B. EGMR, Urt. v. 27.10.2015 – App. 62498/11 (Abs. 127–128). 109 EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 119–126); EGMR, Urt. v. 04.05.2000 – App. 28341/95 (Abs. 57). 110 EGMR, Urt. v. 20.12.2005 – App. 71611/01 (Abs. 33); EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs.  74); zum positiv bewerteten Beispiel des deutschen G10-Gesetzes: EGMR, Urt. v. 06.09.1978 – App. 5029/71 (Abs. 52). 111 EGMR, Urt. v. 13.11.2012 – App. 24029/07 (Abs. 204). 112 Zum positiv bewerteten Beispiel des deutschen G10-Gesetzes EGMR, Urt. v. 06.09.1978 – App. 5029/71 (Abs. 51); EGMR, Urt. v. 04.05.2000 – App. 28341/95 (Abs. 57); EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 66–67). 113 EGMR, Urt. v. 04.05.2000 – App. 28341/95 (Abs. 57); eine Unterscheidung hinsichtlich der Wichtigkeit oder Relevanz der Daten für die Erreichung des verfolgten Zwecks verlangend EGMR, Urt. v. 29.04.2014 – App. 52019/07 (Abs. 58). 114 EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 70).

82

C. Instrumente des Interessenausgleichs

einer demokratischen Gesellschaft notwendig und angemessen sein. Auch an dieser Stelle bedient sich also das Gericht des Ausgleichsmechanismus der Verhältnismäßigkeit. Tabelle 3 Datenschutzrechtliche Ausgleichsmechanismen in der Rechtsprechung Rechtsprechung Funktionsweise/ Verwendung EuGH

Funktionsweise/ Verwendung EGMR

Verhältnismäßigkeitsgrundsatz

Herstellung eines Ausgleichs auf der Grundrechtsebene (Erforderlichkeit und Angemessenheit von Eingriffen)

Herstellung eines Ausgleichs auf der Grundrechtsebene (margin of appreciation)

Ausdrücklich angeordnete Interessenabwägung

‚Einbruchsstelle‘ für verhältnismäßigen Grundrechtsausgleich

Erforderlichkeits­ klauseln

‚Einbruchsstelle‘ für verhältnismäßigen Grundrechtsausgleich

Unbestimmte Begriffe und Verarbeitungsgrundsätze

‚Einbruchsstelle‘ für verhältnismäßigen Grundrechtsausgleich

Mechanismus △

3. Zwischenergebnis: Mechanismen des Interessenausgleichs im Datenschutzrecht ‚Mechanismen‘ (△) des Interessenausgleichs sind im europäischen Datenschutzrecht zunächst dort zu finden, wo die DS-GVO Interessenabwägungen ausdrücklich anordnet (z. B. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Weiterhin finden sich Verweise auf die ebenfalls als Ausgleichsmechanismen identifizierten Instrumente der Verhältnismäßigkeit (sowohl auf der Grundrechtsebene als auch im Sekundärrecht, z. B. Art. 8 Abs. 1 i. V. m. Art. 52 Abs. 1 GRC, Erwgr. 4 DS-GVO) und Erforderlichkeit (z. B. Art. 6 Abs. 1 Satz 1 lit. b, c, d und e DS-GVO) sowie Selbstbestimmungselemente, die den Beteiligten eine aktive Gestaltung des rechtlichen Verhältnisses im Sinne ihrer Interessen gestatten (z. B. Art. 6 Abs. 1 Satz 1 lit. a und  b DS-GVO). Zahlreiche der von der DS-GVO verwendeten Begrifflichkeiten sind einer näheren Auslegung zugänglich und eröffnen damit ebenfalls einen Spielraum für die Berücksichtigung von Abwägungsbelangen (weil sie an dieser Stelle nicht sämtlich untersucht werden konnten, wurden exemplarisch einige Begriffe im Zusammenhang mit den Anwendungsvoraussetzungen der DS-GVO sowie das Prinzip der Zweckbindung herausgegriffen, um deren Betrachtung an-

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

83

schließend im Rahmen der Analyse des Interessenausgleichs im Netzwerkkontext fortentwickeln zu können). An verschiedenen Stellen räumt der Verordnungsgeber zudem den Mitgliedstaaten Gestaltungsspielräume ein, d. h. die grundsätzlich positiven Vorschriften der DS-GVO können oder müssen im jeweils zugestandenen Umfang durch das Recht der Mitgliedstaaten ergänzt, präzisiert oder modifiziert werden.115 Zuletzt bedient sich der Verordnungsgeber auch datenschutzrechtsspezifischer Mechanismen, d. h. solcher Mechanismen, die auf die Begünstigung des Interessenausgleichs hinsichtlich typischer Interessenlagen im Datenschutz spezialisiert sind. So werden Informationsungleichgewichte insbesondere durch Transparenzpflichten, Informationspflichten und Auskunftsrechte abgefedert. Weitere Betroffenenrechte und Verarbeiterpflichten, Regeln der Standardisierung, einheitlichen Anwendung und Vorschriften zu den Darlegungs- und Nachweispflichten sowie zur effektiven Rechtsdurchsetzung begegnen der strukturellen Ungleichheit zwischen Datenverarbeiter und Betroffenem (vgl. für eine Gesamtübersicht: Tabelle 2, S. 42) Die im Datenschutzrecht vorgesehenen Ausgleichsmechanismen weisen unterschiedlich weite Spielräume auf, wobei Verhältnismäßigkeit, Erforderlichkeit und angeordnete Interessenabwägung zu weiten Spielräumen tendieren, während unbestimmte Begriffe ganz unterschiedlich enge und weite Abwägungsspielräume eröffnen. Selbstbestimmungselemente sowie datenschutzrechtsspezifische Ausgleichsmechanismen zielen hingegen meist auf eine ganz bestimmte Wirkung – etwa auf den Ausgleich informationeller und struktureller Ungleichheiten zwischen den Beteiligten; ihre Funktion für den Abwägungsprozess ist also deutlich stärker determiniert. Sämtliche dieser Mechanismen werden von der Rechtsprechung umfangreich als ‚Einbruchsstellen‘ genutzt, um Einzelfallabwägungen in Entscheidungen über datenschutzrechtliche Sachverhalte zu integrieren (vgl. für eine Gesamtübersicht: Tabelle 3, S. 44).

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○ 1. Ausgewählte gesetzgeberische Kriterien und Wertungen des Interessenausgleichs ‚Kriterien‘ (○) des Interessenausgleichs sind nach der gewählten funktionellen Betrachtungsweise Faktoren, die vom Gesetzgeber und der Rechtsprechung als abwägungsrelevant gekennzeichnet und mit mehr oder weniger eindeutigen 115 Zur Unterscheidung fakultativer und obligatorischer Öffnungsklauseln und zu den verschiedenen Kategorien von Öffnungsklauseln in der DS-GVO: Kühling/Martini/Heberlein/ Kühl/Nink/Weinzierl/Wenzel, Die DSGVO und das nationale Recht, S. 10.

84

C. Instrumente des Interessenausgleichs

Wertungen versehen wurden.116 Eine Auswahl der für Interessenausgleiche in verschiedenen Zusammenhängen von der DS-GVO vorgegebenen Kriterien werden im Folgenden unter den Oberbegriffen ‚Arten und Kategorien von Daten‘, ‚Arten und Kategorien von Betroffenen‘, ‚Art und Weise der Datenverarbeitung‘, ‚Verhältnis zwischen Betroffenem und Datenverarbeiter‘, ‚Auswirkungen für den Betroffenen‘, ‚Gesellschaftlicher und rechtlicher Bezug der Datenverarbeitung‘ und ‚zeitliche Aspekte‘ dargestellt und auf die jeweils mit ihnen verbundenen Wertungen hin untersucht, um ihre Wirkweise im Rahmen des Abwägungsprozesses zu beleuchten. a) Arten und Kategorien von Daten Die DS-GVO knüpft an das Kriterium unterschiedlicher Arten von Daten117 Wertungen, die sich durch Verschärfungen oder Lockerungen der allgemeinen Vorschriften ausdrücken. Allgemein ist die Art der personenbezogenen Daten z. B. bei einer Kompatibilitätsprüfung im Rahmen der Zweckänderung (Art. 6 Abs. 4 lit.  c DS-GVO) und bei der Beurteilung des Risikos nach Art.  35 Abs.  3 lit.  b­ DS-GVO, Erwgr. 75 DS-GVO) zu berücksichtigen.118 aa) Sensible Daten ○ Neben den allgemeinen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten (Art. 6 Abs. 1 Satz 1 DS-GVO) gibt es eine Spezialregelung mit strengeren Erlaubnistatbeständen (Art. 9 Abs. 2 bis 3 DS-GVO) für die Verarbeitung besonders sensibler Datenkategorien. Dies sind Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person, Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung (vgl. Art. 9 Abs. 1 DS-GVO). Auch korrespondierende Verschärfungen der Pflichten des Datenverarbeiters sind vorgesehen, z. B. wird die Gewährleistung angemessener Garantien (Art. 9 Abs. 2 lit. b, d, h DS-GVO) oder die Durchführung spezifischer Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person (Art. 9 Abs. 2 lit. j DS-GVO) verlangt, und sensible Daten dürfen abgesehen von strengen Ausnahmen nicht Gegenstand eines Profilings werden (Art. 22 Abs. 4 DS-GVO). Dem Gesetzeswortlaut zufolge be­ ziehen sich dabei die Spezialregelungen nicht nur auf die sensiblen Daten selbst, 116 Zum Ansatz einer funktionellen Analyse der ‚Werkzeuge‘ der datenschutzrechtlichen Abwägung unter B. III. 4. 117 Zur Abwägungsrelevanz der Arten und Kategorien von Daten bereits unter Art. 7 lit. f DS-RL: Art. 29-Datenschutzgruppe, WP 217, S. 38–39. 118 Die Unterscheidung zwischen auf Fakten basierenden Daten und aus persönlichen Einschätzungen gewonnenen Informationen verlangt zudem etwa Art. 7 Abs. 1 PJ DS-RL.

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

85

sondern zum Teil auch auf die Rohdaten, aus denen sie durch Verarbeitung oder Auswertung erst „hervorgehen“ können119 (vgl. Art. 9 Abs. 1 DS-GVO) – es wird also im Zusammenhang mit sensiblen Datenkategorien ein sehr weitreichender Schutz gewährt. Der Gesetzgeber begründet dies damit, dass „[p]ersonenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, […] eines besonderen Schutzes [bedürfen], da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können“, Erwgr. 51 DS-GVO. Zusätzlich ist auch in Erwgr. 75 DS-GVO festgeschrieben (sowie in Erwgr. 91 zumindest angedeutet), dass die Verarbeitung von besonders sensiblen Datenkategorien regelmäßig ein höheres Risiko begründet. Um der besonderen Brisanz von Gesundheitsdaten, biometrischen Daten und genetischen Daten Rechnung zu tragen, können die Mitgliedstaaten noch zusätzliche Bedingungen für deren Verarbeitung aufstellen (Art.  9 Abs.  4 DS-GVO). Daten über strafrechtliche Verurteilung und Straftaten werden vom Verordnungsgeber als derart sensibel eingestuft, dass ihre Verarbeitung ausschließlich unter behördlicher Aufsicht oder nach den speziellen Vorschriften der Mitgliedstaaten geschehen darf (Art. 10 Satz 1 DS-GVO). Der Verordnungsgeber hält zudem, ohne diese Daten jedoch den ausdrücklich sensiblen Daten nach Art. 9 Abs. 1 DS-GVO zuzuordnen, eine Bewertung und Analyse von Aspekten der Arbeitsleistung, der wirtschaftlichen Lage, Gesundheit, persönlicher Vorlieben oder Interessen, der Zuverlässigkeit oder des Verhaltens, des Aufenthaltswechsels oder Ortswechsels für mit einem besonders hohen Risiko verbunden (Erwgr. 75 DS-GVO). Je nach ihrer Sensibilität und dem entsprechend mit ihnen zusammenhängenden Risiko für die Persönlichkeit des Betroffenen sollen Daten somit unterschiedlich behandelt und unter unterschiedlichen Voraussetzungen verarbeitet werden. Mit dem Kriterium der höheren oder geringeren Sensibilität hat der Verordnungsgeber also eindeutig die Wertung eines höheren oder geringeren Schutzbedürfnisses verbunden. bb) Personenbezogene Daten ○ Die Pseudonymisierung von Daten („die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer […] natürlichen Person zugewiesen werden“, Art. 4 Abs. 5 DS-GVO) kann die Risiken für betroffene Personen senken (Erwgr. 28 DS-GVO). Obwohl bei pseudonymisierten Daten der Betroffene zwar 119

Zur Auslegung dieser Gesetzesformulierung: Schneider, ZD 2017, 303 (304).

86

C. Instrumente des Interessenausgleichs

nach wie vor bestimmbar bleibt, ist das durch die Pseudonymisierung verringerte Risiko vom Gesetzgeber anerkannt120 und etwa bei der Beurteilung der gewährleisteten Schutzgarantien positiv zu berücksichtigen (Art. 6 Abs. 4 lit. e, 25 Abs. 1, Art. 32 Abs. 1 lit. a DS-GVO).121 Anonymisierte Daten („Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, Erwgr. 26 DS-GVO) stellen für die Grundrechte betroffener Personen hingegen kein Risiko mehr dar und sind folglich vom Geltungsbereich der DS-GVO ausgenommen. Art. 11 Abs. 1 DS-GVO bestimmt außerdem, dass der Verantwortliche nicht verpflichtet ist, allein zur Einhaltung der Verordnungsvorschriften zusätzliche Informationen zur Bestimmung des Betroffenen aufzubewahren, einzuholen oder zu verarbeiten, wenn für die jeweiligen Verarbeitungszwecke die Identifizierung der betroffenen Person nicht oder nicht mehr erforderlich ist. In diesen Fällen treffen den Verantwortlichen auch keine Auskunfts-, Berichtigungs- und Löschungspflichten, es sei denn, der Betroffene selbst stellt Zusatzinformationen zu seiner Bestimmung zur Verfügung, um seine Rechte ausüben zu können. Diese Vorschrift trägt der durch eine Nichtidentifizierbarkeit deutlich verminderten Risikoneigung Rechnung. Auch der Grad des Personenbezugs wird vom Verordnungsgeber folglich als Abwägungskriterium verwendet und mit der Wertung eines höheren (starker Personenbezug), geringeren (gelockerter Personenbezug) oder gänzlich entfallenen (kein Personenbezug) Schutzbedürfnisses verknüpft. cc) Veröffentlichte Daten ○ Sogar besonders sensible personenbezogene Daten dürfen verarbeitet werden, wenn der Betroffene sie offenkundig öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DS-GVO); die möglicherweise verbleibenden oder wiederauflebenden Interessen des Betroffenen an einer Verhinderung der künftigen Verbreitung dieser Daten treten durch seine Veröffentlichungshandlung hier also zugunsten des Grundrechts auf Informationsfreiheit (Art.  11 Abs.  1 GRC)122 in den Hintergrund. Für nicht unter die Definition der besonderen Kategorien fallende Daten muss diese Wertung bei einer Veröffentlichung durch den Betroffenen selbst erst recht gelten.123 Sind Daten jedoch nicht vom Betroffenen selbst veröffentlicht, sondern anderweitig 120

Härting, Datenschutz-Grundverordnung, Rdnr. 299; 305. Eine „vorsichtige[…] Privilegierung der Weiterverarbeitung pseduonymisierter bzw. verschlüsselter Daten, was für datenschutzgerechte Big-Data-Anwendungen von Bedeutung“ sei, BfDI, Datenschutzgrundverordnung, S. 11. 122 Ebenso bezüglich des deutschen Grundrechts auf Informationsfreiheit gem. Art. 5 Abs. 1 Satz 1 GG: Jung, PinG 2015, 170 (172). 123 Härting, Datenschutz-Grundverordnung, Rdnr. 459. 121

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

87

öffentlich gemacht worden, so erkennt der Verordnungsgeber umgekehrt an, dass der Betroffene ein besonders starkes Interesse daran hat, die weitere Ausbreitung dieser Daten zu unterbinden, wenn ihm bezüglich dieser Daten ein Löschanspruch zusteht; dem trägt Art. 17 Abs. 2 DS-GVO durch die Verpflichtung Rechnung, andere Datenverarbeiter über das Löschverlangen zu informieren. Der Verordnungsgeber berücksichtigt hier also das einmal veröffentlichten Daten (vor allem bei einer Veröffentlichung im Internet, dazu Erwgr. 66 DS-GVO) innewohnende Verbreitungspotenzial bei der Herstellung des Interessenausgleichs. Dem Kriterium der veröffentlichten oder öffentlichen Daten sind somit gleich zweierlei Wertungen zugewiesen: Im Falle einer Veröffentlichung durch den Betroffenen selbst erfahren dessen Datenschutzinteressen eine deutliche Gewichtsverringerung (bzw. die Informations- und sonstigen Verarbeitungsinteressen von Datenverarbeitern rücken in den Vordergrund), während im Falle anderweitiger Veröffentlichungen umgekehrt das Datenschutzinteressen Betroffener besonders schwer wiegt. b) Arten und Kategorien von Betroffenen ○ Die DS-GVO macht Kinder als eine besonders gefährdete Kategorie Betroffener und ihre Daten daher als besonders schutzwürdig aus124 („Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte […] möglicherweise weniger bewusst sind“, Erwgr. 38 DS-GVO). Dies äußert sich zunächst darin, dass ihre Interessen bei der Abwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO gesondert zu berücksichtigen sind125 und ihre Einwilligung bis zum vollendeten sechzehnten Lebensjahr (die Mitgliedstaaten können abweichende Altersgrenzen zwischen 13 und 16 Jahren festlegen) für Datenverarbeitungen im Rahmen von Diensten der Informationsgesellschaft, die ihnen direkt angeboten werden, von der Zustimmung der Träger der elterlichen Verantwortung bzw. von einer Einwilligung selbiger für das Kind abhängig ist (Art. 8 Abs. 1 DS-GVO).126 Die besondere Schutzwür 124 Karg, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, Art. 8 DS-GVO, Rdnr. 7. So auch Jasmontaite/Hert, IDPL 2015, 20 (20–21), zum Kommissionsentwurf. Die Art. 29-Datenschutzgruppe, WP 163, S. 14, hatte eine entsprechend gesonderte Schutzbedürftigkeit auch unter der DS-RL bereits festgestellt. 125 Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Zulässigkeit der Verarbeitung, Rn. 44. In diese Richtung auch bereits Art. 29-Datenschutzgruppe, WP 160, S. 10 (noch zu Art. 7 lit. f DS-RL, der einen besonderen Schutz für Kinder nicht ausdrücklich vorsah). 126 Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S.  123 (139), gibt zwar zu bedenken, dass Altersgrenzen möglicherweise nicht pauschalisiert, sondern vielmehr an unterschiedlichen Arten der Datenverarbeitung festgemacht werden sollten; durch die Festlegung von Altersgrenzen erübrigt sich nunmehr aber zumindest der Diskurs um die Einwilligungsfähigkeit Minderjähriger: Für die datenschutzrechtliche Einwilligung, die über-

88

C. Instrumente des Interessenausgleichs

digkeit von Kindern besteht in diesem Zusammenhang insbesondere bei der Erhebung und Verwendung ihrer personenbezogenen Daten für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen (Erwgr. 38 DS-GVO). Die Verarbeitung der Daten von Kindern kann aufgrund des gesteigerten Risikos besondere technische und organisatorische Maßnahmen erforderlich machen, Erwgr. 75 DS-GVO; Kinder sollen darüber hinaus nicht von Profiling und automatisierten Einzelentscheidungen nach Art. 22 Abs. 1 DS-GVO betroffen sein dürfen (Erwgr. 71 DS-GVO) und können jederzeit eine Löschung ihrer nach Art. 8 Abs. 1 DS-GVO erhobenen Daten verlangen (Art. 17 Abs. 1 lit. f, Erwgr. 65 DS-GVO). Informationen, die sich an Kinder richten, sind entsprechend präzise, transparent, verständlich und leicht zugänglich in klarer und einfacher Sprache zu übermitteln (Art. 12 Abs. 1 Satz 1 und Erwgr. 58 DS-GVO), und Aufsichtsbehörden haben spezifische Sensibilisierungs- und Aufklärungsmaßnahmen vorzusehen (Art. 57 Abs. 1 lit. b DS-GVO). Über die Identifikation von Kindern als besondere Kategorie von Betroffenen hinaus trifft die DS-GVO allerdings keine ausdrücklich wertenden Unterscheidungen hinsichtlich verschiedener Arten von Betroffenen. Ein Hinweis auf die Existenz weiterer besonderer Arten von Betroffenen findet sich lediglich in Erwgr. 75, wo im Zusammenhang mit besonderen Risiken von den „Daten schutzbedürftiger natürlicher Personen“ die Rede ist. Ansonsten werden Betroffene, die keine Kinder sind, grundsätzlich gleich behandelt, obwohl sich eine Einführung weiterer Betroffenenkategorien als Kriterien zusammen mit der Einführung entsprechender Wertungen (besonders gefährdet und daher schützenswert könnten etwa geistig behinderte Personen, Analphabeten oder älteren Personen sein) gerade hin­ sichtlich eines umfassenden Interessenausgleichskonzepts angeboten hätte.127 c) Art und Weise der Datenverarbeitung Der Verantwortliche hat allgemein je nach Art,128 Umfang, Umständen und Zwecken der von ihm durchgeführten Datenverarbeitung und der daraus resultierenden Eintrittswahrscheinlichkeit und Schwere der Risiken für persönliche Rechte und Freiheiten technische und organisatorische Maßnahmen und Voreinstellungen wiegend als rechtsgeschäftliche Willenserklärung anerkannt war, wurden bei Minderjährigen häufig nicht die §§ 106 ff. BGB angewendet, sondern stattdessen auf deren Einsichtsfähigkeit rekurriert (so z. B. Jandt/Roßnagel, MMR 2011, 637 [640]). Für einen Überblick über die verschiedenen Argumente und Positionen im deutschen Recht vor der DS-GVO siehe: Bräutigam, MMR 2012, 635 (638). 127 Zum Ansatz sowie zu rechtlichen und praktischen Hintergründen: Blume, EDPL 2015, 258. Eine „Unterscheidung verschiedener Kategorien betroffener Personen“ fordert der Verordnungsgeber jedoch ausdrücklich in Art. 6 PJ DS-RL etwa hinsichtlich Verdächtiger, verurteilter Straftäter, Opfer einer Straftat und sonstigen Parteien im Zusammenhang mit Straftaten. 128 Zur Abwägungsrelevanz der Art und Weise der Datenverarbeitung bereits unter Art. 7 lit. f DS-RL: Art. 29-Datenschutzgruppe, WP 217, S. 39–41.

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

89

anzupassen (Art. 24 Abs. 1 Satz 1, Art. 25 Abs. 1 und 2, Art. 32 Abs. 1 DS-GVO) sowie zusätzliche Restriktionen zu beachten (Art. 22 Abs. 1 DS-GVO) und außerordentliche Pflichten zu erfüllen (Art. 35 Abs. 1 Satz 1 DS-GVO). Besonders deutlich werden Wertungen des Gesetzgebers und das Anliegen, die Risikoneigung von Verarbeitungsweisen maßgeblich in das Interessenausgleichskonzept aufzunehmen, wenn so drastische Maßnahmen wie die Pflicht zur Folgenabschätzung und anschließenden Verhandlung mit der Aufsichtsbehörde (dies kann zeit- und kostenintensiv sein) mit bestimmten, als riskant erkannten Verarbeitungsweisen verknüpft werden. aa) Verwendung neuer Technologien ○ Erwgr. 6 DS-GVO stellt fest, die „[r]asche technologische Entwicklung“ habe „den Datenschutz vor neue Herausforderungen gestellt“. Verarbeitungsverfahren, für die neue Technologien129 zum Einsatz kommen, unterliegen deshalb grundsätzlich der zusätzlichen Pflicht zur Durchführung einer Datenschutzfolgenabschätzung (Art. 35 Abs. 1 Satz 1 und Erwgr. 91 DS-GVO). Mit dem Kriterium des Einsatzes neuer Technologien verbindet der Gesetzgeber folglich die Wertung einer besonderen Risikoneigung. Die Verwendung neuer Technologien ist jedoch nur eine mögliche Alternative in der nicht abschließenden („insbesondere“) Aufzählung der risikogeneigten Verarbeitungsweisen – für eine entsprechende argumentative Ergänzung dieses Kriteriums ist also absichtlich Raum geblieben. bb) Profiling und Scoring ○ Ausdrücklich Erwähnung findet die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung (einschließlich Profiling130) gründet und die als ausschließliche Grundlage für Entscheidungen dient, die Rechtswirkung oder ähnliche Beeinträchtigungen gegenüber natürlichen Personen entfalten, Art. 22 Abs. 1 DS-GVO. Die Wertung dieser Verarbeitungsweisen als besonders riskant drückt sich zum einen durch ein generelles Verbot ausschließlich auf automatisierter Verarbeitung beruhen 129 Maras, IDPL 2015, 99 (102), stellt etwa fest, der Vormarsch von Anwendungen aus dem Bereich des Internet der Dinge beinhalte gravierende Risiken für die Privatsphäre Betroffener, weil es möglich sei, deren gesamtes Privatleben zu erfassen, und besonders große Datenmengen bezüglich großer Teile der Bevölkerung zu speichern und zu verarbeiten. 130 Profiling sei vor allem deswegen von besonderer Gefährlichkeit für das Persönlichkeitsrecht Betroffener, weil die angewandten Methoden Muster in Datensätzen sichtbar machen könnten, die für den Betrachter ansonsten nicht erkennbar wären; daraus resultiere, dass die Anwender von Profiling-Methoden regelmäßig Informationen erhielten, deren Existenz oder deren Kenntnisnahme durch Dritte den Betroffenen selbst verborgen blieben: Hildebrandt, in: Gutwirth/Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 239 (242).

90

C. Instrumente des Interessenausgleichs

der Entscheidungen131 aus, für welches die Erlaubnisausnahmen (Art. 22 Abs. 2 DS-GVO) noch deutlich enger gesteckt sind als in den Tatbeständen aus Art. 6 Abs. 1 Satz 1 DS-GVO. Zum anderen unterliegt das Profiling als Entscheidungsgrundlage der zusätzlichen Pflicht zur Durchführung einer Datenschutzfolgenabschätzung, Art. 35 Abs. 3 lit. a DS-GVO. Der Verordnungsgeber erkennt zudem Risiken, die bei der Verwendung unpräziser, fehlerhafter oder diskriminierender Techniken des Profiling für den Betroffenen entstehen können und verlangt deswegen, dass entsprechende Verfahren nur unter Einsatz transparenter, möglichst fehlerfreier und korrigierbarer Verfahren, die nicht zu einer Diskriminierung Betroffener führen, durchgeführt werden (Erwgr. 71 DS-GVO). Auch mit dem Kriterium des Einsatzes von Verfahren zur Analyse, Bewertung oder Prognose verbindet der Verordnungsgeber also die Wertung einer besonderen Risikoneigung (Erwgr. 71, 75 DS-GVO) und einer entsprechend stärkeren Gewichtung der Betroffenenbelange. cc) Verwendung von Tracking-Werkzeugen ○ Die Verwendung von Cookies und ähnlichen Tracking-Instrumenten, die Infor­ mationen auf dem Endgerät des Nutzers speichern und/oder auf die auf dem Endgerät des Nutzers hinterlegten Informationen zugreifen, ist grundsätzlich nur unter Einholung einer Einwilligung, oder „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“ (Art. 5 Abs. 3 E-PrivacyRL), gestattet. Die „Erleichterung der Bereitstellung von Diensten der Informa­tionsgesellschaft“ und die Überprüfung der „Wirksamkeit von WebsiteGestaltung und Werbung“ oder der „Identität der an Online-Transaktionen beteiligten Nutzer“, von Erwgr. 25 E-PrivacyRL ausdrücklich als legitime Zwecke der Verarbeitung hervorgehoben, können einen Zugriff auf Cookie-Daten oder ein Hinterlegen von Cookie-Daten auf dem Endgerät des Nutzers seit dem Erlass der CookieRL nicht mehr rechtfertigen, soweit keine Einwilligung des Nutzers vorliegt. Dies berücksichtigt die Tatsache, dass der Zugriff auf Cookies auf 131 Der Begriff des ‚Scoring‘, der eng mit der Beurteilung und Bewertung zum Zwecke der Entscheidungsfindung verbunden ist, ist in der DS-GVO nicht aufgegriffen worden. Unmittelbar verboten ist folglich lediglich die ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung. Eine Einstufung und Bewertung im Rahmen des Scoring als Grundlage oder zur Optimierung von menschlichen Entscheidungen ist von Art. 22 Abs. 1 DS-GVO dagegen nicht betroffen. Scoring berge für Betroffene aber in jedem Falle das Risiko, dass ihnen „zukünftig Informationen, Dienstleistungen, Betätigungs- und Geschäftsmöglichkeiten vorenthalten bleiben, wenn die Analyseergebnisse den definierten Scorewerten nicht entsprechen“ und sei generell „mit dem Risiko der Falschbewertung als auch der Diskriminierung verbunden“, Jandt, K&R 2015, 6 (6).

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

91

dem Endgerät hinterlegte und damit potenziell sensible Informationen privater Natur, bei denen zusätzlich die Möglichkeit besteht, dass sie weiteren Nutzern desselben Endgeräts zur Kenntnis gelangen (Erwgr. 25 E-PrivacyRL), betrifft, was eine ernsthafte Verletzung der Privatsphäre (Erwgr. 24 E-PrivacyRL) verursachen kann. Die Regelung zielt deshalb auf den Ausgleich zwischen der Aussagekraft und potenziellen Persönlichkeitsrelevanz der im Rahmen des Anbieter-NutzerVerhältnisses verarbeiteten Daten und ihrer Notwendigkeit für die Funktions­ fähigkeit und Sicherheit von Kommunikationsdiensten. Es wird also deutlich, dass der Richtliniengeber im Zusammenhang mit dem Kriterium der Verwendung von Tracking-Werkzeugen das Interesse des Dienstleisters anerkennt, einen funktionierenden elektronischen Telekommunikations­ dienst in der vom Nutzer gewünschten Form zu betreiben; zugleich sollen aber die durch die Verwendung dieser Werkzeuge potenziell stark beeinträchtigten Interessen von Nutzern gewahrt werden. Wertungsmäßig sollen die Anbieterinteressen daher den Nutzerinteressen ausschließlich dann vorgezogen werden, wenn der Einsatz von Tracking-Werkzeugen der Durchführung der Anbieter-Nutzer-Beziehung im engsten Sinne dient. dd) Datenmenge und Betroffenenzahl ○ Die DS-GVO beschreibt, dass allgemein „[d]as Ausmaß der Erhebung und des Austauschs personenbezogener Daten […] eindrucksvoll zugenommen“ habe und eine Datenverarbeitung „in einem noch nie dagewesenen Umfang“ ermögliche (Erwgr. 6 DS-GVO), was einen belastbaren und einheitlicheren Rechtsrahmen erforderlich mache (Erwgr. 7 DS-GVO). Eher am Rande, jedoch ebenfalls ausdrücklich im Zusammenhang mit der besonderen Risikolastigkeit von Verarbeitungsweisen, finden daher auch die Kriterien der Verarbeitung großer Mengen personenbezogener Daten und der großen Anzahl von betroffenen Personen132 Erwähnung (so etwa Erwgr. 75 und 91 DS-GVO; zusätzlich auch bei der Beurteilung des zumutbaren Aufwands für die Erfüllung von Informationspflichten: Erwgr. 62 DS-GVO). ee) Datenverarbeitung im Rahmen von Direktwerbung ○ Art. 21 Abs. 2 und 3 DS-GVO sehen ein voraussetzungsloses und damit beson­ ders weitreichend133 ausgestaltetes Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen und Profiling im Rahmen von Direktwerbung vor. Dadurch 132

Es sei jedoch umgekehrt aus einer geringen Anzahl Betroffener nicht zwangsläufig im Rahmen der Abwägung nach Art. 7 lit. f DS-RL auf eine geringere Bedeutung der Auswir­ kungen von Verarbeitungsvorgängen zu schließen: Art. 29-Datenschutzgruppe, WP 217, S. 38. 133 Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 21 DS-GVO, Rdnr. 16.

92

C. Instrumente des Interessenausgleichs

macht der Verordnungsgeber (vor allem im Vergleich zum durch zwingende schutzwürdige Gründe seitens des Verarbeiters abwendbaren Widerspruchsrecht aus Art 21 Abs. 1 DS-GVO) deutlich, dass die Direktwerbung als besonders eingriffsintensive Datenverarbeitungsweise erkannt wurde und dementsprechend vom Betroffenen ohne das Erfordernis zusätzlicher Voraussetzungen und ohne die Möglichkeit einer Abwendung seitens des Datenverarbeiters unterbunden werden können soll – mit dem Kriterium der Direktwerbung ist dadurch eine besonders deutliche Wertung des Verordnungsgebers, nämlich die unmissverständliche Hervorhebung und starke Gewichtung der Betroffeneninteressen,134 verbunden. ff) Datenverarbeitungsintensive Kerntätigkeit ○ Wenn die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen oder die Verarbeitung besonders sensibler Daten nach Art.  9 Abs.  1 oder Art.  10 DS-GVO erforderlich macht, resultiert daraus eine besondere Gefährdung für die Rechte Betroffener. Dementsprechend ist die Einschlägigkeit dieses Kriteriums grundsätzlich mit der Pflicht verknüpft, einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 lit. c DS-GVO), wodurch der Verordnungsgeber die mit der Konzentration einzelner Geschäftsmodelle auf Daten­verarbeitungsverfahren intensivierten Risiken durch eine Betonung der Betroffenenbelange berücksichtigt. gg) Drittlandübermittlungen ○ Die DS-GVO erkennt an, dass ein Datenaustausch mit Stellen in Drittländern außerhalb der Union „für die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit notwendig“ ist (Erwgr.  101). Werden Daten an Drittländer oder internationale Organisationen übermittelt, dann gelangen sie aber zugleich aus dem von der DS-GVO auf hohem Schutzniveau harmonisierten Bereich hinaus, was zu einer massiven Beeinträchtigung der Grundrechte Betroffener führen kann. Die DS-GVO nennt diese Beeinträchtigungen zunächst lediglich unbestimmt „Herausforderungen und Anforderungen“ (Erwgr. 101 DS-GVO), räumt jedoch ein, dass bei der grenzüberschreitenden Übermittlung personenbezogener Daten außerhalb der Union der Einzelne womöglich weniger in der Lage sei, seine Datenschutzrechte wahrzunehmen und sich insbesondere gegen die unrechtmäßige Nutzung oder Weitergabe dieser Informationen zu schützen (Erwgr. 116 DS-GVO). Eine Übermittlung ist deshalb nur zulässig, wenn die Kommission festgestellt hat,

134

Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 21 DS-GVO, Rdnr. 47.

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

93

dass im Zielland ein angemessenes Schutzniveau135 besteht (Art. 45 Abs. 1 Satz 1 DS-GVO) oder sofern der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien, z. B. in Form verbindlicher unternehmensinterner Datenschutzvorschriften (Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO), Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DS-GVO), genehmigter Verhaltensregeln oder Zertifizierungen (Art. 46 Abs. 2 lit. e i. V. m. Art. 40 und Art. 46 Abs. 2 und f i. V. m. Art. 42 DS-GVO) vorgesehen hat. Art. 49 Abs. 1 Satz 1 lit. a DS-GVO bestimmt, dass Daten außerdem u. a. dann übermittelt werden dürfen, wenn eine explizite Einwilligung nach vorheriger Aufklärung über die besonderen Risiken einer Drittlandübermittlung vorliegt oder die Übermittlung zur Erfüllung von Verträgen erforderlich ist. Mit dem Kriterium der Drittlandübermittlung sind also zweierlei Wertungen verbunden: Einerseits haben Betroffeneninteressen zu einem gewissen Grad zugunsten des freien internationalen Datenverkehrs zurückzustehen; allerdings wertet der Verordnungsgeber die bei einer Drittlandübermittlung entstehenden Risiken für die Persönlichkeitsrechte Betroffener als derartig gravierend, dass den Betroffeneninteressen auch gegen die legitimen Interessen von Datenverarbeitern an Drittlandübermittlungen ganz erhebliches Gewicht zukommen muss. hh) Auftragsdatenverarbeitung ○ Die Inanspruchnahme von Auftragsverarbeitern wertet der Verordnungsgeber zunächst als legitime Maßnahme und privilegiert Auftragsverarbeiter dementsprechend dadurch, dass sie bei Einhaltung aller spezifischen Pflichten nicht auf Schadensersatz haften (Art. 82 Abs. 2 Satz 2 DS-GVO). Allerdings birgt die Herausgabe von Daten an Auftragsverarbeiter zur dortigen Weiterverarbeitung auch Risiken für den Betroffenen, denen durch spezifische Vorschriften zur Auftragsverarbeitung Rechnung getragen wird. Insbesondere arbeiten Auftragsverarbeiter weisungsgebunden (Art. 29 DS-GVO) auf der Grundlage eines Vertrags (oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitglied 135 Sogenannte ‚Angemessenheitsbeschlüsse‘ der Kommission waren auch unter Art. 25 Abs. 6 DS-RL bereits vorgesehen. Aufsehen erregt hatte in diesem Zusammenhang eine Entscheidung des EuGH (EuGH, Urt. v. 06.10.2015 – C-362/14), die einen solchen Angemessenheitsbeschluss (das ‚Safe Harbor Abkommen‘, Entscheidung 2000/520/EG der Kommission gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes v. 26.07.2000 [ABl. L 215, S. 7 ff.]) außer Kraft setzte und damit eine der wichtigsten Grundlagen für den Datenaustausch mit Stellen in den USA beseitigte. Ein neuer Angemessenheitsbeschluss (‚EU-U. S. Privacy Shield‘, Implementing Decision C(2016) 4176 final pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U. S. Privacy Shield v. 12.07.2016) soll nun jedenfalls für die Dauer der Fortgeltung der DS-RL den Datentransfer in die USA absichern.

94

C. Instrumente des Interessenausgleichs

staaten), der den Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen bindet und in dem die Einzelheiten des Auftragsverhältnisses (u. a. Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien von betroffenen Personen, Pflichten und Rechte des für die Verarbeitung Verantwortlichen) festgelegt sind (Art. 28 Abs. 3 Satz 1 DS-GVO). Auch das Kriterium der Auftragsdatenverarbeitung erhält somit eine ‚Doppelwertung‘: Während der Verordnungsgeber den Interessen beteiligter Datenverarbeiter an der Durchführung von Auftragsdatenverarbeitungen ein gewisses Gewicht zuspricht, verleiht er zugleich auch den Betroffeneninteressen an der Vermeidung zusätzlicher Risiken durch derlei Ausgestaltungen des Datenverarbeitungsverfahrens zusätzliches Gewicht. d) Verhältnis zwischen Betroffenen und Datenverarbeitern Für die Beurteilung von Interessen ist allgemein das Verhältnis zwischen Betroffenem und Datenverarbeiter zu berücksichtigen136 (vgl. etwa Erwgr.  50 DSGVO für die Prüfung der Zweckkompatibilität). Maßgeblich kann insbesondere sein, ob es sich um eine Form des rechtsgeschäftlichen Verhältnisses handelt  – dazu recht allgemein Erwgr. 47 DS-GVO: „[…] z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. aa) Ausübung der informationellen Selbstbestimmung ○ Wo der Betroffene dem Datenverarbeiter gegenüber sein Selbstbestimmungsrecht ausübt und eine Einwilligung in Datenverarbeitungsvorgänge erteilt (Art. 6 Abs. 1 Satz 1 lit. a, Art. 4 Abs. 11, Art. 7 DS-GVO), respektiert der Verordnungsgeber diese Gestaltung des Verhältnisses zwischen Verantwortlichem und Betroffenem sogar hinsichtlich besonders risikoreicher Zusammenhänge (Einwilligung der Erziehungsberechtigten für Kinder nach Art. 8 Abs. 1 Satz 1 DS-GVO, Einwilligung in die Verarbeitung besonders sensibler Daten nach Art. 9 Abs. 2 lit. a DSGVO, Unterwerfung unter eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung nach Art. 22 Abs. 2 lit. c DS-GVO, Einwilligung in Drittlandübermittlungen nach Art.  49 Abs.  1 Satz  1 lit.  a DS-GVO), soweit die Einwilligung im Rahmen der für sämtliche Einwilligungstatbestände gültigen unabdingbaren Mindestanforderungen erteilt wurde und etwaige Zusatzanforderungen (etwa die Ausdrücklichkeit der Einwilligung im Zusammenhang mit sensitiven Daten nach Art.  9 Abs.  2 lit.  a DS-GVO) erfüllt sind. Mit den Grundanforderungen zielt der Verordnungsgeber auf die­ 136 Mit Bezug auf die Abwägung nach Art. 7 lit. f DS-RL zur Stellung des Datenverarbeiters und des Betroffenen: Art. 29-Datenschutzgruppe, WP 217, S. 40–41.

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

95

Sicherstellung dessen, dass Betroffene bei der Gestaltung des Interessenausgleichs eigene autonome Entscheidungen treffen können und nicht aufgrund ungleicher Machtverhältnisse (Erwgr.  43  DS-GVO), eingeschränkter Entscheidungsfreiheit (Erwgr. 42 DS-GVO), Abhängigkeit von an die Einwilligung gekoppelten Leistungen (Art. 7 Abs. 4 DS-GVO) oder mangelhafter Informationen (Erwgr. 42 DSGVO) den Zugriff auf ihre Daten gewähren. Die Voraussetzungen für eine solche wirksame Ausgestaltung der Interessenlage durch Ausübung des informationellen Selbstbestimmungsrechts des Betroffenen lauten im Einzelnen: Rechtzeitigkeit: Wegen des im Datenschutzrecht geltenden Verbots mit Erlaubnisvorbehalt hatte die Einwilligung bereits unter dem nach der DS-RL137 umgesetzten deutschen Recht immer vor dem betreffenden Datenumgang zu erfolgen.138 Daran hat sich auch unter der DS-GVO nichts verändert (vgl. die Systematik von Art. 6 Abs. 1 Satz 1 DS-GVO). Eindeutigkeit: Einige frühere Formprobleme des deutschen Rechts stellen sich unter der DS-GVO nicht mehr: Problematisch war zunächst die Einwilligungserklärung hinsichtlich sonstiger Inhaltsdaten, für deren Verarbeitung eine elektronische Einwilligungserklärung im Gesetz nicht ausdrücklich vorgesehen war. Um eine vom Gesetzgeber vermutlich nicht beabsichtigte Benachteiligung solcher Telemedienanbieter zu vermeiden, deren Telemediendienst auch und gerade die Verarbeitung von Inhaltsdaten vorsieht, wurde die elektronische Einwilligung weitgehend entweder über die Ausnahme der besonderen Umstände nach § 4a Abs. 1 Satz 3 a. E. BDSG139 oder durch eine erweiternde Auslegung oder analoge Anwendung von § 13 Abs. 2 TMG140 gerechtfertigt. Gestattet ist nunmehr ohne besondere Formerfordernisse sowohl die ausdrückliche als auch die implizite Kundgabe der Einwilligung (vgl. Art. 4 Abs. 11 DS-GVO, der auf sonstige bestätigende Handlungen rekurriert). Auch über die Möglichkeiten von Opt-Out-Lösungen (Erteilung der Einwilligung durch passives Verhalten oder Nicht-Handeln) war unter der DS-RL leidlich gestritten worden, denn der Wortlaut schloss eine derartige Auslegung zumindest nicht kategorisch aus.141 Art. 4 Abs. 11 DS-GVO verlangt nun ausdrücklich eine „unmissverständlich abgegebene Willensbekundung 137

Dazu Art. 29-Datenschutzgruppe, WP 187, S. 11. Helfrich, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. Multimedia-Recht, Teil 16.1: Einführung und Grundbegriffe des Datenschutzes, Rdnr. 74; Polenz, in: Kilian/Heussen (Hrsg.), Computerrechts-Hdb, Teil 13: Datenschutz, Materielles allgemeines Datenschutzrecht, Rdnr. 53; Ambs, in: Erbs/Kohlhaas/Ambs (Hrsg.), Strafrechtliche Nebengesetze, Abschnitt D 25, § 4a BDSG, Rdnr. 1. 139 So Munz, in: Westphalen/Thüsing (Hrsg.), Vertragsrecht und AGB, Datenschutzklauseln, Rdnr. 35; speziell für soziale Netzwerke auch Achtruth, Der rechtliche Schutz bei der Nutzung von Social Networks, S. 147–148; mit Verweis auf räumliche Entfernungen zwischen Anbieter und Nutzer Weichert, VuR 2009, 323 (327); Piltz, Soziale Netzwerke im Internet, S. 128–129. 140 Implizit Bauer, MMR 2008, 435 (436). 141 Kosta, EDPL 2015, 16 (16–18); Kotschy, in: Büllesbach/Gijrath/Poullet et al. (Hrsg.), IT Law, Art. 2 DS-RL, S. 41. Die Art. 29-Datenschutzgruppe, WP 187, S. 14, schien zuletzt dennoch dazu zu tendieren, eine Handlung des Datensubjekts vorauszusetzen. 138

96

C. Instrumente des Interessenausgleichs

in Form einer Erklärung oder einer sonstigen bestätigenden Handlung“, und erteilt dadurch dem Opt-Out-Prinzip eine eindeutige Absage (ergänzend Erwgr. 32 DS-GVO).142 Informiertheit: Gefordert wurden hinsichtlich deutscher Umsetzungen der DSRL u. a. Informationen über mögliche Empfänger, den Umfang der Verarbeitung, die Art der Daten und die aus einer Verweigerung der Einwilligung resultierenden Konsequenzen.143 Noch weitergehend scheint die Art. 29-DSGr. den für eine wirksame Einwilligung erforderlichen Informationsumfang grundsätzlich mit dem Umfang der sehr weitreichenden allgemeinen Informationspflichten gleichzusetzen.144 Bereits unter der DS-RL, die insofern das Informationserfordernis nicht näher spezifizierte, war unter dem Aspekt einer Gefahr der Überforderung des Betroffenen mit zu vielen oder zu komplexen Informationen jedoch unklar, wie tiefgehend und umfangreich Informationen sein müssen.145 Nach Erwgr.  42 DS-GVO muss der Betroffene nunmehr zumindest wissen, „dass und in welchem Umfang“ er Einwilligungen erteilt, was zumindest eine Aufklärung über die Identität der verarbeitenden Stelle und über die Zwecke der Verarbeitung einschließen soll. Dies könnte als eine Einschränkung der bisherigen Voraussetzungen verstanden werden.146 Freiwilligkeit: Die Abgabe der Einwilligung war bei der Einwirkung von Zwangsfaktoren oder in rechtlichen oder tatsächlichen Abhängigkeitsverhältnissen auch unter der DS-RL bereits problematisch.147 Erwgr. 43 DS-GVO präzisiert nun, dass eine Einwilligung jedenfalls nicht erteilt werden kann, wenn zwischen dem Verarbeiter und der betroffenen Person ein „klares Ungleichgewicht besteht“ (wobei die Einzelheiten dieses Begriffes noch der Klärung bedürfen)148. Zudem müssen Einwilligungen für verschiedene Zwecke einzeln erteilt werden können, wenn dies den Umständen nach angemessen ist und die Erfüllung eines Vertrages darf nicht von der Erteilung der Einwilligung abhängig149 gemacht werden, sofern die 142 Dazu deutlich: Albrecht, CRi 2016, 33 (36). Krohm, ZD 2016, 368 (372), vermerkt hingegen, dass die aus der Payback-Entscheidung (BGH, Urt. v. 16.07.2008 – VIII ZR 348/06, BGHZ, 177, 253 ff) bekannte Gestaltungsweise zumindest argumentativ nach wie vor vertretbar sei. 143 Rogosch, Die Einwilligung im Datenschutzrecht, S. 70. 144 Art. 29-Datenschutzgruppe, WP 187, S. 23; dagegen aber offensichtlich zumindest hinsichtlich der entsprechenden DS-GVO-Vorschriften: Heckmann/Paschke, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 12 DS-GVO, im Erscheinen. 145 Kosta, Consent in European Data Protection Law, S. 210–212. 146 So wohl Härting, Datenschutz-Grundverordnung, S.  371; gefordert wird aber bereits auch die Umschreibung der verarbeiteten Datenarten, Krohm, ZD 2016, 368 (373). 147 Vgl. etwa Kosta, Consent in European Data Protection Law, S. 171–183; Rogosch, Die Einwilligung im Datenschutzrecht, S. 90. 148 Dazu etwa Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Zulässigkeit der Verarbeitung, Rn. 17. 149 Zur Zuordnung des Koppelungsverbots in der DS-GVO zur übergeordneten Voraussetzung der Freiwilligkeit: Heckmann/Paschke, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 7 DS-GVO, im Erscheinen.

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

97

Verarbeitung für die Vertragserfüllung nicht erforderlich ist (sog. „horizontales“ und „vertikales Kopplungsverbot“150, Art 7 Abs. 4 und Erwgr. 43 DS-GVO). Bestimmtheit: Art. 4 Abs. 11 DS-GVO legt fest, dass Einwilligungen nur für konkrete Zwecke erteilt werden dürfen. Jedenfalls wenn mit einer Verarbeitung mehrere Zwecke angestrebt werden, ist für all diese Zwecke eine Einwilligung einzuholen (Erwgr. 32 DS-GVO). Eine Ausnahme gilt lediglich für den Bereich der Forschung, wo Einwilligungen bezogen auf ganze Forschungsbereiche ab­ gegeben werden können (Erwgr. 33 DS-GVO). Diese breite Bezugnahme der DSGVO auf die Verarbeitungszwecke stellt allerdings die unter der DS-RL getroffene Annahme, ein Verweis auf pauschale Zwecke wie etwa „wirtschaftliche Zwecke“ oder „Meinungsumfragen“ sei nicht spezifisch genug,151 zumindest in Frage. Zu Art. 2 lit. h DS-RL, welcher ebenfalls die Abgabe von Einwilligungserklärungen auf den „konkreten Fall“ beschränkt hatte, forderte die Art. 29-DSGr. eine „Angabe des genauen Zwecks“.152 Zusammenfassend ist das Kriterium der Ausübung der Selbstbestimmung – unter dem Vorbehalt der Erfüllung umfangreicher gesetzlicher Auflagen zur Sicherstellung einer echten Entscheidungsfreiheit des Einwilligenden  – mit einer sehr eindeutigen Wertung belegt: Das Interesse Betroffener an einem selbstbestimmten Umgang mit ihren Daten erhält ganz erhebliches Gewicht und kann, sofern das Kriterium der Selbstbestimmung tatsächlich einschlägig ist (d. h. wenn sie wirksam ausgeübt wird), die Waage in jedem Fall ‚kippen‘.153 bb) Vertragsverhältnis ○ Die DS-GVO wertet Vertragsverhältnisse grundsätzlich als legitime Grund­ lagen für die Verarbeitung personenbezogener Daten (Art. 6 Abs. 1 Satz 1 lit. b DS-GVO).154 Das Kriterium des Vertragsverhältnisses verleiht wegen der hier betroffenen Vertragsfreiheit den Interessen aller Beteiligter so deutlich Gewicht, dass sogar stark risikogeneigte Verarbeitungstätigkeiten wie das Profiling und die automatisierte Generierung von Einzelentscheidungen mit rechtlicher oder ähnlich beeinträchtigender Wirkung (Art. 22 Abs. 2 lit. a DS-GVO) und die Übermittlung von Daten in Drittländer (Art. 49 Abs. 1 Satz 1 lit. b und c DS-GVO) zulässig sind, wenn dies für den Abschluss oder die Erfüllung von Verträgen erforderlich ist. Auch dieses Kriterium ist also geeignet, den jeweils erklärten Betroffenen­

150

Krohm, ZD 2016, 368 (373). Kosta, Consent in European Data Protection Law, S. 220–221. 152 Art. 29-Datenschutzgruppe, WP 187, S. 20. 153 Ähnlich: Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 22 DS-GVO, Rdnr. 38. 154 Erweiternd misst die Art.  29-Datenschutzgruppe, WP 217, S.  35–36, Interessen sogar dann bereits ein größeres Gewicht zu, wenn sie dem ausdrücklich anerkannten Zweck der Ausübung der Vertragsfreiheit nahestehen. 151

98

C. Instrumente des Interessenausgleichs

interessen ganz außerordentliches Gewicht zu verleihen und auch schwerwiegende gegenläufige Belange ‚aufzuwiegen‘. cc) Beschäftigungsverhältnis ○ Das Verhältnis zwischen Arbeitnehmern und Arbeitgebern ist generell durch besondere Abhängigkeit und strukturelle Unterschiede gekennzeichnet. Um dieser potenziell höheren Gefährdung der Grundrechte von Arbeitnehmern Rechnung zu tragen, ist es den Mitgliedstaaten gestattet, eigene Vorschriften zu erlassen, die angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Datenüber­mittlung innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen und die Überwachungssysteme am Arbeitsplatz beinhalten (Art. 88 Abs. 2 DS-GVO). Daraus ist allerdings lediglich abzuleiten, dass der Verordnungsgeber die besondere Gefährdungslage gesehen hat – eine konkrete Wertung mit dem Kriterium des Beschäftigungsverhältnisses zu etablieren bleibt aber den Mitgliedstaaten überlassen.155 dd) Anbieter-Nutzer-Verhältnis ○ Durch die speziellen Regelungen der E-PrivacyRL erkennt der Gesetzgeber ausdrücklich an, dass im Verhältnis zwischen Anbietern und Nutzern der Dienste der Informationsgesellschaft die Verwendung von Tracking-Werkzeugen gestattet ist, wenn dies unbedingt erforderlich ist, um einem Nutzer ausdrücklich von ihm gewünschte elektronische Telekommunikationsdienste zur Verfügung zu stellen (Art. 5 Abs. 3 Satz 2 E-PrivacyRL. Die Verwendung von Tracking-Werk­zeugen über die Erforderlichkeit zur reinen Diensteerbringung hinaus ist allerdings unter den Vorbehalt der Einwilligung des Nutzers gestellt, was die mit dem Kriterium des Anbieter-Nutzer-Verhältnisses in Zusammenhang stehende gesetzgeberische Wertung, nämlich die Begrenzung der Privilegierung auf das Anbieter-NutzerVerhältnis im engsten Sinne, deutlich hervortreten lässt.

155 Für „konturlos“ hält diese Öffnungsklausel Dammann, ZD 2016, 307 (310). Der deutsche Gesetzgeber hat mit § 26 BDSG n. F. von der Öffnungsklausel Gebrauch gemacht. Dabei blieben die Grundsätze aus § 32 BDSG weitgehend erhalten (Abs. 1), wurden aber etwa um Vorgaben zur Verarbeitung besonderer Datenkategorien und zur Einwilligung im Beschäftigungsverhältnis ergänzt. Für die Anknüfungungsfähigkeit von § 32 BDSG bereits vor der Verabschiedung des DSAnpUG-EU: Gola/Pötters/Thüsing, RDV 2016, 57 (58; 60–61); Schaar, PinG 2016, 62 (64).

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

99

e) Auswirkungen für den Betroffenen und berechtigte Erwartungen ○ Die DS-GVO wertet (nachteilige) Folgen für Betroffene in verschiedener Hinsicht als wesentliche Kriterien.156 So müssen Folgen für den Betroffenen im Rahmen der Beurteilung der Zweckkompatibilität berücksichtigt werden, Art. 6 Abs. 4 lit. d und Erwgr. 50 DS-GVO. Auch für die Einschätzung des Risikos zur Identifizierung geeigneter technischer und organisatorischer Maßnahmen sind u. a. eine physische, materielle oder moralische Schädigung, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, unbefugte Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile von Relevanz (Erwgr. 75 DS-GVO). Gleichermaßen führt das Drohen eines Risikos bzw. hohen Risikos für Betroffene auch zu einer Pflicht des Verantwortlichen, Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde bzw. dem Betroffenen mitzuteilen (Art. 33 Abs. 1 Satz 1, Art. 34 Abs. 1, Erwgr. 85 und 86 DS-GVO). Insgesamt lässt der Verordnungsgeber damit erkennen, dass das Drohen von nachteiligen Auswirkungen das Interessengleichgewicht zwischen Verarbeiter und Betroffenem zugunsten des Betroffenen beeinflusst. Die vernünftigerweise berechtigten Erwartungen157 Betroffener sind darüber hinaus auch beim Ausgleich der Interessen im Rahmen von Art.  6 Abs.  1 Satz 1 lit. f DS-GVO (vgl. Erwgr. 47 DS-GVO) und bei der Prüfung der Zweckkompatibilität (Erwgr. 50 DS-GVO) zu beachten – auch dieses Kriterium spielt für die Abwägung also eine wichtige Rolle und wirkt sich wertungsmäßig verstärkend für Betroffenenbelange aus. 156 Kritisch dazu, dass sich das europäische Datenschutzrecht mit der zentralen Thema­ tisierung der Erwartungen Betroffener „in erstaunlichem Maße US-amerikanischen Vorstellungen des Privatsphäreschutzes“ angenähert habe: Härting, Datenschutz-Grundverordnung, Rdnr. 435. Gellert, IDPL 2015, 3, geht hingegen sogar so weit, eine These der Gesamtausrichtung des europäischen Datenschutzrechts auf die Vermeidung von Risiken für die Beteiligten, implizit also die Vermeidung von Risiken nachteiliger Folgen für Betroffene, zu entwerfen. Die Art. 29-Datenschutzgruppe, WP 217, S. 37, zur Berücksichtigung von Auswirkungen für den Betroffenen bei der Abwägung nach Art. 7 lit. f DS-RL: Für die Bewertung der Rechte und Interessen des Betroffenen seien die Auswirkungen (wobei der Begriff der Auswirkungen weit zu verstehen sei; zustimmend: Monreal, ZD 2016, 507 (511)) der Datenverarbeitung für diesen abzuschätzen. In die Betrachtung seien auch mögliche zukünftige Entscheidungen oder Handlungen Dritter und die möglicherweise kumulative Wirkung mehrerer Datenverarbeitungsvorgänge auf Individuen miteinzubeziehen. Als Beispiele für negative Auswirkungen nennt die Datenschutzgruppe Ausgrenzung, Rufschädigung, Schädigung des Ansehens, Schwächung der Verhandlungsposition, Beeinträchtigung der Unabhängigkeit eines Betroffenen, psychische Auswirkungen wie Angst, Ärger, Besorgnis sowie Beeinträchtigungen geschützter Verhaltensweisen oder von Grundrechten wie beispielsweise Wissenschafts- und Meinungsfreiheit. Bei der Bewertung der Auswirkungen könnten sich Begrifflichkeiten und Methodik aus der traditionellen Risikoeinschätzung als hilfreich erweisen. 157 Dazu bereits hinsichtlich der Abwägung nach Art. 7 lit. f DS-RL: Art. 29-Datenschutzgruppe, WP 217, S. 40. Das sehr subjektive Kriterium der berechtigten Erwartungen des Betroffenen gewinne allgemein im Bereich europäischer Regulierung an Bedeutung und sei eng mit dem Konzept des Durchschnittsverbrauchers verknüpft: Razvan, PinG 2016, 65 (69).

100

C. Instrumente des Interessenausgleichs

f) Zeitliche Aspekte ○ Allgemein wird der Ablauf von Zeit durch den Grundsatz der begrenzten Speicherdauer (Art.  5 Abs.  1 lit.  e DS-GVO) berücksichtigt. Weiterhin existiert ein Widerspruchsrecht gemäß Art.  21  Satz  1 Abs.  1  DS-GVO, das es ermöglicht, die durch Zeitablauf veränderte Interessenlage im Rahmen von Art.  6 Abs.  1 Satz 1 lit. f DS-GVO erneut zu überprüfen. Dass eine zuvor gegebene Einwilligung nach dem Ablauf einer Zeitspanne möglicherweise nicht mehr dem Willen des Betroffenen entsprechen kann, berücksichtigt Art. 7 Abs. 3 DS-GVO, der ein jederzeitiges Widerrufsrecht zugesteht. Art.  17 Abs.  1 DS-GVO regelt entsprechend, dass die Löschung von Daten u. a. verlangt werden kann, wenn durch Zeitablauf die Verarbeitung von Daten für bestimmte Zwecke nicht mehr erforderlich ist (lit. a), rechtmäßig Widerspruch gegen die Verarbeitung eingelegt wurde (lit. c) oder eine zuvor gegebene Einwilligung widerrufen wurde (lit. b). Die durch Zeitablauf veränderten Gegebenheiten müssen darüber hinaus bei der Beurteilung der dem Verantwortlichen zumutbaren Informationsmaßnahmen („Alter der Daten“, Erwgr. 62 DS-GVO), durch die bedarfsgemäße Überprüfung und Aktualisierung technischer und organisatorischer Maßnahmen (Art.  24 Abs.  1 Satz  2 DS-GVO), die Integration möglichst kurzer Speicherfristen in die Voreinstellungen (Art. 25 Abs. 2 Satz 1 DS-GVO) und die Berücksichtigung künftiger technischer Entwicklungen bei der Beurteilung des Personenbezugs (Erwgr. 26 DSGVO) einbezogen werden. Obwohl sich in den Erlaubnistatbeständen selbst kein expliziter Hinweis auf den Zeitfaktor findet, kann den genannten Regelungen also dennoch entnommen werden, dass der Verordnungsgeber den Ablauf von Zeit als ein maßgebliches Kriterium bei der Beurteilung der Interessenlage wertet,158 wobei mit diesem Kriterium insbesondere die Möglichkeit einer Veränderung der Interessenlagen aufgrund des Zeitablaufs verknüpft ist.

158

So bereits hinsichtlich der DS-RL Korenhof/Ausloos/Szekely/Ambrose/Sartor/Leenes, in: Gutwirth/Leenes/Hert (Hrsg.), Reforming European Data Protection Law, S. 171 (­191–194): Ein späteres Überwiegen der zunächst zurückstehenden Interessen des Betroffenen aufgrund von Zeitablauf sei vor allem bei der Verbreitung von Informationen zu journalistischen Zwecken oder im Rahmen der Ausübung der Meinungsfreiheit im Internet von Relevanz. Aktuelle, in einen bestimmten Kontext eingebundene Daten besäßen einen großen Informationswert, weshalb sie für das allgemeine Informationsinteresse der Gesellschaft besonders bedeutend seien. Das Verstreichen einer gewissen Zeitspanne führe jedoch dazu, dass Informationen veralten und an Informationswert verlieren; gleichzeitig nehme ihre Persönlichkeitsrelevanz ab, da sie kein aktuelles Bild von der Persönlichkeit des Betroffenen zeichnen können. Umgekehrt sei es aber im Zusammenhang mit statistischen oder Forschungszwecken möglich, dass auch nach dem Verstreichen eines längeren Zeitraums ein Interesse an Datenverarbeitungen noch besteht oder sogar zunimmt. Unterschiede bei der Interessenbeurteilung seien auch abhängig davon, ob nach Verstreichen eines längeren Zeitraums gezielt nach Informationen über ein Individuum oder aber unspezifisch nur nach Informationen über ein bestimmtes Ereignis geforscht wird und auch die Motivation der Beteiligten sei jeweils einzubeziehen.

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

101

g) Gesellschaftlicher oder rechtlicher Bezug der Datenverarbeitung und Grundrechtsgefüge „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“ (Erwgr. 4 DS-GVO). Dementsprechend trifft die DS-GVO einige Wertungen, die die Eingebundenheit des Individuums in die Gesellschaft und das politische und rechtliche System sowie die Integration des Datenschutzrechts in das europäische Grundrechtsgefüge unmittelbar spiegeln. aa) Erfüllung rechtlicher Verpflichtungen ○ So werden Datenverarbeitungen zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 Satz 1 lit. c, Art. 9 Abs. 2 lit. b DS-GVO; entsprechende Ausnahme von der Löschpflicht: Art. 17 Abs. 3 lit. b DS-GVO) oder zur Ausübung oder Verteidigung von Rechtsansprüchen (Art. 9 Abs. 2 lit. f DS-GVO; zur Übermittlung in Drittländer: Art. 49 Abs. 1 Satz 1 lit. e DS-GVO; Ausnahme von der Löschpflicht: Art. 17 Abs. 3 lit. b DS-GVO; Möglichkeit zur Regelung von Ausnahmen von Betroffenenrechten bzw. Verarbeiterpflichten in Art. 23 Abs. 1 lit. j DS-GVO) vom Verordnungsgeber vorbehaltlich ihrer Erforderlichkeit als legitim gewertet, wodurch hervortritt, dass der Verordnungsgeber im Falle der Einschlägigkeit des Kriteriums die Interessen des rechtlich Verpflichteten bzw. Anspruchsausübenden oder -verteidigenden hervorheben und sie mit entsprechendem Gewicht ausstatten will. bb) Öffentliche Interessen ○ Die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erforderlich ist, stellt einerseits einen legitimen Grund zur Verarbeitung (Art. 6 Abs. 1 Satz 1 lit. e, Art. 9 Abs. 1 lit. g DS-GVO) und Übermittlung von Daten in Drittländer (Art. 49 Abs. 1 Satz 1 lit. d DS-GVO) dar. Andererseits können öffentliche Interessen umfangreich als Begründung dienen, um die Rechte von Betroffenen bzw. korrespondierende Pflichten von Datenverarbeitern einzuschränken. Art. 23 Abs. 1 DS-GVO nennt hier u. a. nationale Sicherheit (lit. a), Landesverteidigung (lit. b), öffentliche Sicherheit (lit. c), Strafprävention, Strafverfolgung und Strafvollstreckung (lit. d) und sonstige wichtige Ziele des allgemeinen öffentlichen Interesses (lit. e). Wertungsmäßig ist das Kriterium der öffentlichen Interessen also vom Verordnungsgeber mit einigem Gewicht belegt worden.

102

C. Instrumente des Interessenausgleichs

cc) Gesundheit und Soziales ○ Die Gewährleistung des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren sowie die Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und Medizinprodukten sind ebenso vom Verordnungsgeber anerkannte Verarbeitungsgrundlagen wie Gesundheitsvorsorge, Arbeitsmedizin, medizinische Diagnostik, Versorgung und Behandlung im Gesundheits- oder Sozialbereich und die zugehörige Verwaltung von Systemen und Diensten (Art. 9 Abs. 2 lit. h und i DS-GVO; entsprechende Ausnahmen von der Löschpflicht in Art. 17 Abs. 3 lit. c DS-GVO). Der Verordnungsgeber gestattet in solchen Zusammenhängen sogar die Verarbeitung besonders sensibler Datenkategorien und macht damit deutlich, dass im Zusammenhang mit diesem Kriterium das Gewicht der Betroffeneninteressen sich zugunsten der jeweiligen Interessen von Verarbeitern verringert. dd) Wissenschaft und Statistik ○ Zudem können sogar sensible Daten verarbeitet (Art. 9 Abs. 2 lit. j DS-GVO) und über die Speicherbegrenzung des Art. 5 Abs. 1 lit. e DS-GVO und Zweckbindung des Art. 5 Abs. 1 lit. b DS-GVO hinaus gespeichert und verarbeitet werden, wenn dies ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 Satz 1 DS-GVO erfolgt. Auch Ausnahmen von den Informationspflichten (Art. 14 Abs. 5 lit. b DS-GVO) und Löschpflichten (Art. 17 Abs. 3 lit. d DS-GVO) sind vorgesehen. Diese Zwecke werden also vom Gesetzgeber als entsprechend vorzugswürdig159 gewertet – die Interessen des Betroffenen sollen aber durch die Anordnung entsprechender technischer und organisatorischer Schutzmaßnahmen zugleich ebenfalls bestmöglich gewahrt bleiben. ee) Kollision mit den Rechten anderer ○ Die Wahrung der Rechte und Freiheiten anderer stellt nach Ansicht des Verordnungsgebers einen legitimen Grund dar, die Rechte von Betroffenen und korrespondierende Verarbeiterpflichten nach Art. 12 bis 22 DS-GVO zu beschränken,160 159 Generell sei die Privilegierung der Forschung und Wissenschaft sinnvoll; die Ansätze in der DS-GVO seien jedoch zu pauschal und träfen gerade nicht die für den interessengerechten Ausgleich so bedeutsame Unterscheidung zwischen dem Gemeinwohl förderlicher und sonstiger Forschung (die Kritik bezog sich auf verschiedene Entwurfsstadien der DS-GVO, ist in der Sache aber auch für die endgültige Fassung zutreffend): Beyvers/Gärtner/Kipker, PinG 2015, 241 (247). 160 Die Art. 29-Datenschutzgruppe, WP 217, S. 34–35, zog bereits für die Abwägung nach Art.  7 lit.  f DS-RL in Betracht, ob die datenverarbeitende Tätigkeit der Ausübung eines

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

103

soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist (Art. 23 Abs. 1 lit. i DS-GVO); explizit vorgesehen ist auch eine Ausnahme von der Löschpflicht nach Art. 17 Abs. 3 lit. a DS-GVO. Darüber hinaus können die Mitgliedstaaten von wesentlichen Bestimmungen der DS-GVO (betroffen sind die Kapitel II bis VII und IX) abweichende Vorschriften erlassen, um das Recht auf Meinungs- und Informationsfreiheit,161 einschließlich der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, mit Datenschutzbelangen in Einklang zu bringen, insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich, in Nachrichten- und Pressearchiven (Art. 85 Abs. 1, Erwgr. 153 DS-GVO). Die Bedeutung des Rechts auf freie Meinungsäußerung für demokratische Gesellschaften ist explizit hervorgehoben und verlangt, dass Begriffe, die sich auf diese Freiheit beziehen – z. B. der Begriff des Journalismus – weit auszulegen sind (Erwgr. 153 DS-GVO). Damit ist die besondere Bedeutung von Art. 11 GRC gegenüber dem Datenschutz zwar angedeutet, über das pauschale Erforderlichkeitsgebot in Art. 85 Abs. 2 DS-GVO und den Verweis auf die Verhältnismäßigkeit in Art. 23 Abs. 1 DS-GVO hinaus trifft die Verordnung jedoch keinerlei konkrete Wertungen oder gar Entscheidungen hinsichtlich der Gewichtung dieser Rechte im Verhältnis zum Datenschutz.162 Ebenso wenig gewichtet die DS-GVO das Recht auf den Zugang der Öffentlichkeit zu amtlichen Dokumenten; verlangt wird lediglich, dieses Recht mit dem Recht auf den Schutz personenbezogener Daten gemäß der Verordnung in Einklang zu bringen (Art. 86 DS-GVO).

Grundrechts oder einer Grundfreiheit dient und inwieweit das in Rede stehende Interesse gesetzlich, gesellschaftlich oder kulturell anerkannt ist. 161 Die Berührungspunkte zwischen Datenschutzbelangen und Interessen der Informationsund Meinungsfreiheit werden unterschiedlich sowohl als Konfliktbereiche – etwa bei Fazlioglu, IDPL 2013, 149 (154); Kelsey, EHRLR 2014, 395 (400); Sartor, IDPL 2015, 64 (70); Mihail, EDPL 2016, 130 (130); Kulk/Zuiderveen Borgesius, EJRR 2014, 389 (393–394)  – als auch als Momente des komplementären Zusammenwirkens – so etwa Szekely, in: Gutwirth/ Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 293 (296) – dieser Rechte und Interessen beschrieben. 162 Eine Annäherung an Abwägungsvorgaben versuchen dennoch Albrecht/Janson, CR 2016, 500. Härting, ZD 2012, 199 (202), vermisste „praktikable Kriterien zur Abwägung“ bereits im Kommissionsentwurf; eine Unschärfe sieht allgemein hinsichtlich der entsprechenden Bestimmung des Kommissionsentwurfs auch Lewinski, DuD 2012, 564 (565); das Fehlen von Verfahrensgarantien beim Ausgleich der Grundrechte bemängelt Dammann, ZD 2016, 307 (307). Von einer Ausgestaltung des Medienprivilegs hat der Bundesgesetzgeber unter Verweis auf die ausschließliche Länderzuständigkeit nun gänzlich abgesehen, vgl. Deutscher Bundestag, BT-Drs. 18/11325, S.  79. Zur Bestandsfähigkeit des insofern einschlägigen § 41 BDSG unter der DS-GVO zuvor bereits kritisch: Schaar, PinG 2016, 62 (63); wohlwollend aber: Albrecht/Janson, CR 2016, 500 (508).

104

C. Instrumente des Interessenausgleichs

h) Tabellarische Übersicht der Ergebnisse Tabelle 4 Kriterien und Wertungen des europäischen Datenschutzrechts Gesetzlicher Rahmen Wertung

Kriterium ○

Arten und Kategorien von Daten Sensible Daten

Höhere Schutzbedürftigkeit

Personenbezug

Abstufung je nach Enge des Personenbezugs, verringertes Risiko bei Pseudonymisierung, kein Risiko bei Anonymisierung

Öffentliche Daten

Bedingter Vorrang der Informationsfreiheit

Arten und Kategorien von Betroffenen (Kinder) Kinder

Höhere Schutzbedürftigkeit

Art und Weise der Verarbeitung Verwendung neuer Technologien

Besondere Risikoneigung

Profiling und Scoring

Höhere Schutzbedürftigkeit möglich, besondere Risikoneigung

Verwendung von Tracking-Werkzeugen

Diensteerbringung erhält nur bedingt Vorrang wegen starker Risikoneigung und Persönlichkeitsrelevanz

Datenmenge und Betroffenenzahl

Besondere Risikoneigung

Direktwerbung

Besondere Eingriffsintensität

Datenverarbeitungsintensive Kerntätigkeit

Erhöhte Gefährdung

Drittlandübermittlungen

Drohender Verlust des Schutzes

Auftragsdatenverarbeitungen

Legitimes, privilegiertes Konstrukt, zugleich spezifische Risiken für Betroffene

Verhältnis zwischen Betroffenem und Datenverarbeiter Ausübung der informationellen Selbstbestimmung

Weitreichender Vorrang für die informationelle Selbstbestimmung, jedoch strenge Regelungen zur Sicherstellung autonomer und selbstbestimmter Entscheidungen

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

105

Gesetzlicher Rahmen Wertung

Kriterium ○

Verhältnis zwischen Betroffenem und Datenverarbeiter Ausübung der Vertragsfreiheit

Weitreichender Vorrang für die Vertrags­freiheit

Beschäftigungsverhältnis

Höhere Gefährdung wegen struktureller Unterschiede und Abhängigkeit, konkrete Wertung aber offen gelassen

Anbieter-Nutzer-Verhältnis

Privilegierung für das Verhältnis im engeren Sinne

Auswirkungen für Betroffene und berechtigte Erwartungen Auswirkungen für Betroffene

Berücksichtigung beim Interessenausgleich zugunsten Betroffener/Vermeidung

Berechtigte Erwartungen

Berücksichtigung beim Interessenausgleich zugunsten Betroffener

Zeitliche Aspekte Zeitablauf

Veränderung der Interessenlage möglich, daher zu berücksichtigen

Gesellschaftlicher/rechtlicher Bezug, Grundrechtsgefüge Erfüllung rechtlicher Verpflichtungen

Erfüllung von rechtlichen Verpflichtungen und Ausübung/Verteidigung von Rechtsansprüchen erhalten weitreichenden Vorrang

Öffentliche Interessen

Weitreichender Vorrang

Gesundheit und Soziales

Umfangreiche Anerkennung und Schaffung entsprechender Rechtsgrundlagen

Wissenschaft und Statistik

Umfangreiche Privilegierungen, zugleich aber gesonderte Schutzvorkehrungen

Kollision mit Rechten anderer

Umfangreiche Öffnungsklauseln für Regelungen der Mitgliedstaaten, Wertung im Einzelnen aber offen gelassen

106

C. Instrumente des Interessenausgleichs

2. Kriterien des Interessenausgleichs in der Rechtsprechung des EuGH und EGMR Im Weiteren soll ergänzend untersucht werden, welche Kriterien und Wertungen die obersten europäischen Gerichte heranziehen, um einen Ausgleich der datenschutzrelevanten Grundrechte, Grundfreiheiten und Menschenrechte mit anderen Rechten und Interessen zu erzielen. a) EuGH Unabhängig von der dogmatischen Verortung lassen sich zunächst einige allgemeine Grundsätze und Maßstäbe ausmachen, die der EuGH zur Anwendung bringt, wenn im weiteren Sinne Kriterien zur Abwägung der Datenschutzinteressen Betroffener gegen andere Interessen und Rechte zur Anwendung kommen: Das Gericht macht mehrfach deutlich, dass zwar die Abwägung von Rechten und Interessen auf der europäischen163 und mitgliedstaatlichen164 Ebene im Recht mehr oder weniger detailliert angelegt ist, dass es jedoch den Anwendungsoder Durchführungsbereich für Interessenabwägungen hauptsächlich auf der nationalen Ebene sieht165. Dementsprechend verlangt es regelmäßig nur, dass überhaupt eine den rechtsstaatlichen Grundsätzen genügende Abwägung stattfindet,166 schreibt dabei aber nicht im Einzelnen vor, zu welchem Ergebnis die Abwägung im konkreten Fall zu kommen hat. Allgemein hält es die Grundrechte und Grundfreiheiten,167 sowie die allgemeinen Rechtsgrundsätze der Mitgliedstaaten,168 den Grundsatz der Verhältnismäßigkeit169, die Kriterien der Datenschutz-Richtlinie170

163 EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 (Rdnr. 72–86); EuGH, Urt. v. 19.10.2016 – C-582/14 (Rn. 60). 164 EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 82); EuGH, Urt. v. 29.01.2008 – C-275/06 (Rdnr. 66); EuGH, Urt. v. 07.05.2009  – C-553/07 (Rdnr. 64); EuGH, Urt. v. 24.11.2011  – C-468/10, C-469/10 (Rdnr. 43). Wo die DS-RL einen Abwägungsspielraum vorsieht, können die Mitgliedstaaten bei der Umsetzung in nationales Recht die Abwägung auch nicht gänzlich vorwegnehmen; EuGH, Urt. v. 19.10.2016 – C-582/14 (Rn. 62). 165 EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 85); EuGH, Urt. v. 29.01.2008 – C-275/06 (Rdnr. 66). 166 EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 85); EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 (Rdnr. 86). 167 EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 87); ausdrücklich i.R.v. Art. 7 lit. f DSRL: EuGH, Urt. v. 24.11.2011  – C-468/10, C-469/10 (Rdnr. 40); EuGH, Urt. v. 14.09.2000  – C-369/98 (Rdnr. 32); EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 74). 168 Hier bezgl. Art. 7 lit. f DSRL: EuGH, Urt. v. 14.09.2000 – C-369/98 (Rdnr. 34); allgemein fließen die Rechtsgrundsätze der Mitgliedstaaten unter Erwgr. 10 f. DSRL in die Auslegung der Richtlinie und damit auch in die Auslegung abwägungsrelevanter Passagen ein. 169 EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 89). 170 EuGH, Urt. v. 14.09.2000  – C-369/98 (Rdnr. 33). Beim Ausgleich von Grundrechten droht hier ein Zirkelschluss: Die DS-RL ist im Lichte des Grundrechts auf den Schutz perso­

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

107

und die Umstände des jeweiligen Einzelfalles171 für abwägungsrelevant. Die vom EuGH für die Abwägung von Datenschutzbelangen mit anderen Rechten und Interessen herausgearbeiteten Abwägungskriterien stehen grundsätzlich selbstständig nebeneinander, werden jedoch aus Gründen der besseren Übersicht im Folgenden entsprechend ihres Einflusses auf die Abwägung den Kategorien ‚Breite des Eingriffs‘, ‚Tiefe des Eingriffs‘, ‚zeitliche Komponente‘ und ‚sonstige Argumente und konkrete Aussagen‘ zugeordnet. aa) Kriterien mit Einfluss auf die Breite des Eingriffs ○ Der EuGH argumentiert sowohl mit der Vielzahl der Betroffenen172 auf der einen Seite als auch mit der Breite der Zugriffsmöglichkeit auf Daten (breite Zugriffseröffnung für die Öffentlichkeit oder Zugriffseröffnung nur für wenige Befugte) oder deren Verbreitungspotenzial auf der anderen Seite173. Er misst dem Datenschutz ein stärkeres Gewicht zu, wenn die Verarbeitung systematisch und breit angelegt ist,174 anlasslos durchgeführt wird175 oder ansonsten keinerlei sinnvollen Beschränkungen – z. B. hinsichtlich der zu verarbeitenden Datenkategorien, anvisierter geografischer Gebiete oder Personenkreise176 oder bezüglich der mit der Verarbeitung verfolgten Zwecke177 – unterliegt. Daneben rückt nach Ansicht des Gerichts die zunehmende Verbreitung elektronischer Kommunikationstechnik im Alltag,178 aber auch der technische Fortschritt an sich, der ein strukturiertes Auffinden, Darstellen und Verknüpfen von Daten,179 deren Spiegelung180 und weltweite Verfügbarkeit181 ermögliche, Datenschutzbelange in den Vordergrund.

nenbezogener Daten auszulegen, während das Grundrecht seinerseits in Anlehnung an die Vorschriften der Richtlinie näher bestimmt wird. Vgl. dazu auch Kap. B. Fn. 9. 171 EuGH, Urt. v. 24.11.2011 – C-468/10, C-469/10 (Rdnr. 40). 172 EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rdnr. 87); EuGH, Urt. v. 07.05. 2009 – C-553/07 (Rdnr. 62); EuGH, Urt. v. 06.10.2015 – C-362/14 (Rdnr. 78). 173 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 80; 87); eine Regelung, die es Behörden generell erlaubt, auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzt nach Ansicht des EuGH sogar den Wesensgehalt von Art.  7 GRC und berührt damit eine absolute Schranke der GRC: EuGH, Urt. v. 06.10.2015 – C-362/14 (Rdnr. 94). 174 EuGH, Urt. v. 16.02.2012 – C-360/10 (Rdnr. 49). 175 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 58). 176 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 58–59). 177 EuGH, Urt. v. 06.10.2015 – C-362/14 (Rdnr. 93). 178 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 56–57). 179 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 80; 87). 180 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 84). 181 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 80); EuGH, Urt. v. 25.10.2011 – C-509/09, C-161/10 (Rdnr. 45–48).

108

C. Instrumente des Interessenausgleichs

bb) Kriterien mit Einfluss auf die Tiefe des Eingriffs ○ Der EuGH bezieht die Art und Sensibilität von Daten182 und die Art der Betroffenen183 sowie die Tatsache, ob Daten umfangreiche Rückschlüsse auf das Privatleben zulassen184 bzw. ob Verarbeitungen unmittelbar auf die Ausforschung des Privatlebens abzielen185, mit ein. Er berücksichtigt, ob Daten zuvor bereits über öffentlich zugängliche Quellen veröffentlicht oder aus ihnen zumindest ableitbar waren186 (dann ist ein geringeres Gewicht der Datenschutzinteressen Betroffener naheliegend). Äußerst abwägungsrelevant sind außerdem die Auswirkungen, die die Datenverarbeitung für Betroffene nach sich zieht187 (z. B. die Beeinträchtigung beruflicher Chancen,188 oder das Gefühl des ständigen Überwachtseins189). Das Gericht stellte fest, dass die automatisierte Datenverarbeitung190 sowie das Risiko des Missbrauchs und unberechtigten Zugangs191 das Schutzbedürfnis verstärken. Auch der Ort, an dem die Verarbeitungen stattfinden, kann ein erhöhtes Risiko und damit einen stärkeren Schutz begründen (z. B. macht es einen Unterschied, ob Daten innerhalb der EU oder aber auf Servern in den USA gespeichert und verarbeitet werden).192 Zuletzt spielten auch die Effektivität des Betroffenenschutzes193 bzw. die Sicherheit der Datenverarbeitung194 eine entscheidende Rolle: Ist ein effektiver Betroffenenschutz z. B. durch umfangreiche technische und sonstige Schutzvorkehrungen gewährleistet, so lassen sich deutlich stärkere Beeinträchtigungen rechtfertigen als bei nachlässigeren Vorkehrungen.

182

EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 81; 98). Das Alter des Betroffenen sei als Abwägungskriterium grundsätzlich geeignet: EuGH, Urt. v. 04.05.2017 – C-13/16 (Rdnr. 33). 184 Z. B. werden Kommunikationsumstände wie Ort, Kommunikationspartner, Dauer, regelmäßige Muster etc, als Daten angesehen, die sehr detailliert auf das Privatleben des Betroffenen rückschließen lassen: EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 26–27). 185 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 29). 186 EuGH, Urt. v. 20.05.2003  – C-465/00, C-138/01, C-139/01 (Rdnr. 87); EuGH, Urt. v. 24.11.2011 – C-468/10, C-469/10 (Rdnr. 44); EuGH, Urt. v. 04.05.2017 – C-13/16 (Rdnr. 32). 187 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 86); umgekehrt sind negative Auswirkungen aber nicht immer zwingende Voraussetzung für die Rechtswidrigkeit: EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 96). 188 EuGH, Urt. v. 20.05.2003 – C-465/00, C-138/01, C-139/01 (Rdnr. 89). 189 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 37). 190 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 55); EuGH, Urt. v. 06.10.2015 – C-362/14 (Rdnr. 91). 191 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 66); EuGH, Urt. v. 06.10.2015 – C-362/14 (Rdnr. 91). 192 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 68). 193 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 84); EuGH, Urt. v. 06.10.2015 – C-362/14 (Rdnr. 81; 89). 194 EuGH, Urt. v. 07.05.2009 – C-553/07 (Rdnr. 62). 183

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

109

cc) Zeitliche Komponente ○ Im Fall ‚Google und Google Spain‘ fiel die Abwägung der vorhandenen Interessen nach dem Ablauf einer relativ langen Zeitspanne anders aus als zum Zeitpunkt der erstmaligen Veröffentlichung der in Rede stehenden Daten.195 Der EuGH machte damit deutlich, dass der Ablauf einer Zeitspanne unmittelbar in die Abwägung nach Art. 7 lit. f DS-RL einfließen und dass die zeitliche Komponente die zu beurteilende Interessenlage maßgeblich verändern kann. Schon vor der Beschäftigung mit dem sogenannten ‚Recht auf Vergessenwerden‘ hatte das Gericht allerdings wiederholt zeitliche Aspekte in die Beurteilung einbezogen: So spielte für die Abwägung u. a. das Alter von Daten eine Rolle196 und auch pauschalisierte Speicherfristen gaben dem Datenschutz besonderes Gewicht197. dd) Sonstige Argumente und konkrete Wertungen ○ In einigen wenigen Fällen hat der EuGH ganz konkrete Aussagen zu Abwägungsfragen gemacht und Wertungen getroffen, die allerdings nur im Zusammenhang mit der jeweiligen Einzelfallentscheidung als absolut gelten können. In anderen Zusammenhängen helfen diese Wertungen aber bei der Einordnung neuer Sachverhalte in die bisherige Rechtsprechungslinie des EuGH und können  – je nach Ähnlichkeit der Sachverhalte – ebenso wie allgemeinere Kriterien als Argumentationslinien herangezogenen werden: Der EuGH hat festgestellt, dass das Interesse an Transparenz nicht grundsätzlich Vorrang vor den Datenschutzinteressen Betroffener hat.198 Umgekehrt geht er sogar grundsätzlich davon aus, dass das Interesse Betroffener am Schutz ihrer Privatheit das Informationsinteresse von Internetnutzern überwiegt – mit einzelfallabhängigen Ausnahmen.199 Datenverarbeitungen im Rahmen von Suchmaschinenergebnissen hält das Gericht für potenziell gefährdender und damit schwerwiegender als das herkömmliche OnlineStellen von Daten auf Webseiten; es argumentiert dabei mit einer Kombination aus besonderer Eingriffsbreite und -tiefe, verursacht durch die Ubiquität von Informationen, die Verknüpfbarkeit und Strukturiertheit von Suchergebnissen und die Zugriffsmöglichkeit für jedermann.200 Aus den genannten Gründen hielt es im konkreten Fall die durchgeführte Verarbeitung nicht mehr für allein durch wirtschaftliche Interessen des Suchmaschinenbetreibers rechtfertigbar.201 Das Gericht erkennt aber zugleich auch die grundlegende Bedeutung der Meinungsfreiheit für die Demokratie an und misst ihr gegenüber Datenschutzinteressen entsprechend 195

EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 97–98; 81). EuGH, Urt. v. 07.05.2009 – C-553/07 (Rdnr. 62). 197 EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 64). 198 EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 (Rdnr. 85). 199 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 81). 200 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 87). 201 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 81). 196

110

C. Instrumente des Interessenausgleichs

schweres Gewicht zu.202 Kriminalitäts- und Terrorismusbekämpfung sowie die öffentliche Sicherheit sind vom EuGH anerkannte Interessen, die Betroffeneninteressen im Einzelfall durchaus überwiegen können. Im Falle der Vorratsdatenspeicherung konnten sie jedoch für sich genommen die vorgesehene umfassende und anlasslose Speicherung mit umfangreichen Zugriffsmöglichkeiten für Behörden nicht rechtfertigen.203 Eine umfassende und präventive Filterung von Inhalten eines sozialen Netzwerks, die eine Rechteverwertungsgesellschaft in Belgien von einem Plattformbetreiber zum Zwecke des Auffindens und Entfernens urheberrechtswidriger Inhalte verlangt hatte, ist nach Ansicht des EuGH ebenfalls nicht geeignet, um einen angemessenen Ausgleich zwischen geistigem Eigentum und Datenschutz herbeizuführen204. b) EGMR Wie bereits erwähnt205 greift der EuGH bezüglich der Auslegung der Grundrechte aus der GRC stellenweise auf die Rechtsprechung des EGMR zu entsprechenden Rechten aus der EMRK zurück. Aus diesem Grund sollen nachfolgend auch die vom EGMR bei der Abwägung von Datenschutzbelangen mit anderen Interessen und Rechten zum Einsatz gebrachten Abwägungskriterien und -wertungen knapp beleuchtet werden. Gesetzlich verankert ist die Vorgehensweise des EuGH in Art. 52 Abs. 3 GRC. Der vom EGMR angewandte Prüfungsmaßstab206 ist jedoch mit der vom EuGH durchgeführten Grundrechtsprüfung allenfalls vergleichbar, nicht aber deckungsgleich, weshalb sich auch die Abwägungskriterien nur bedingt vergleichen lassen. aa) Kriterien mit Einfluss auf die Breite des Eingriffs ○ Der EGMR berücksichtigte in seiner Argumentation u. a. die Zahl der von einer Datenverarbeitungsmaßnahme Betroffenen207 und die Anzahl der Personen, denen eine personenbezogene Information zur Kenntnis kam208. Um Datenverarbeitungsmaßnahmen in ihrer Breite zu begrenzen, verlangt das Gericht eine Bindung der Verarbeitung an bestimmte Zwecke.209 Es hält strategische und umfassende Überwachungsmaßnahmen210 sowie das Anlegen von detaillierten Persönlichkeits­ 202

EuGH, Urt. v. 16.12.2008 – C-73/07 (Rdnr. 56). EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 51). 204 EuGH, Urt. v. 16.02.2012 – C-360/10 (Rdnr. 49–51). 205 B.II, dort Fn. 9. 206 Dazu bereits oben unter C. II. 2 207 EGMR, Urt. v. 03.09.2015 – App. 22588/08 (Abs. 61). 208 EGMR, Urt. v. 02.09.2010 – App. 35623/05 (Abs. 80). 209 EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 62). 210 EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 69). 203

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

111

profilen211 für bedenklich und konstatiert allgemein, dass breit angelegte Datenverarbeitungsmaßnahmen stärkere Schutzvorkehrungen erfordern212. bb) Kriterien mit Einfluss auf die Tiefe des Eingriffs ○ Je sensibler die Daten, desto strikter ist grundsätzlich die Prüfung des EGMR213 und umgekehrt214; das Ausspionieren intimer Informationen hält das Gericht zudem für besonders bedenklich215. DNA-Daten,216 Kommunikationsinhalte,217 die Daten Jugendlicher,218 Gesundheitsdaten219 und die Inhalte von Anwalt-Mandanten-Gesprächen220 hat das Gericht u. a. bereits als besonders sensible und schützenswerte Daten ausgemacht. Auch die Richtigkeit bzw. Unrichtigkeit von verarbeiteten Daten hat einen Einfluss auf die Abwägung, z. B. im Fall einer (möglicherweise) fälschlich in Behördenaufzeichnungen als ‚Prostituierte‘ bezeichneten Frau.221 Der EGMR berücksichtigt, ob Datenverarbeitungen heimlich222 stattfinden. Er erkennt an, dass automatisierte Datenverarbeitung223 und technologischer Fortschritt224 allgemein eine größere Schutzbedürftigkeit hervorrufen. Das Gericht hat bereits angedeutet, dass der technologische Fortschritt und die damit einhergehenden neuen Möglichkeiten der Datenverarbeitung das Abwägungsgleichgewicht in Zukunft noch deutlicher beeinflussen könnten225. Die zentralisierte Speicherung und systematische Verarbeitung von Daten, Missbrauchsgefahr bzw. (un-)zureichende Schutzvorkehrungen,226 Anonymisierungsgrad227 und faktisch vorhandene technische Zugriffsmöglichkeiten228 müssen ebenfalls in die Abwägung einbezogen werden. Das Gericht berücksichtigte u. a. die Auswirkungen für Be 211

EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 70). EGMR, Urt. v. 13.11.2012 – App. 24029/07 (Abs. 200). 213 EGMR, Urt. v. 18.10.2011  – App. 16188/07 (Abs.  62); EGMR, Urt. v. 13.11.2012  – App. 24029/07 (Abs. 200). 214 EGMR, Urt. v. 02.09.2010 – App. 35623/05 (Abs. 66). 215 EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 70). 216 EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 103). 217 EGMR, Urt. v. 02.09.2010 – App. 35623/05 (Abs. 63; 66). 218 EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 124). 219 EGMR, Urt. v. 29.04.2014  – App. 52019/07 (Abs.  56); EGMR, Urt. v. 25.11.2008  – App. 36919/02 (Abs. 40). 220 EGMR, Urt. v. 27.10.2015 – App. 62498/11 (Abs. 131). 221 EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 66–68). 222 EGMR, Urt. v. 06.09.1978 – App. 5029/71 (Abs. 42). 223 EGMR, Urt. v. 04.12.2008  – App. 30562/04, 30566/04 (Abs.  103); EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 62; 64). 224 EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 53; 68); EGMR, Urt. v. 02.09.2010 – App. 35623/05 (Abs. 61). 225 EGMR, Entsch. über die Zul. v. 05.10.2010 – App. 420/07. 226 EGMR, Urt. v. 18.10.2011  – App. 16188/07 (Abs.  62); EGMR, Urt. v. 06.09.1978  – App. 5029/71 (Abs. 50). 227 EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 62). 228 EGMR, Urt. v. 04.12.2015 – App. 47143/06 (Abs. 268–271). 212

112

C. Instrumente des Interessenausgleichs

troffene (z. B. negative Auswirkungen auf das tägliche Leben durch Bezeichnung als Prostituierte im Rahmen von Behördenaufzeichnungen,229 Nachteile im Arbeitsumfeld,230 Beeinträchtigung durch umfassende staatliche Überwachung231), aber auch die berechtigten Erwartungen Betroffener (z. B. Privatheit eines Besuchsraums in der JVA)232. cc) Zeitliche Komponente ○ Kritisch äußerte sich das Gericht zur Erhebung von Patientendaten über einen Zeitraum von sieben Jahren hinweg.233 Bezüglich der Aufbewahrung von Daten hat der EGMR bereits festgestellt, dass die Grundsätze des Datenschutzes allgemein verlangen, dass Aufbewahrungszeiträume begrenzt sind234 und dass lange Aufbewahrungszeiträume durch das Vorliegen besonderer Umstände oder guter Gründe gerechtfertigt sein müssen235. Obwohl der EGMR bislang kein ausdrückliches ‚Recht auf Vergessenwerden‘ proklamiert hat, klingt in seinen Entscheidungen daher dennoch an, dass der Zeitfaktor in die Beurteilung einbezogen werden muss und das Abwägungsgleichgewicht beeinflussen kann236. c) Rezeption der gerichtlichen Abwägungspraxis Die unterschiedlichen Strategien des EuGH und EGMR bei der Abwägung von Grundrechten werden im Schrifttum uneinheitlich beurteilt. Während manche die Vorgehensweise des EuGH, der vielfach Raum für eine nationale Ausgestaltung ließ,237 positiv bewerten und anmahnen, dass auch der EGMR stärker auf die ‚margin of appreciation‘-Doktrin zurückgreifen sollte,238 kritisieren andere, der EuGH habe es bislang zu stark vermieden, eindeutige Abwägungsentscheidungen zu treffen, sondern verweise stattdessen Fälle ohne Wertungsvorgaben zurück an die nationalen Gerichte, was die Einheit des Binnenmarktes gefährde239. Damit habe der EuGH bislang die Gelegenheit nicht wahrgenommen, klare Abwägungs-

229

EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 63–64). EGMR, Urt. v. 13.11.2012  – App. 24029/07 (Abs.  200); EGMR, Urt. v. 03.09.2015  – App. 22588/08 (Abs. 63). 231 EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Abs. 68). 232 EGMR, Urt. v. 20.12.2005 – App. 71611/01 (Abs. 30) (hier allerdings erörtert im Rahmen der Feststellung des Eingriffs). 233 EGMR, Urt. v. 29.04.2014 – App. 52019/07 (Abs. 57). 234 EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (Abs. 107). 235 EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Abs. 63). 236 Andeutungsweise auch: EGMR, Urt. v. 03.09.2015 – App. 22588/08 (Abs. 62). 237 Dazu unter C. II. 2. 238 Bignami, CILJ 2008, 210 (243–244). 239 Tzanou, CYELP 2010, 53 (54). 230

III. Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht ○

113

leitlinien vorzugeben.240 Deutliche Kritik hat die vom EuGH forcierte Betonung der Datenschutzinteressen Betroffener gegenüber den Interessen der Meinungsund Informationsfreiheit Dritter im Falle der Entfernung von Einträgen aus Google-Suchergebnissen erfahren. Der EuGH habe den Sachverhalt zu sehr aus der datenschutzrechtlichen Perspektive betrachtet und dabei die Meinungs- und Informationsfreiheitsrechte vernachlässigt.241 d) Tabellarische Übersicht der Ergebnisse Tabelle 5 Datenschutzrechtliche Kriterien und Wertungen in der Rechtsprechung Rechtsprechung Wertung EuGH

Wertung EGMR

Art und Sensibilität von Daten

Beeinflusst Tiefe des Eingriffs (Sensibilität, Möglichkeit von Rückschlüssen auf das Privatleben, öffentliche Zugänglichkeit)

Beeinflusst Tiefe des Eingriffs (Sensibilität, Intimität, Kommunikationsinhalte, DNA-Daten, Inhalte von Anwalt-Mandanten­ gesprächen, Richtigkeit und Unrichtigkeit)

Verwendung neuer Technologien und fortschrittlicher Datenverarbeitungsmethoden, Automatisierte Datenverarbeitung

Beeinflusst Tiefe und Breite des Eingriffs

Beeinflusst Tiefe des Eingriffs (künftig noch stärkerer Einfluss angedeutet)

Kriterium ○

Arten und Kategorien von Betroffenen (Jugendliche) Gezieltes Ausforschen des Privatlebens Heimlichkeit

Beeinflusst Tiefe des Eingriffs Beeinflusst Tiefe des Eingriffs

Beeinflusst Tiefe des Eingriffs Beeinflusst Tiefe des Eingriffs Fortsetzung auf der nächsten Seite

240

Tzanou, CYELP 2010, 53 (67–68). Kulk/Zuiderveen Borgesius, EJRR 2014, 389 (392); kritisch jedenfalls hinsichtlich einer Verallgemeinerung der vom EuGH im speziellen Fall von Suchmaschinendiensten vorgenommenen Wertung äußert sich Buchholtz, ZD 2015, 570 (574); etwas neutraler hingegen Kelsey, EHRLR 2014, 395 (400). 241

114

C. Instrumente des Interessenausgleichs

Fortsetzung Tabelle 5

Rechtsprechung Wertung EuGH

Wertung EGMR

Datenmenge und Betroffenenzahl

Beeinflusst Breite des Eingriffs (Vielzahl Betroffener, Breite der Zugriffsmöglichkeiten, systematisch und breit angelegte Verarbeitung, keine sinnvollen Beschränkungen)

Beeinflusst Breite des Eingriffs

Ort der Datenverarbeitung

Beeinflusst Tiefe des Eingriffs (Spiegelung, weltweite Verfügbarkeit, Speicherung auf Servern außerhalb der EU)

Datensicherheit und Betroffenenschutz

Beeinflusst Tiefe des Eingriffs

Beeinflusst Tiefe des Eingriffs

Auswirkungen für Betroffene und berechtigte Erwartungen

Beeinflusst Tiefe des Eingriffs (Beeinträchtigung beruflicher Chancen, Gefühl des Überwachtseins, Missbrauchsrisiko)

Beeinflusst Tiefe des Eingriffs

Zeitablauf, Dauer von Maßnahmen/Verstößen

Beeinflusst Tiefe des Eingriffs (Berücksichtigung von Interessenänderungen nach Ablauf einer Zeitspanne, Speicherfristen, Eingriffsdauer)

Datenverarbeitungen und Speicherungen sollen grdsl. zeitlich begrenzt stattfinden, langer Zeitraum nur bei entsprechender Rechtfertigung

Kollision von Datenschutzgrundrechten mit Meinungs- und Informa­ tionsfreiheit

Allgemein herausgehobene Bedeutung der Meinungsfreiheit, Transparenz hat nicht grundsätzlich Vorrang vor Datenschutz, Privatheitsansprüche überwiegen im Zusammenhang mit der Indexierung von Suchmaschinenergebnissen im Internet grdsl. das Informationsinteresse der Internetnutzer

Kriterium ○

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

115

3. Zwischenergebnis: Kriterien und Wertungen des Interessenausgleichs im Datenschutzrecht Zusammenfassend bleibt festzuhalten, dass der Verordnungsgeber zahlreiche ‚Kriterien‘ (○) installiert, die auf vielfältige Weise die näheren Umstände einer Datenverarbeitung für den Interessenausgleich erfassen und ihnen vorgezeichnete Wertungen für die Abwägung zuweisen sollen. Mit dem Großteil dieser Kriterien wurden vom Verordnungsgeber dementsprechend Wertungen verknüpft, die das Abwägungsergebnis im Falle der Einschlägigkeit eines Kriteriums entsprechend durch Gewichtung und Hervorhebung oder Zurückdrängung von Belangen determinieren sollen. Der Verordnungsgeber gibt also ein vielschichtiges und detailliertes Bewertungs- und Gewichtungssystem vor, das es ermöglichen soll, die abzuwägenden Belange eines Sachverhalts nicht nur zu erfassen, sondern auch zu bewerten und gegeneinander abzuwägen. Allerdings bleibt im Zusammenhang mit manchen Kriterien die Wertung absichtlich offen, um Raum für eine entsprechende Ausgestaltung durch weitere Gesetzgebungsakte zu belassen (vgl. für eine Übersicht: Tabelle 4, S. 61) Die Rechtsprechung entwickelt auf der Verfassungs- und Primärrechtsebene ein ganz ähnliches System, dessen Kriterien und Wertungen auf die Gewichtung und Abwägung von Grundrechts- und Primärrechtspositionen zielen, dabei aber inhaltlich deutliche Parallelen zu den sekundärrechtlichen Abwägungskriterien und -wertungen aufweist (vgl. für eine Übersicht: Tabelle 5, S. 67)

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht  Das einfachgesetzliche Datenschutzrecht der Mitgliedstaaten spielt unter der DS-GVO unmittelbar nur noch dort eine Rolle, wo dem Gesetzgeber entsprechende Regelungsbefugnisse ausdrücklich zugestanden sind.242 Allerdings kann eine Wechselwirkung zwischen den bisherigen mitgliedstaatlichen Rechtsordnungen und europäischem Recht nicht von Anfang an ausgeschlossen werden,243 weshalb die deutsche Sichtweise des Interessenausgleichs nicht gänzlich vernachlässigt werden darf. Im Folgenden wird daher knapp das Ausgleichskonzept des deutschen Datenschutzrechts in seiner vor Einführung der DS-GVO gültigen Form dargestellt.

242 Dies ist u. a. im Zusammenhang mit der Kollision des Datenschutzrechts mit der Meinungs- und Informationsfreiheit der Fall, dazu unter C. III. 1. g) ee). 243 Näher zum Umgang mit abweichenden Wertungen unter C. IV. 4.

116

C. Instrumente des Interessenausgleichs

1. Ausgleichsbelange □ Auch im deutschen Recht sind auf der Verfassungsebene sämtliche verfassungsrechtlichen Belange, insbesondere kollidierende Grundrechte, für den verhältnismäßigen Ausgleich im Datenschutz heranzuziehen. Die Grundlage für den Schutz der Privatsphäre bietet unter den deutschen Grundrechten das allgemeine Persönlichkeitsrecht, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, insbesondere in seinen speziellen Ausprägungen des Grundrechts auf informationelle Selbstbestimmung244 und des Grundrechts auf die Vertraulichkeit und Integrität informationstechnischer Systeme245. Aber auch andere Grundrechte können spezielle Aspekte der Privatsphäre schützen – z. B. kann die Ausübung der Religionsfreiheit oder Meinungsfreiheit durch Störungen der Privatsphäre berührt sein. Die zum Schutz des Betroffenen eingreifenden Grundrechte können grundsätzlich mit jedem anderen Grundrecht eines Dritten oder mit Interessen des Staates kollidieren. Einzustellen in die Abwägung auf Verfassungsebene sind nach dem BVerfG auf der den Datenschutzgrundrechten entgegengesetzten Seite regelmäßig klassische Staatsinteressen, z. B. an der Erstellung von Statistiken als „eine gesicherte Datenbasis für weitere statistische Untersuchungen ebenso wie für den politischen Planungsprozeß“246, an der Abwehr von (konkreten247 und abstrakten) Gefahren für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person,248 an der Umsetzung von Gemeinschaftsrecht249 oder am Schutz der natürlichen Lebensgrundlagen,250 aber auch die Grundrechte anderer, das Informationsinteresse der Öffentlichkeit251 oder die Vertragsfreiheit252. Im einfachen Recht wird für die zu berücksichtigenden Belange zunächst wiederum auf das allgemeine Persönlichkeitsrecht verwiesen (vgl. § 1 Abs. 1 BDSG); für die Interessenabwägungsgeneralklauseln sollen berechtigte Interessen des Datenverarbeiters oder Dritter sowie schutzwürdige Interessen des Betroffenen eine Rolle spielen (vgl. etwa § 1 Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nr. 2 lit. a BDSG). Ers-

244

Zum Schutzbereich siehe unter B. II. Zum Schutzbereich siehe unter B. II. 246 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (47). 247 Dazu BVerfG, Urt. v. 20.04.2016  – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1784–1785). 248 BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (345). 249 BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (48). 250 BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (48). 251 Allgemein verbürgt durch Art. 5 Abs. 1 Satz 1 GG; konkreter Konflikt mit dem Grundrecht auf informationelle Selbstbestimmung: BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (53–54). 252 Allgemein verbürgt durch Art. 12 Abs. 1 Satz 1 GG; konkreter Konflikt mit dem Grundrecht auf informationelle Selbstbestimmung: BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3087). 245

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

117

tere werden generell als sämtliche tatsächliche, d. h. wirtschaftliche oder ideelle,253 Interessen verstanden, die von „der Rechtsordnung gebilligt[…]“254 werden. Zweitere sollen sich aus den Schutzbelangen im Kontext des allgemeinen Persönlichkeitsrechts ableiten, können aber darüber hinaus auch rein tatsächlicher Natur und ohne Verfassungsrang sein.255 2. Mechanismen des Interessenausgleichs a) Ausgewählte vom Gesetzgeber implementierte Mechanismen △ Wo Grundrechtskollisionen auftreten, muss ein Ausgleich aller relevanter Aspekte nach Maßgabe des Verhältnismäßigkeitsgrundsatzes (keine explizite Niederlegung im GG, ergibt sich aber mittelbar aus dem Rechtsstaatsprinzip und aus den Grundrechten)256 gesucht werden – an dieser Stelle werden daher die für den Datenschutz maßgeblichen Grundrechte, insbesondere das Grundrecht auf informationelle Selbstbestimmung,257 mit den Rechten und Interessen des Staates und privater Dritter abgewogen. Eine Gewichtung der Grundrechte wurde vom Gesetzgeber nicht getroffen, ihre Abwägung in Kollisionsfällen ist folglich der Rechtsprechung, insbesondere dem Bundesverfassungsgericht, überlassen. Die Interessenabwägung ist darüber hinaus auch unterhalb der Verfassungsebene ein zentrales Prinzip des deutschen Datenschutzsystems. Der Gesetzgeber installiert neben der sehr weiten258 Generalklausel des § 28 Abs. 1 Satz 1 Nr. 2 BDSG für Datenverarbeitungen durch private Stellen („soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen […] überwiegt“) noch zahlreiche weitere explizite Abwägungsklauseln (z. B. § 28 Abs.  1 Satz  1 Nr. 3, Abs. 2 Nr. 2 und Abs. 3 Satz 6, § 29 Abs. 1 Nr. 1 und Abs. 2 Nr. 2, § 4 Abs. 2, § 20 Abs. 3 Nr. 2 und Abs. 5, 6 und 8, § 3 Abs. 3 Nr. 2 und Abs. 5, § 6b Abs. 5 und 1, § 32 Abs. 1 Satz 2, § 14 Abs. 2 Nr. 5 BDSG) und weitere Abwägungsmecha 253 Simitis, in: Simitis (Hrsg.), BDSG, § 28  BDSG, Rdnr.  104; Gola/Schomerus/Körffer, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 28 BDSG, Rdnr. 24–25; Spindler/Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 28 BDSG, Rdnr. 7. 254 Wolff, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, § 28 BDSG, Rdnr. 59. 255 Gola/Schomerus/Körffer, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 28  BDSG, Rdnr. 26. 256 Vgl. BVerfG, Beschl. v. 15.12.1965 – 1 BvR 513/65, BVerfGE, 19, 342 (348–349). 257 Vgl. etwa beispielhaft die Ausführungen bei Gersdorf, in: Gersdorf/Paal (Hrsg.), BeckOK Info- und MedienR, Art. 2 GG, Rdnr. 75–80; kritisch zur Abwägungsfähigkeit des informationellen Selbstbestimmungsrechts aber wegen mangelnder Abgrenzbarkeit des Schutzbereichs: Ladeur, DÖV 2009, 45. 258 Das BDSG lasse hier „bei den Abwägungsmaßstäben jede Präzision vermissen“, sei „jedem Versuch aus dem Weg gegangen, klare Anhaltspunkte zu formulieren“, und habe letztlich eine „nichtssagende Generalklausel“ aus der Vorgängerversion des BDSG lediglich wiedergegeben: Simitis, in: Simitis (Hrsg.), BDSG, § 28 BDSG, Rdnr. 126.

118

C. Instrumente des Interessenausgleichs

nismen: Auch das deutsche Datenschutzrecht kennt Erforderlichkeitstatbestände (z. B. §§ 28 Abs. 1 Satz 1 Nr. 1 BDSG, § 28 Abs. 2 Nr. 2, § 28 Abs. 2 Nr. 3, § 32 Abs. 1 Satz 1 BDSG), denen eine Interessenabwägung implizit innewohnt, wobei eine Interessengewichtung vom Gesetzgeber bereits dahingehend vorweggenommen wurde, dass das jeweilige Interesse grundsätzlich überwiegt, soweit eine Verarbeitung für den von der Norm vorgegebenen Zweck erforderlich ist.259 Daneben verbürgt auch das deutsche Datenschutzrecht allgemeine Verarbeitungsprinzipien, die durch auslegungsbedürftige, weil unbestimmte Rechtsbegriffe zum Ausdruck kommen (z. B. Zweckbindungsgrundsatz § 28 Abs.  1 Satz  2 BDSG, Datensparsamkeit § 3a  BDSG) sowie weitere (den europäischen Abwägungsmechanismen ähnliche) Mechanismen des Interessenausgleichs (z. B. Einwilligungs­regelungen der §§ 4 Abs. 1, 4a, 4c Abs. 1 Satz 1 Nr. 1, 28 Abs. 3 Satz 1 und Abs. 3a BDSG, § 12 Abs. 1, 13 Abs. 2 TMG, § 94 TKG, Betroffenenrechte und korrespondierende Pflichten des Datenverarbeiters nach §§ 6, 19–21, 33–35 BDSG, Schutzvorkehrungen technisch-organisatorischer und verfahrensrechtlicher Art nach §§ 9 BDSG, 13 Abs. 4 TMG, Standardisierungen nach § 9a BDSG, Durchsetzungsregelungen nach §§ 7, 43, 44 BDSG und Überwachungsvorschriften nach §§ 4d–4g, 38, 38a BDSG). b) Ausgleichsmechanismen vor dem BVerfG △ Das Bundesverfassungsgericht hat im Rahmen seiner Tätigkeit umfangreich über die Anwendung und Auslegung des Grundgesetzes, insbesondere von Grundrechten, zu entscheiden (vgl. § 13 BVerfGG). Dabei erkennt es an, dass sowohl das Grundrecht auf informationelle Selbstbestimmung als auch das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme „nicht schrankenlos“ gewährleistet sind.260 Dem Einzelnen stehe kein „Recht im Sinne einer absoluten uneinschränkbaren Herrschaft über ‚seine‘ Daten zu“, sondern er sei vielmehr eine „sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit“.261 Das Grundgesetz betone die Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person, weshalb Einschränkungen des Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse grundsätzlich hinzunehmen262 und Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 259 In diese Richtung auch: Wolff, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, Syst. A. Prinzipien, Rdnr. 46. 260 Zum Recht auf informationelle Selbstbestimmung: BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (43); zum Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme: BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (315). 261 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (44). 262 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (44).

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

119

sowohl zu präventiven Zwecken als auch zur Strafverfolgung möglich seien263. Solche Beschränkungen bedürfen jedoch einer ausreichend normenklaren, verfassungsmäßigen gesetzlichen Grundlage.264 Das Verhältnismäßigkeitsgebot im engeren Sinne verlangt dabei, dass „die Schwere der gesetzgeberischen Grundrechtsbeschränkung bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der sie rechtfertigenden Gründe steht“.265 An dieser Stelle hat das Gericht also regelmäßig zwischen der Grundrechtsbeeinträchtigung und den sie mög­ licherweise rechtfertigenden Gründen abzuwägen. Auch im Bereich des Datenschutzes hat das Bundesverfassungsgericht bereits deutlich gemacht, dass die einschlägigen Grundrechte nicht nur im Verhältnis zwischen Bürger und Staat gelten, sondern auch im Privatrechtsverkehr „ihre Wirkkraft als verfassungsrechtliche Wertentscheidungen durch das Medium der Vorschriften, die das jeweilige Rechtsgebiet unmittelbar beherrschen“, entfalten266 und auf diese Weise „auf die Auslegung und Anwendung privatrechtlicher Vorschriften“ ausstrahlen“267: „Die aus dem Recht auf informationelle Selbstbestimmung folgende Schutzpflicht gebietet es, dafür Sorge zu tragen, dass informationeller Selbstschutz für Einzelne tatsächlich möglich ist. Zwar steht es dem Individuum frei, Daten anderen gegenüber zu offenbaren oder sich vertraglich dazu zu verpflichten. Hat aber in einem Vertragsverhältnis ein Partner ein solches Gewicht, dass er den Vertragsinhalt faktisch einseitig bestimmen kann, so ist es Aufgabe des Rechts, auf die Wahrung der Grundrechtspositionen der beteiligten Parteien hinzuwirken, um zu verhindern, dass sich für einen Vertragsteil die Selbstbestimmung in eine Fremdbestimmung verkehrt […].“268 So hatte im konkreten Fall das Gericht zu überprüfen, ob die angegriffene Entscheidung einen gerechten Ausgleich zwischen dem Betroffeneninteresse und dem Interesse an der Offenbarung von Daten aufseiten eines Versicherers herstellte.269 Unabhängig also von der Art des Verfahrens und davon, ob eine klassische Konstellation der Abwehr staatlicher Eingriffe oder aber mittelbar eine Gegenüberstellung privater Beteiligter vorliegt, stellt das Bundesverfassungsgericht widerstreitende Interessen gegenüber und wägt im Rahmen der grundgesetzlichen Ordnung zwischen ihnen ab. Um Grundrechtseingriffe abzumildern und so letztlich die Interessen der Beteiligten zum Ausgleich zu bringen, zieht das Bundesverfassungsgericht zusätzlich organisatorische und verfahrensrechtliche Vorkehrungen,270 263

BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (315). BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (44). 265 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (428). 266 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3087). 267 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3087). 268 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3087). 269 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3087). 270 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (44); BVerfG, Urt. v. 12.04.2005 – 2 BvR 581/01, BVerfGE, 112, 304 (319–320); BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (55). 264

120

C. Instrumente des Interessenausgleichs

Aufklärungs- und Belehrungspflichten,271 Löschpflichten,272 Geheimhaltungspflichten,273 Transparenzpflichten,274 Kontrollen und Aufsicht,275 Weiterleitungsbefugnisse oder -möglichkeiten276 als Ausgleichsmechanismen heran. 3. Kriterien und Wertungen des Interessenausgleichs a) Ausgewählte gesetzliche Kriterien und Wertungen ○ Häufig beziehen sich Vorschriften im deutschen Datenschutzrecht bereits auf konkrete äußere Zusammenhänge, die Art der zu verarbeitenden Daten oder die Art und Weise der Datenverarbeitung, für die der Gesetzgeber eine Interessenbewertung vorwegnehmen wollte: Es wird grundlegend zwischen Datenverarbeitungen für eigene Geschäftszwecke (§ 28  BDSG) und geschäftsmäßiger Datenerhebung und -speicherung zum Zwecke der Übermittlung (§ 29  BDSG) unterschieden,277 wobei der Gesetzgeber die geschäftsmäßige Datenverarbeitung teilweise strengeren Voraussetzungen unterworfen hat: Die Verarbeitung auf der Grundlage einer allgemeinen Interessenabwägung ist nach § 29 Abs. 1 Nr. 1 BDSG schon nicht mehr möglich, sobald die Interessen des Betroffenen lediglich entgegenstehen, während § 28 Abs. 1 Satz 1 Nr. 2 BDSG weiter geht und Datenverarbeitungen zu eigenen Geschäftszwecken immerhin erst dann untersagt, wenn die Betroffeneninteressen überwiegen. Öffentlich zugängliche bzw. offenkundig vom Betroffenen öffentlich gemachte Daten sind gemäß §§ 28 Abs. 1 Satz 1 Nr. 3, Abs. 2 Nr. 1 Alt. 2, Abs. 6 Nr. 2, 29 Abs. 1 Nr. 2 BDSG weitgehend zur Verarbeitung freigegeben. Dabei besteht eine Abstufung zwischen den Formulierungen der §§ 28 Abs. 1 Satz 1 Nr. 3, Abs. 2 Nr. 1 Alt. 2, 29 Abs. 1 Nr. 2 BDSG („Daten allgemein zugänglich“ bzw. „Daten aus allgemein zugänglichen Quellen“) und dem Wortlaut von § 28 Abs. 6 Nr. 2 BDSG („Daten […], die der Betroffene offenkundig öffentlich gemacht hat“). Letzterer beinhaltet eine strengere Voraussetzung und damit größere Hürde für die Zulässigkeit der Verarbeitung sensibler Daten278 271 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (59). 272 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (46). 273 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (49). 274 BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215/07, BVerfGE, 133, 277 (357). 275 BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215/07, BVerfGE, 133, 277 (369–372). 276 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (61). 277 Die Beispiele dieses Abschnitts beziehen sich sämtlich auf die Vorschriften für nicht-öffentliche Stellen i. S. v. § 2 Abs. 4 BDSG. 278 Daten nach ihrem Bezug zum Persönlichkeitsrecht unterscheidend: Wolff, in: Wolff/ Brink (Hrsg.), BeckOK DatenSR, § 28 BDSG, Rdnr. 67. Mit dem Verweis auf die Unterscheidung zwischen sensitiven und anderen Daten: Simitis, in: Simitis (Hrsg.), BDSG, § 28 BDSG,

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

121

im Sinne von § 3 Abs. 9 BDSG. Auch Datenverarbeitungen im Rahmen der Anbahnung und Durchführung von Vertragsverhältnissen (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG, 95 Abs. 1 TKG, 13 Abs. 1 TMG) und Arbeitsverhältnissen (§ 32 Abs. 1 Satz  1 BDSG) werden vom Gesetzgeber grundsätzlich legitimiert, während für Adresshandel und Werbung eine Privilegierung nur bezüglich spezieller Datenkategorien vorgesehen ist (§ 28  Abs.  3  BDSG)279. Datenübermittlungen an Auskunfteien und die Durchführung von Scoring-Verfahren unterliegen spezifischen Anforderungen (§§ 28a, 28b BDSG). Auch die besondere Gefährdung durch Übermittlungen ins Ausland findet Berücksichtigung: Sie muss bereits unterbleiben, wenn der Betroffene ein entgegenstehendes Interesse hat, wobei ein solches schon immer dann angenommen werden muss, wenn im Zielland der Übermittlung kein angemessenes Datenschutzniveau gewährleistet ist (§ 4b Abs.  2 BDSG). Im Zusammenhang mit Telekommunikationsdienstleistungen und Telemedien erkennt der Gesetzgeber an, dass berechtigte Anbieterinteressen sowohl hinsichtlich der für die Bereitstellung und Abrechnung des Dienstes notwendigen Datenverarbeitungen als auch darüber hinaus (z. B. Vermarktung, Werbung) bestehen, §§ 96 ff. TKG, 15 TMG. Spezialregelungen gibt es außerdem u. a. für die Kollision von Datenschutzbelangen mit Forschungsinteressen (§ 40  BDSG), der Pressefreiheit (Art. 41 BDSG), Geheimhaltungsinteressen (§ 39 BDSG), Informationsinteressen (§ 5 IFG), für die Erhebung personenbezogener Gesundheitsdaten des Versicherers bei Dritten (§ 213 VVG) oder den Sozialdatenschutz (§ 35 SGB I).

Rdnr. 132. Deutlich häufiger als mit der Abstrahierung von Kriterien befasst sich das Schrifttum jedoch mit den detaillierten Beschreibungen einzelner Fälle und Fallgruppen, in denen eine Abwägung jeweils in die eine oder andere Richtung entschieden wurde, vgl. nur: Wolff, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, § 28 BDSG, Rdnr.  72–77; Simitis, in: Simitis (Hrsg.), BDSG, § 28  BDSG, Rdnr.  113–144; Spindler/Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 28 BDSG, Rdnr. 7–11. 279 § 28 Abs. 3 Satz 3 BDSG gestattet zwar, dass die datenverarbeitende Stelle zu den Listendaten weitere Daten hinzuspeichert, wenn sie sie zuvor aufgrund des Vertragsverhältnisses oder aus offen zugänglichen Verzeichnissen erhoben hat. Allerdings greift auch hier die Beschränkung der „eigenen Werbezwecke“, d. h. erlaubt ist ausschließlich die Werbung für eigene Produkte und Dienstleistungen, nicht aber die geschäftsmäßige Verbreitung von Werbeanzeigen Dritter. Auch soweit gem. § 28 Abs. 3 Satz 5 BDSG eine Werbung für „fremde Angebote“ gestattet ist, ist damit nicht eine ausschließlich fremden Angeboten gewidmete Werbung, sondern lediglich die sogenannte ‚Beipack-Werbung‘ gemeint, bei der zusätzlich zur Eigenwerbung des Datenverarbeiters, die nach wie vor den Hauptzweck der Verarbeitung bilden muss, Fremdwerbung betrieben wird (a. A. aber wohl Wolff, in: Wolff/Brink [Hrsg.], BeckOK DatenSR, § 28 BDSG, Rdnr. 137). Damit wird die Wertung – nämlich eine Ausnutzung des Listenprivilegs lediglich im Zusammenhang mit eigener Werbung zuzulassen – ausdrücklich deutlich gemacht.

122

C. Instrumente des Interessenausgleichs

b) Ausgleichskriterien in der Rechtsprechung des BVerfG aa) Kriterien mit Einfluss auf die Tiefe des Eingriffs ○ Das Bundesverfassungsgericht berücksichtigt regelmäßig die Intensität der Beeinträchtigung280 der betroffenen Grundrechte. Dabei zieht es in der Argumentation die Art der betroffenen Daten heran:281 Es stellt strengere Anforderungen, wo „sensible Informationen“282 oder „höchstvertrauliche[…] Daten“283 betroffen sind und stellt insbesondere auf den Grad der Persönlichkeitsrelevanz von Daten als Kriterium ab284. Besondere Persönlichkeitsrelevanz nimmt das Gericht allgemein für Informationen an, denen zusätzlich zum allgemeinen Persönlichkeitsrecht noch spezieller Grundrechtsschutz zukommt.285 Es erkennt, dass informationstechnische Systeme „typischerweise bewusst zum Speichern auch persönlicher Daten von gesteigerter Sensibilität, etwa in Form privater Text-, Bild- und Tondateien“286 verwendet werden, und dass selbst flüchtige Daten aus dem Arbeitsspeicher eine erhöhte Persönlichkeitsrelevanz aufweisen können, weil sie z. B. Schlüsse auf die Kommunikationsgewohnheiten und Vorlieben des Betroffenen ermöglichen.287 Der Zugriff auf informationstechnische Systeme wird insofern bereits an sich als ein besonders tiefer Privatsphäreneingriff betrachtet.288 Auch Telekommunikationsverbindungsdaten können nach Ansicht des Bundesverfassungsgerichts erheblichen Aussagegehalt besitzen (z. B. über den persönlichen Austausch zwischen Betroffenen, die Abwicklung von Alltagsgeschäften wie Einkäufe und Bezahlungen) und Rückschlüsse auf Beziehungen, Gewohnheiten, Interessen und Vorlieben zulassen,289 was ihre besondere Schutzwürdigkeit290 nahelegt. Als besonders sensibel gelten weiterhin Angaben zu Gesundheit und ärztlichen Behandlungen291 und Informationen über körperliche Merkmale292. Für DNA-Daten liegt eine besondere Sensibilität ebenfalls nahe, sofern daraus Rückschlüsse auf die Persönlichkeit 280

BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (347). BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (347); BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (46). 282 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3088). 283 BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1795). 284 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (402); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (348); umgekehrt bedingen Daten von geringem Aussagegehalt einen weniger intensiven Eingriff: BVerfG, Beschl. v. 24.01.2012 – 1 BvR 1299/05, BVerfGE, 130, 151 (188; 197). 285 BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (348); BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215/07, BVerfGE, 133, 277 (359–360). 286 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (323). 287 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (324). 288 BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1785). 289 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (190). 290 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (191–193). 291 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3088). 292 BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215/07, BVerfGE, 133, 277 (351). 281

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

123

gezogen oder sogar ganze Persönlichkeitsprofile erstellt werden können.293 Zumindest auf eine geringere Sensibilität von Daten hinweisen kann deren Erhebung im öffentlichen oder sozialen Raum294, eine pauschale Annahme der Belanglosigkeit ist aber dennoch insgesamt ausgeschlossen295. Allgemein scheint das Gericht einen Zusammenhang zwischen der Eingriffsintensität und dem für die Herstellung eines Personenbezugs benötigten Aufwand bzw. der Wahrscheinlichkeit der Herstellung eines Personenbezugs zu sehen.296 Das Bundesverfassungsgericht will aber „nicht allein auf die Art der Angaben“ abstellen, sondern auch die Art und Umstände der Datenverarbeitung in die Abwägung einbeziehen, denn zur Beurteilung der persönlichkeitsrechtlichen Relevanz eines Datums bedarf es nach Ansicht des Gerichts u. a. auch der Kenntnis seines Verwendungszusammenhangs und der Verknüpfungs- und Verwendungsmöglichkeiten.297 Mehrfach bekräftigte dementsprechend das Gericht die stärkere Gefährdung298 und besondere Schutzwürdigkeit299 des informationellen Selbstbestimmungsrechts unter den Voraussetzungen automatischer Datenverarbeitung. Die „Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden […] bedarf unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes“300. Durch die „der Informationstechnologie eigenen Verarbeitungsmöglichkeiten und Verknüpfungsmöglichkeiten“ könne ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen.301 „Aus 293 Der absolut geschützte Kernbereich der Persönlichkeit war aber jedenfalls bei der Verarbeitung des nicht-codierenden Anteils von DNA nicht betroffen, soweit ausschließlich die Feststellung des DNA-Identifizierungsmusters zum Zweck der Identitätsfeststellung vorgenommen, das Genmaterial nach der Feststellung des DNA-Identifizierungsmusters vernichtet und Rückschlüsse auf persönlichkeitsrelevante Merkmale wie Erbanlagen, Charaktereigenschaften oder Krankheiten des Betroffenen, also ein Persönlichkeitsprofil, nicht ermöglicht wurden: BVerfG, Beschl. v. 14.12.2000  – 2 BvR 1741/99, 2 BvR 276/00, 2 BvR 2061/00, BVerfGE, 103, 21 (31–32). 294 Hier: im „öffentlichen Verkehrsraum“: BVerfG, Urt. v. 11.03.2008  – 1 BvR 2074/05, BVerfGE, 120, 378 (404); zumindest andeutungsweise: BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (44). 295 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (45). 296 BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (53). 297 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (45). 298 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42; 45). 299 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42). 300 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42). 301 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (45); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (350).

124

C. Instrumente des Interessenausgleichs

der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis.“302 In der Entscheidung zur Online-Durchsuchung zeigte sich, dass Schutzlücken, die durch neue Technologien oder den gesellschaftlichen Wandel entstehen, das Gewicht des allgemeinen Persönlichkeitsrechts nicht nur verstärken, sondern sogar gänzlich neue Ausfaltungen dieses Rechts hervorbringen können.303 Berücksichtigung finden dementsprechend die durch moderne Technologien geschaffenen Möglichkeiten der ubiquitären,304 nahezu unbegrenzten Speicherung und Verarbeitung305 mit gesteigerter Effektivität306 sowie der Vernetzung und Verknüpfung307 (die Verknüpfung verschiedener Datensätze optimiert den Informationsgewinn308; es entstehen neue, über die ursprünglichen Einzelangaben hinausreichende Informationen309; die Nutzung vorhandener Daten zur Gewinnung weiterer Daten vertieft den Eingriff310) und der mit automatisierten Erhebungs- und Verarbeitungstechniken möglicherweise verbundene additive Grundrechtseingriff.311 Besonderes Gewicht misst das Bundesverfassungsgericht der Gefahr der Erstellung von Persönlichkeitsprofilen312 oder annähernd weitreichenden Maßnahmen bei: Wo weitgehende Rückschlüsse auf die Persönlichkeit bis hin zur Profilbildung möglich sind,313 ein

302

BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (306). So z. B. die Entwicklung des Grundrechts auf Integrität und Vertraulichkeit informa­ tionstechnischer Systeme im Online-Durchsuchungsurteil: BVerfG, Urt. v. 27.02.2008  – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (313). 304 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42); BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (398); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (342). 305 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42); BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (397); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (356–357); BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (52–53). 306 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (407). 307 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (342). 308 BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215/07, BVerfGE, 133, 277 (322–323); BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (45). 309 BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (52). 310 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (401); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (349). 311 BVerfG, Urt. v. 12.04.2005 – 2 BvR 581/01, BVerfGE, 112, 304 (319–320); BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1788). 312 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (350–351). 313 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (305–306); BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1787). 303

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

125

„beträchtliches Potential der Ausforschung der Persönlichkeit“314 besteht, „in einer Gesamtschau weitreichende Rückschlüsse auf die Persönlichkeit des Betroffenen bis hin zu einer Bildung von Verhaltens- und Kommunikationsprofilen“315 zu befürchten sind oder „Erkenntnisse, die an die Qualität eines Persönlichkeitsprofils heranreichen können“316, gewonnen werden, muss eine Abwägung in aller Regel zugunsten des Persönlichkeitsrechts ausfallen; umgekehrt wurde eine geringere Eingriffsintensität angenommen, wenn z. B. nachweislich keine Bewegungsprofile erstellt wurden317 oder erstellt werden konnten318. Nicht zuletzt spielte auch die Heimlichkeit319 (oder umgekehrt die Offenheit320) staatlicher Maßnahmen sowie die Übermittlung von Daten aus dem Einflussbereich des GG hinaus321 für die Abwägung eine entscheidende Rolle. Eine absolute Abwägungsgrenze installiert das Bundesverfassungsgericht, wo Eingriffe bis in den Kernbereich der privaten Lebensgestaltung vordringen (z. B. wenn in vermeintlich unbeobachteten, geschützten Zusammenhängen innere Vorgänge mit engsten Vertrauenspersonen besprochen werden) – solche Eingriffe sind auch durch überragende Allgemeininteressen nicht zu rechtfertigen.322 bb) Kriterien mit Einfluss auf die Breite des Eingriffs ○ Das Bundesverfassungsgericht berücksichtigt regelmäßig die Zahl der Betroffenen323, insbesondere die größere Streubreite bei einer Miterfassung der Daten Dritter324, auch im Rahmen eines lokalen Netzwerks325. Es erkennt aber auch all‑ 314

BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (322). BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (323). 316 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (190). 317 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (194). 318 BVerfG, Beschl. v. 24.01.2012 – 1 BvR 1299/05, BVerfGE, 130, 151 (190). 319 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (323; 325); BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (402–403); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (353); BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1784). 320 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (194). 321 Die grundsätzliche Wahrung datenschutzrechtlicher Garantien und das Risiko möglicher, im Empfängerland begehbarer Menschenrechtsverletzungen müssen in solchen Fällen in die Abwägung einbezogen werden, BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1805–1806). 322 BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1786). Wo jedoch nicht Staatsinteresse auf Bürgerinteresse trifft, sondern betroffene Grundrechte Privater miteinander zum Ausgleich gebracht werden müssen, ist in dieser Situation, wenn auf beiden Seiten der Kernbereich oder Menschenwürdekern von Grundrechten betroffen ist, ein ‚Grundrechtspatt‘ denkbar. 323 BVerfG, Beschl. v. 04.04.2006  – 1 BvR 518/02, BVerfGE, 115, 320 (347; 354; 357); BVerfG, Beschl. v. 24.01.2012 – 1 BvR 1299/05, BVerfGE, 130, 151 (188–189). 324 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (323). 325 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (324). 315

126

C. Instrumente des Interessenausgleichs

gemein die Allgegenwärtigkeit, Verbreitung und zentrale Bedeutung der Informa­ tionstechnik im Alltag der Bürger,326 insbesondere durch die weite Verbreitung von Personalcomputern und die Integration von Informationstechnologie in Alltagsgegenstände327. Eine solche Konvergenz der Dienste und Endgeräte führe einerseits zur „Komprimierung des Informationsflusses“328, bringe aber andererseits eine größere Vielzahl329 und Vielfalt von Daten330hervor. So entstehe ein „Zugang zu einem Datenbestand, der herkömmliche Informationsquellen an Umfang und Vielfältigkeit bei weitem übertreffen kann“331 und der vielfältige Nutzungs- und Verknüpfungsmöglichkeiten332 eröffnet. Ist aber Dritten ein solcher Zugriff auf einen „potentiell äußerst großen und aussagekräftigen Datenbestand“ möglich, so gehe ein „solcher Zugriff […] in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen […] weit hinaus.“333 Das Gericht hält einen bestehenden Eingriff für erweitert, sobald zusätzliche Informationen gespeichert werden334 und bezieht sich in der Argumentation ausdrücklich auf den Umfang der Erhebung von Daten335. In besonderem Maße rechtfertigungsbedürftig sind außerdem solche Eingriffe, die aufgrund ihrer Anlasslosigkeit336 (umgekehrt aber bei vom Betroffenen gegebenem Anlass337), Weiträumigkeit338 oder lockeren Zweckbindung339 (umgekehrt für hinreichende Zweckbindung340) besonders breit angelegt sind. Um das Gewicht von Eingriffen abzumildern, schlägt das Gericht umgekehrt eine Beschränkung auf konkrete Gefahrensituationen,341 Stichproben342,

326

BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (303–304); BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (190). 327 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (304). 328 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (190). 329 BVerfG, Urt. v. 11.03.2008  – 1 BvR 2074/05, BVerfGE, 120, 378 (398); BVerfG, Urt. v. 27.02.2008  – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (305); BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE, 115, 166 (190). 330 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (305). 331 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (322). 332 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (398). 333 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (313). 334 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (401). 335 BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08, NJW 2013, 3086 (3088). 336 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (430); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (347). 337 BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (53). 338 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (407). 339 BVerfG, Urt. v. 11.03.2008  – 1 BvR 2074/05, BVerfGE, 120, 378 (431–432); besonders streng ist die Zweckbindung für Daten, die im Rahmen einer Online-Durchsuchung erlangt wurden: BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1801). 340 BVerfG, Beschl. v. 14.12.2000 – 2 BvR 1741/99, 2 BvR 276/00, 2 BvR 2061/00, BVerfGE, 103, 21 (35). 341 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (430); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (346; 357). 342 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (430–431).

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

127

einen abgegrenzten räumlichen Bereich343 oder die enumerative Beschränkung der Zugriffsbefugnis344 vor. cc) Zeitliche Komponente ○ Neben der Eingriffstiefe und -breite spielen auch zeitliche Aspekte eine Rolle bei der Abwägung. Das Bundesverfassungsgericht hält eine längerfristige Überwachung345 für einen „erheblich intensivere[n] Eingriff“346. Weil das Risiko der Bildung von Verhaltens- und Kommunikationsprofilen bei einem längeren Überwachungszeitraum erhöht sei, handle es sich um einen „Grundrechtseingriff von besonders hoher Intensität“347. Bei einer laufenden Erfassung von Daten348 seien „Umfang und Vielfältigkeit des Datenbestands […] noch erheblich größer als bei einer einmaligen und punktuellen Datenerhebung“349. Das Zusammenführen von älteren mit neueren Daten mache außerdem Teile der Biografie einer Person erkennbar und sei deshalb besonders eingriffsintensiv.350 Umgekehrt kann die Schaffung und Einhaltung angemessener Löschfristen aber die Rechtfertigung von Grundrechtseingriffen begünstigen.351 dd) Auswirkungen für Betroffene oder Dritte ○ Nachteile352 für Betroffene und Dritte sind ebenfalls in die Abwägung einzubeziehen. Für Betroffene bestehe z. B. die Gefahr eines Kontrollverlustes353 (umgekehrt schwächt aber die Überprüfbarkeit der Vollständigkeit und Richtigkeit von Daten den Eingriff354), des Missbrauchs355 (umgekehrt kann die Beschränkung 343

BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (431). BVerfG, Beschl. v. 24.01.2012 – 1 BvR 1299/05, BVerfGE, 130, 151 (197). 345 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (323); BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (407). 346 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (324). 347 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (325). 348 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (323). 349 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (324). 350 BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215/07, BVerfGE, 133, 277 (363). 351 BVerfG, Beschl. v. 14.12.2000 – 2 BvR 1741/99, 2 BvR 276/00, 2 BvR 2061/00, BVerfGE, 103, 21 (34–35). 352 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (403); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (347). 353 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42). 354 BVerfG, Urt. v. 24.11.2010 – BvF 2/05, BVerfGE, 128, 1 (53). 355 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (46); BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (402); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (354–355). 344

128

C. Instrumente des Interessenausgleichs

der Missbrauchsgefahr den Eingriff aber auch abschwächen356), „der sozialen Abstempelung (z. B. als Drogensüchtiger, Vorbestrafter, Geisteskranker oder Asozialer)“357 und „sozialer Etikettierung“358 oder Stigmatisierung359 in Alltag oder Beruf360. Das Bundesverfassungsgericht berücksichtigt die Entstehung von psychischem Druck,361 Einschüchterungseffekte,362 das „Gefühl des Überwachtwerdens“363, Beeinträchtigungen bei der Ausübung von anderen Grundrechten364 und die Verletzung von Vertraulichkeitserwartungen365. Ganz konkret adressierte es auch Gefahren für die Integrität des von Online-Durchsuchungen betroffenen Rechners (insbesondere: Schäden am Rechner, Datenverlust, Missbrauch durch Dritte366) sowie für anderweitige Rechtsgüter des Betroffenen oder Dritter367. Es bezieht die Frage nach effektiven Rechtsschutzmöglichkeiten368 und die Tatsache mit ein, dass Betroffenen aufgrund der Komplexität der Sachverhalte und Technologien bisweilen nur eingeschränkte Möglichkeiten des Selbstschutzes zur Verfügung stehen369. 4. Inkurs: Umgang mit abweichenden Wertungsergebnissen Wertungsunterschiede zwischen deutschem Recht und Unionsrecht können sich u. a. aus der festgestellten einfachrechtlichen Unterscheidung zwischen eigenen und fremden Geschäftszwecken im deutschen Recht ergeben, die das europäische Recht nicht ausdrücklich kennt. Die im BDSG festgeschriebenen einfachgesetz 356 BVerfG, Beschl. v. 14.12.2000 – 2 BvR 1741/99, 2 BvR 276/00, 2 BvR 2061/00, BVerfGE, 103, 21 (35). 357 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (48). 358 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (49). 359 BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (351). 360 BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (351). 361 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 (42). 362 BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (354). 363 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (402; 430); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (355). 364 BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05, BVerfGE, 120, 378 (430); BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (355). 365 BVerfG, Beschl. v. 04.04.2006 – 1 BvR 518/02, BVerfGE, 115, 320 (348). 366 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (325). 367 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (325). 368 BVerfG, Urt. v. 02.03.2006  – 2 BvR 2099/04, BVerfGE, 115, 166 (195). Eng mit den klassischen Möglichkeiten des gerichtlichen Rechtsschutzes verknüpft sind gerade im Falle von Datenverarbeitungen Transparenzaspekte (Benachrichtigungs- und Berichtspflichten des Verarbeitenden, Auskunfts- und Informationsrechte der Betroffenen), unabhängige Aufsicht und effektive Sanktionen: BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 (1788–1789). 369 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 (306).

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

129

lichen Wertungen sind jedoch großteils mit der unmittelbaren Geltung der DSGVO am 25.05.2018 (Art. 99 Abs. 2 DS-GVO) gegenstandslos; das BDSG erliegt, soweit es inhaltlich mit diesem konkurriert, dem Anwendungsvorrang des Unionsrechts370 (hier: der DS-GVO) und kann damit für die rechtliche Beurteilung grundsätzlich keine Rolle mehr spielen371. Anderes könnte aber für die ebenfalls aufgedeckten unterschiedlichen Schutzkonzeptionen auf der Grundrechtsebene gelten, etwa wo das GG mit dem allgemeinen Persönlichkeitsrecht und seinen Ausfaltungen ein von den europäischen Grundrechten auf Datenschutz und Achtung der Privatsphäre deutlich abweichendes Schutzkonzept zu verfolgen scheint. Europäisches Recht ist dabei grundsätzlich autonom auszulegen372 und anzuwenden, ein unmittelbarer Rückgriff auf Erkenntnisse aus dem nationalen (Verfassungs-)Recht ist daher jedenfalls unzulässig.373 Es stellt sich also die Frage nach den möglichen mittelbaren Wechselwirkungen abweichender gesetzlicher Wertungen im Rahmen der Abwägung und dem Umgang mit ihnen. Zunächst ist es denkbar, dass der europäische Gesetzgeber bekannte datenschutzrechtliche Konzepte der Mitgliedstaaten aufgreift und sie sich zu eigen macht, wo aus der Regelung selbst oder den Gesetzgebungsmaterialien hervorgeht, dass das Rechtsverständnis eines oder mehrerer Mitgliedstaaten bestimmte Passagen des europäischen Rechts maßgeblich geprägt hat. Das Bundesverfassungsgericht gilt seit seinem Volkszählungsurteil374 als Vorreiter im Datenschutzrecht und auch das BDSG als das bislang zentrale deutsche Datenschutzgesetz gilt als gründlich durchdachte, ausgefeilte und selbst im europäischen Vergleich überdurchschnittlich strenge Regelung. Auf diese Weise haben deutsche Strukturen das datenschutzrechtliche Verständnis auch über die deutschen Grenzen hinaus maßgeblich geprägt. Besonders im Datenschutzrecht wird sich daher immer wieder die Frage stellen, ob und inwieweit ein deutscher Einfluss auf die Grundverordnung oder die Argumentationsweise des EuGH erkennbar ist und inwieweit das die Heranziehung von deutscher Rechtsprechung und Literatur rechtfertigt. Die persönlichkeitsrechtliche Ausprägung des informationellen Selbstbestimmungsrechts fand in den Verhandlungen zur Ausarbeitung der GRC zwar Erwähnung, diese Argumentation wurde jedoch letztlich nicht in die Erläuterungen zur Charta auf­

370 Abgeleitet aus Art. 4 Abs. 3 EUV, dazu näher bei Oberwexer, in: Groeben/Schwarze/ Hatje (Hrsg.), EU-Recht, Art. 4 EUV, Rdnr. 112–115. 371 Zu den Einzelheiten der Aufrechterhaltung einzelner Bestimmungen der §§ 28 und 29 BDSG bei Kühling/Martini/Heberlein/Kühl/Nink/Weinzierl/Wenzel, Die DSGVO und das nationale Recht, S. 429–439; 445–447. 372 EuGH, Urt. v. 17.12.1980 – C-149/79 (Rdnr. 19); EuGH, Urt. v. 28.10.1982 – C-135/81 (Rdnr. 10); Gaitanides, in: Groeben/Schwarze/Hatje (Hrsg.), EU-Recht, Art. 19 EUV, Rdnr. 43; EuGH, Urt. v. 22.11.1977  – C-43/77 (Rdnr. 15–28); EuGH, Urt. v. 26.05.1981  – C-157/80 (Rdnr. 11); EuGH, Urt. v. 18.05.1982 – C-115/81, C-116/81 (Rdnr. 5–9). 373 Ähnlich auch Bodenschatz, Der europäische Datenschutzstandard, S. 226. 374 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 ff.

130

C. Instrumente des Interessenausgleichs

genommen375 und spiegelt sich auch nicht unmittelbar im Wortlaut376 des Gesetzestextes. Auch Gesetzestext und Materialien zur DS-GVO beziehen sich zumindest nicht ausdrücklich auf deutsche Datenschutzrechtsprinzipien oder das insofern für das deutsche Datenschutzrecht kennzeichnende informationelle Selbstbestimmungsrecht. Die Aufdeckung von Parallelen in Systematik und Wortlaut ist zwar grundsätzlich nicht ausgeschlossen, eine konkrete Einflussnahme des deutschen allgemeinen Persönlichkeitsrechts nachzuweisen, würde jedoch das Vorhandensein umfangreicher Parallelen voraussetzen.377 Eine mittelbare Einflussnahme lässt sich allenfalls aus dem Hinweis in Erwgr. 9 DS-GVO konstruieren, worin die Ziele der DS-RL bekräftigt und der Erlass der DS-GVO allein mit der Zersplitterung und dem daraus resultierenden unterschiedlichen Schutzniveau der mitgliedstaatlichen Umsetzungskonzepte begründet wird. Die DS-RL hatte sich nämlich in ihren Erwgr. 10 und 11 auf das bereits in den Mitgliedstaaten bestehende Schutzniveau bezogen und eine Absenkung desselben ausgeschlossen, was mittelbar auch eine Inkorporation vorhandener (Grund-)Rechtsgarantien beinhaltet. Bei dem vorliegenden Sonderfall des Übergangs von einer Richtlinie zu einer Verordnung könnte außerdem überlegt werden, die bisherigen Umsetzungsvarianten der Mitgliedstaaten als vom Verordnungsgeber aufgegriffen zu betrachten, soweit der Wortlaut der Richtlinie in die Verordnung übernommen wurde. Allerdings kann bei dieser Auslegungsmethode nicht die Sicht eines einzelnen Mitgliedstaates ausschlaggebend sein. Erst wenn ein Vergleich korrespondierender Vorschriften ergibt, dass alle oder zumindest eine große Mehrheit der Mitgliedstaaten einen ähnlichen Ansatz bei der Umsetzung einer bestimmten Klausel der Richtlinie verfolgt hatten und diese Klausel wortgleich in die Grundverordnung übernommen wurde, lässt sich ein entsprechender Wille des Gesetzgebers, bislang etablierte Ausgestaltungen beizubehalten, daraus ableiten. Daneben sind bei der Auslegung unbestimmter Rechtsbegriffe und insbesondere von Grundrechten aus der GRC stets die gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten zu beachten (Art. 52 Abs. 4).378 Vielfach hat der EuGH dementsprechend bei der Ausgestaltung von Grundrechten auf der europäischen 375

ABl. EU Nr. C 303 v. 14.12.2007, S. 20. Zusätzlich bezugnehmend auf die zugehörigen Protokolle: Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 91. 376 Anders aber z. B. für die Menschenwürde, die wortlautgleich von der Charta und dem Grundgesetz garantiert werde, weshalb auch eine inhaltliche Deckungsgleichheit der Garantien unterstellt werden könne: Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 95. 377 Allgemein zur Problematik derartiger Nachweise: Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 94–95. 378 Zur Einflussnahme der mitgliedstaatlichen Rechtsordnungen auf die Herausbildung und Ergänzung allgemeiner Rechtsgrundsätze des Unionsrechts abseits von und vor Art. 52 Abs. 4 GRC vgl. Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 234–241.

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

131

Ebene bereits auf von den Mitgliedstaaten anerkannte grundrechtliche Gewährleistungen, u. a. im Zusammenhang mit den Rechten auf Privatsphäre379 und Datenschutz380, zurückgegriffen.381 Das BVerfG hat in der Vergangenheit mehrfach deutlich gemacht, dass es sich in die Auslegung europäischer Vorschriften nicht einmischen wird, solange Grundrechtsstandards in einem ausreichenden Maße aufrechterhalten werden. Während es zunächst noch einen dem Grundgesetz „adäquat[en]“ Grundrechtsschutz auf europäischer Ebene forderte und sich grundsätzlich für eine Beurteilung möglicher Kollisionen europäischen Rechts mit der deutschen Verfassung für zuständig hielt,382 verlangte es in den nachfolgenden Entscheidungen lediglich die generelle Gewährleistung eines „wirksamen Schutz[es] der Grundrechte […], der dem vom Grundgesetz als unabdingbar gebotenen Grundrechtsschutz im wesentlichen gleichzuachten ist“383. Es ist nicht nur die Rede von einem „Kooperationsverhältnis“384, der EuGH differenziert die Zuständigkeiten sogar ausdrücklich aus: „Soweit im Übrigen die Normsetzung zwingend dem Gemeinschaftsrecht folgt, ist sie ebenso wie das sekundäre Gemeinschaftsrecht selbst nicht am Maßstab der deutschen Grundrechte durch das Bundesverfassungsgericht zu prüfen, sondern unterliegt dem auf Gemeinschaftsrechtsebene gewährleisteten Grundrechtsschutz.“385 Jüngst hat das BVerfG jedoch festgestellt, dass der grundsätzlich anerkannte Anwendungsvorrang des Unionsrechts nur gelten könne, soweit „das Grundgesetz und das Zustimmungsgesetz die Übertragung von Hoheitsrechten erlauben oder vorsehen“386. Bezugnehmend auf die in Art. 4 Abs. 2 EUV angelegte Achtung der nationalen Identität der Mitgliedstaaten387 sieht es eine der absoluten Grenzen für die Öffnung deutscher Staatlichkeit in „der in Art. 79 Abs. 3 GG

379

EuGH, Urt. v. 12.11.1969  – C-29/69 (Rdnr. 7); dazu auch Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 29–30. 380 EuGH, Urt. v. 14.09.2000 – C-369/98 (Rdnr. 34); dazu auch Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 30. 381 Allgemein zur Vorgehensweise des EuGH bei der Ausgestaltung von Grundrechten unter Heranziehung mitgliedstaatlicher Grundrechtsgarantien: Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 22–46. 382 BVerfG, Beschl. v. 29.05.1974 – BvL 52/71, BVerfGE, 37, 271 (285). 383 BVerfG, Beschl. v. 22.10.1986 – 2 BvR 197/83, BVerfGE 73, 339 (387); ähnlich auch: BVerfG, Beschl. v. 07.06.2000 – 2 BvL 1/97, BVerfGE, 102, 147 (161). 384 BVerfG, Urt. v. 12.10.1993 – 2 BvR 2134/92, 2 BvR 2159/92, BVerfGE, 89, 155 (178). 385 BVerfG, Beschl. v. 09.01.2001 – 1 BvR 1036/99, NJW 2001, 1267 (1268). 386 BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1150); bereits zuvor zu Aspekten der Verfassungsidentität: BVerfG, Urt. v. 30.06.2009 – 2 BvE 2/08, 2 BvE 5/08, 2 BvR 1010, 2 BvR 1022, 2 BvR 1259/08, 2 BvR 182/09, BVerfGE, 123, 267; dazu unter Bezugnahme auf das Gesetzgebungsvorhaben der europäischen Datenschutzgrundverordnung: Lewinski, DuD 2012, 564 (568–569). 387 BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1151).

132

C. Instrumente des Interessenausgleichs

niedergelegten Verfassungsidentität des Grundgesetzes“388. Der Anwendungsvorrang des Unionsrechts werde dementsprechend „im Wesentlichen durch die in Art. 23 Abs. 1 Satz 3 in Verbindung mit Art. 79 Abs. 3 GG verfassungsänderungs- und integrationsfest ausgestaltete Verfassungsidentität des Grundgesetzes begrenzt“, deren Kontrolle dem Bundesverfassungsgericht obliege.389 Daraus folge, dass die vom Grundgesetz aufgestellten Grenzen offener Staatlichkeit überschritten werden, wenn „Maßnahmen eines Organs oder einer sonstigen Stelle der Europäischen Union Auswirkungen zeitigen, die die durch Art. 79 Abs. 3 GG in Verbindung mit den in Art. 1 und 20 GG niedergelegten Grundsätzen geschützte Verfassungsidentität berühren“.390 Dies ist nach Ansicht des Bundesverfassungsgerichts der Fall, wenn „die durch Art. 79 Abs. 3 GG für unantastbar erklärten Grundsätze durch eine Maßnahme der Europäischen Union berührt werden“391. Das Gericht betont ausdrücklich, dass ein Konflikt mit der Verfassungsidentität dazu führen könne, dass „in eng begrenzten Einzelfällen“ Unionsrecht für unanwendbar erklärt werden müsse.392 Im Ergebnis bedeutet dies, dass das Bundesverfassungsgericht sich bei aller Zurückhaltung393 durchaus berufen fühlt, im Rahmen der bislang nicht gänzlich aufgegebenen394 Letztentscheidungskompetenz europäische Rechtsakte an deutschem Verfassungsrecht zu messen, sofern es das Sozialstaatsprinzip oder das Demokratieprinzip (Art. 20 Abs. 1 i. V. m. Art. 79 Abs. 3 GG), die Menschenwürde oder den Menschenwürdekern einzelner Grundrechte (Art. 1 Abs. 1 i. V. m. Art. 79 Abs.  3 GG) für verletzt hält. Eine solche Verletzung des Menschenwürdekerns liegt bei den u. a. aus Art. 1 Abs. 1 GG abgeleiteten Grundrechten auf informationelle Selbstbestimmung und Integrität und Vertraulichkeit informationstechnischer Systeme naturgemäß besonders nahe. Sofern eine Inkorporation dieser deutschen Grundrechtsgarantien bei der Auslegung europäischer Vorschriften aufgrund entsprechender Verweise durch die Normtexte selbst oder im Rahmen der gemeinsamen Verfassungsüberlieferungen vorgenommen wird, beugt dies zwar entsprechenden Konflikten effektiv vor, es verbleibt aber dennoch ein Defizit bei der Durchsetzung der Achtung dieser Garantien, weil im europäischen Verfahrensrecht eine der deutschen Verfassungsbeschwerde (Art. 92 Abs. 1 Nr. 4a GG 388

BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1150). BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1150–1151); in diese Richtung zuvor bereits Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 244. 390 BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1151). 391 BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1151). 392 BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14, NJW 2016, 1149 (1151); kritisch im Hinblick auf den durch die Achtung der nationalen Identität garantierten Schutzumfang: Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 244. 393 Krewet, Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung, S. 136, spricht gar von „Skepsis“. 394 Grimm, JZ 2013, 585 (589). 389

IV. Exkurs: Interessenausgleich im deutschen Datenschutzrecht 

133

i. V. m. §§ 13 Nr. 8a, 90 ff. BVerfGG) gleichwertige, unmittelbare und auf die Verletzung von Grundrechten gerichtete Klagemöglichkeit für Bürger vor dem EuGH (noch) nicht besteht.395 Auch dieser Mangel der Durchsetzbarkeit könnte für das BVerfG zukünftig ein wesentliches Argument darstellen, um einen möglichen Gebrauch der Letztentscheidungskompetenz beim Auftreten wesentlicher Wertungsunterschiede zu rechtfertigen. 5. Zwischenergebnis: Instrumente des Interessenausgleichs im deutschen Datenschutzrecht Auch das deutsche Datenschutzrecht definiert für den Interessenausgleich zu berücksichtigende ‚Belange‘ (□), eröffnet unterschiedlich weite Abwägungsspielräume durch ‚Ausgleichsmechanismen‘ (△) und gibt Bewertungen und Gewichtungen im Zusammenhang mit der Einschlägigkeit verschiedener Kriterien (○) vor. Dabei ähneln die Grundstrukturen der ‚Ausgleichsmechanik‘ jenen des europäischen Rechts. Abweichungen finden sich allerdings in den Details der Ausgestaltung der grundrechtlich geschützten Belange (anstatt eines Grundrechts auf Datenschutz kennt das deutsche Recht etwa ein informationelles Selbstbestimmungsrecht und noch spezifischer ein sogenanntes IT-Grundrecht), der Abwägungsmechanismen (das deutsche Datenschutzrecht kennt eine weitaus detailliertere Abstufung bei den Abwägungsspielräumen in Verbindung mit ausdrücklich angeordneten Interessenabwägungen) und der für die Abwägung heranzuziehenden Kriterien (das deutsche Datenschutzrecht verwendet etwa die Kriterien der Datenverarbeitung für eigene Zwecke und für geschäftsmäßige Zwecke der Übermittlung, welche dem europäischen Recht fremd sind). Dadurch entstehende Wertungsabweichungen unterliegen zunächst dem Anwendungsvorrang des Unionsrechts, können aber, sofern ihr bestimmender Einfluss auf den Unionsrechtsrahmen nachgewiesen werden kann oder sie als Bestandteil der Verfassungsüberlieferungen der Mitgliedstaaten gelten, mittelbar bei der Auslegung von Grundrechtsgehalten zur Geltung kommen. Darüber hinaus ist eine Heranziehung nationaler Wertungen durch das Bundesverfassungsgericht, sofern dieses in der Anwendung von Unionsrecht eine Verletzung der nationalen Verfassungsidentität erblickt, zumindest nicht gänzlich ausgeschlossen.

395

Siehe auch unter C. II. 1. f) ff), dort insbesondere Fn. 89.

134

C. Instrumente des Interessenausgleichs

V. Ergebnisse, Einordnung und Stellungnahme 1. Instrumente des Interessenausgleichs a) Belange, Mechanismen, Kriterien Die Untersuchung zeigt, dass das europäische Datenschutzrecht zahlreiche und teilweise auf datenschutzrechtliche Zusammenhänge spezialisierte ‚Werkzeuge‘ kennt, deren Funktionsweise darauf abzielt, für die Herstellung des Interessenausgleichs zusammenzuwirken. Dabei ergeben sich die zu berücksichtigenden ‚Belange‘ (□) im Datenschutzrecht zunächst unmittelbar auf der Primärrechtsebene – Grundrechte und Grundfreiheiten, aber auch öffentliche Interessen können miteinander in Konflikt stehen. Das Sekundärrecht bezieht sich ebenfalls auf die primärrechtlichen Belange, lässt jedoch an verschiedenen Stellen auch faktische Interessen gelten. EuGH und EGMR hatten sich in der Vergangenheit regelmäßig mit Konflikten zwischen den von Privaten geltend gemachten Grund- oder Menschenrechten und den auf Seiten der Staatsmacht streitenden öffentlichen Interessen zu befassen – der Ausgleich zwischen den widerstreitenden Rechten Privater blieb dagegen bislang die Ausnahme. Spielraum für den datenschutzrechtlichen Ausgleich widerstreitender Interessen ist auf der Ebene der Grundrechte durch den allgemeinen Verhältnismäßigkeitsgrundsatz angelegt. Auch auf der sekundären Ebene des europäischen Datenschutzrechts finden sich zahlreiche ‚Mechanismen‘ (△, vgl. auch die Übersicht in Tabelle 2, S. 42), die als Einbruchsstellen für den Interessenausgleich dienen. Unbestimmte Begriffe, Erforderlichkeitsklauseln, ausdrückliche Interessenabwägungsklauseln, dem europäischen oder nationalen Gesetzgeber überlassene Ausgestaltungsspielräume sowie dem Datensubjekt überlassene Freiräume der Selbstbestimmung schaffen dabei unterschiedlich weite Ausgleichsspielräume, die es generell gestatten, verschiedenste Belange und Kriterien zu berücksichtigen. Andere Ausgleichsmechanismen – Rechte und Pflichten der Beteiligten, technische und organisatorische Maßnahmen, Standardisierung und einheitliche Anwendung, Darlegungs-, Beweis-, Nachweis und Dokumentationspflichten, Vorschriften zur Durchsetzung und Überwachung – zielen dagegen bereits auf bestimmte, datenschutzrechtsspezifische Aspekte des Interessenausgleichs, etwa den Ausgleich struktureller und informationeller Ungleichheiten. Die Rechtsprechung nutzt sowohl den Verhältnismäßigkeitsgrundsatz als auch sekundärrechtlich verankerte Mechanismen, um auf den Ausgleich der widerstreitenden Rechte und Interessen zu rekurrieren (vgl. die Übersicht in Tabelle 3, S. 44). Im Schrifttum fällt die Bewertung der Ausgleichsmechanismen dagegen vielfach kritisch aus: Es würden zu weite Abwägungsspielräume eröffnet und somit Missbrauchsgefahren und Rechtsunsicherheit geschaffen. Konkrete ‚Kriterien‘ (○) der Abwägung und zugehörige Wertungen finden sich auf der Grundrechtsebene nicht. Für den Ausgleich anhand der Anwendung des weiten Mechanismus des Verhältnismäßigkeitsgrundsatzes auf der Grundrechts-

V. Ergebnisse, Einordnung und Stellungnahme 

135

ebene können einfachgesetzliche Kriterien auch zumindest nicht unmittelbar herangezogen werden. Die durch die Gerichte im Zusammenhang mit dem Grundrechtsausgleich entwickelten Kriterien (Übersicht in Tabelle 5, S. 67) decken sich aber dennoch weitreichend mit jenen, die das europäische Sekundärrecht implementiert (Übersicht in Tabelle 4, S.  61). Dieses lässt Wertungen des Gesetzgebers in verschiedener Hinsicht deutlich erkennen – sichtbar wird eine Gewichtung etwa, wenn ein bestimmter Zweck oder äußerer Zusammenhang mit der Voraussetzung der Erforderlichkeit kombiniert wird. Insbesondere bestehen Abstufungen zwischen verschiedenen Datenkategorien und Verarbeitungsarten mit unterschiedlichem Gefährdungspotenzial. Dabei geht aus zahlreichen Bestimmungen hervor, dass für Datenverarbeitungen vom Verordnungsgeber eine restriktivere Handhabung vorgesehen ist, je stärker sie aufgrund der Art der verarbeiteten Daten oder der Art und Weise der Verarbeitung besonders risikointensiv oder gefährdungslastig sind. Daneben konkretisiert der Gesetzgeber den Interessenausgleich im Rahmen von Datenverarbeitungen anhand des Verhältnisses zwischen Betroffenem und Datenverarbeiter und erkennt dabei umfangreich das Recht des Datensubjekts auf die Ausübung informationeller Selbstbestimmung sowie das Recht beider Beteiligter auf die Ausübung der Vertragsfreiheit an. Zugleich sorgen besonders anspruchsvoll ausgestaltete Voraussetzungen jedoch dafür, dass eine autonome und selbstbestimmte Willensbetätigung des Betroffenen sichergestellt ist. Der Verordnungsgeber trägt durch den Einsatz entsprechender Kriterien den gesellschaftlichen und rechtlichen Bezügen der Datenverarbeitung und der Position des Datenschutzes im Grundrechtsgefüge Rechnung. Auffällig häufig nennt der Verordnungsgeber dabei Rechte oder Interessen, die anerkannt werden sollen, jedoch lediglich kursorisch, ohne eine konkrete Wertung zu bestimmen, und überlässt die weitere Ausgestaltung des Interessenausgleichs dem europäischen oder nationalen Gesetzgeber oder dem Rechtsanwender. Europäische Gerichte erkennen gleichermaßen an, dass Datenschutzbelangen kein absoluter Vorrang einzuräumen ist, sondern dass sie mit den übrigen betroffenen Rechten, Belangen oder Interessen in Ausgleich zu bringen sind. Die Gerichte haben für diese Abwägung auf grundrechtlicher und einfachgesetzlicher Ebene diverse Kriterien und Argumente erarbeitet, die bei der Gewichtung von Interessen und für die Rechtfertigung von Eingriffen herangezogen werden. Die Wertungskriterien sind vielfältig, lassen sich aber überwiegend entsprechend ihrer Wirkung auf den Interessenausgleich den Kategorien ‚Tiefe des Eingriffs‘ (insbesondere Art der verarbeiteten Daten im Hinblick auf den Grad der Sensibilität oder Persönlichkeitsrelevanz und Art und Weise der Datenverarbeitung), ‚Breite des Eingriffs‘ (insbesondere Anzahl der Betroffenen und Masse der verarbeiteten Daten), ‚Auswirkungen für Betroffene‘ sowie ‚zeitliche Aspekte‘ zuordnen. Trotz dieses ausdifferenzierten Kriterienkatalogs machten die höchsten europäischen Gerichte in der Vergangenheit nur selten konkrete Aussagen zur Gewichtung und Abwägung von Rechten oder Interessen, und überließen es häufig den Rechtsprechungsorganen der Mitgliedstaaten, einen entsprechenden Ausgleich zu schaffen.

136

C. Instrumente des Interessenausgleichs

Das Schrifttum steht der Zurückhaltung von EuGH und EGMR bei der Festlegung konkreter Wertungen uneinheitlich gegenüber – sie wird mit Blick auf die Verfassungsidentität der europäischen Staaten einerseits befürwortet, andererseits wegen der Gefährdung des einheitlichen Binnenraumes kritisiert. Während die Art. 29-DSGr. für die Anwendung der allgemeinen Interessenabwägungsklausel mit der Entwicklung eines mehrstufigen Verfahrens einen pragmatischen Ansatz verfolgt, der womöglich sogar auf andere Abwägungsanlässe im Datenschutzrecht übertragbar wäre, werden anderenorts die mangelnde Praktikabilität und mit der allgemeinen Interessenabwägungsklausel einhergehende Rechtsunsicherheit kritisiert. Obwohl die Details datenschutzrechtlicher Abwägungsfragen hinsichtlich des europäischen Rechts eher spärlich adressiert werden, hat die zeitliche Komponente der Abwägung, d. h. die Veränderung von Abwägungsparametern durch Zeitablauf, überdurchschnittlich große Aufmerksamkeit erregt. Während das europäische Grundrecht auf Datenschutz in Art.  8 GRC den geradlinigen Ansatz von Geboten, Verboten und Verfahrensgarantien verfolgt, orientiert sich die auf nationaler Ebene einschlägige Ausfaltung des deutschen allgemeinen Persönlichkeitsrechts (das Grundrecht auf informationelle Selbst­ bestimmung, Art.  2 Abs.  1 i. V. m. Art.  1 Abs.  1 GG) hauptsächlich am zentral vom Datensubjekt und seiner Persönlichkeit ausgehenden Konzept der Selbstbestimmung. Die grundrechtlichen Ausgestaltungen kennzeichnen sich damit zunächst durch eine grundlegend unterschiedliche Ausrichtung, die aber zum Teil durch die Geltung von Art. 7 GRC entschärft wird, der das Konzept der Selbstbestimmung in seinem Schutzbereich aufgreift. Dagegen weist das einfachgesetzliche System des deutschen Datenschutzrechts hinsichtlich der Mechanismen und Kriterien deutliche Parallelen zum europäischen Recht auf. Allerdings trifft es zusätzliche wertende Unterscheidungen, die das europäische Recht nicht kennt. Eine wichtige unter ihnen ist die Unterscheidung zwischen der Datenverarbeitung für eigene Geschäftszwecke und der geschäftsmäßigen Verarbeitung zum Zwecke der Übermittlung. Das BVerfG hat zudem bislang noch deutlicher als die europäischen Gerichte auf die durch die automatisierte Datenverarbeitung und Vernetzung entstandenen Risiken und auf die Gefahr einer Bildung teilweiser oder umfassender Persönlichkeitsprofile als wesentliches Risiko für Betroffene Bezug genommen.

b) Kombinierbarkeit und Kumulation Zahlreiche Abwägungsbelange (□) sind so angelegt, dass ihre Berücksichtigung von Anfang an für den gesamten Anwendungsbereich der DS-GVO eingefordert wird. So verdeutlicht etwa die Aufzählung von auszugleichenden Rechtspositionen und Interessen in Erwgr. 4 DS-GVO, die sich auf die Verordnung im Ganzen bezieht, dass diese Belange in jedem von der Verordnung erfassten Sachverhalt zu berücksichtigen sind, soweit sie jeweils einschlägig sind.

V. Ergebnisse, Einordnung und Stellungnahme 

137

Dagegen sind gesetzlich definierte Kriterien (○) regelmäßig zunächst fest mit einem bestimmten Abwägungsmechanismus (△) verbunden. So ist beispielsweise das Kriterium des Vorliegens eines Vertragsverhältnisses in der DS-GVO formal an den Mechanismus der Erforderlichkeit gebunden (Art.  6 Abs.  1 Satz  1 lit.  b DS-GVO), besonders risikolastige Datenverarbeitungen stehen im Zusammenhang mit der Pflicht zur Durchführung einer Risikoanalyse (Art. 35 Abs. 1 Satz 1 DS-GVO) und Art, Umfang und Zwecke der Verarbeitung sind mit der Pflicht zur Ergreifung entsprechender technischer und organisatorischer Maßnahmen verknüpft (Art. 32 Abs. 1 DS-GVO). Aus verschiedenen Gründen kann sich jedoch für den konkreten Anwendungsfall eine Wirkung dieser Kriterien und Belange über den mit ihnen verbundenen Mechanismus hinaus ergeben. Eine mögliche Begründung für das Aufgreifen eines Kriteriums abseits derjenigen Normen, für die der Verordnungsgeber es geschaffen hat, kann in der Systematik und der Zweckbestimmung der DS-GVO liegen: So ist etwa aufgrund der Ausgestaltung der Erlaubnistatbestände in Art. 6 Abs. 1 Satz 1 DS-GVO als gleichwertige Alternativen396, welche einander lediglich hinsichtlich der Spezialität für bestimmte Sachverhalte vorgehen, das Scheitern der Rechtfertigung einer Datenverarbeitung auf der Grundlage eines Vertrages bei der Anwendung der allgemeinen Interessenabwägungsklausel auf eben jenen Sachverhalt implizit zu berücksichtigen; andernfalls könnten die spezifischen Anforderungen von Art. 6 Abs. 1 Satz 1 lit. b DS-GVO durch Art. 6 Abs. 1 Satz 1 lit. f DS-GVO unterwandert oder ganz ausgehebelt werden. Gleichermaßen sind die Voraussetzungen für eine wirksame Einwilligungserklärung nach Art. 6 Abs. 1 Satz 1 lit. a DS-GVO bei der Beurteilung der Rechtfertigung von Datenverarbeitungen auf der Grundlage eines Vertrages mit zu berücksichtigen, soweit ansonsten die Anforderungen aus Art. 6 Abs. 1 Satz 1 lit. a DS-GVO ins Leere liefen, was ihrem Zweck und damit der gesetzgeberischen Intention widersprechen würde. Eine Veröffentlichung von Daten durch den Betroffenen (oder die öffentliche Zugänglichkeit von Daten als abgeschwächte Variante des Kriteriums, die aus dem BDSG bekannt ist) muss erst recht auf die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO bei der Verarbeitung nicht der Definition von Art. 9 Abs. 1 DS-GVO unterfallender Datenkategorien Einfluss nehmen, da mit diesem Kriterium die Wertung verbunden ist, dass sogar sensible Daten jeweils verarbeitet werden dürfen. Nicht sensible Daten jedoch an einem strengeren Maßstab zu messen als sensible Daten, würde der Grundsystematik und dem Schutzkonzept der DS-GVO widersprechen. Viele der gesetzlich implementierten Kriterien werden daher von Literatur und Rechtsprechung zusätzlich auch über die bestehenden festen Verbindungen hinaus aufgegriffen, um den Ausgleich der Interessen im Einzelfall zu bewältigen.

396 Ebenso zur Vorgängerregelung des Art. 7 DS-RL: Art. 29-Datenschutzgruppe, WP 217, S. 10.

138

C. Instrumente des Interessenausgleichs

Eine weitere Möglichkeit, Kriterien und Wertungen zu abstrahieren und über den von der Verordnung konkret vorgesehenen Bereich hinaus anzuwenden, ist der Rückbezug auf die Grundrechtsebene im Rahmen einer grundrechtskonformen Auslegung. Eine unmittelbare Heranziehung der vom Gesetzgeber auf sekundärrechtlicher Ebene verwendeten Wertungskriterien führt bei einem Rückbezug auf Grundrechte allerdings dazu, dass im Ergebnis die Kollision von europäischen Grundrechten durch Sekundärrecht näher bestimmt wird. Dem steht entgegen, dass der Schutzbereich europäischer Grundrechte durch autonome Auslegung zu ermitteln ist.397 Der EuGH hat diese Problematik im Zusammenhang mit der Auslegung von Art. 8 GRC durch einen Rückgriff auf Art. 8 EMRK und die zugehörige Rechtsprechung des EGMR zu beheben versucht.398 Ein unmittelbarer Widerspruch zur Regelungssystematik des europäischen Rechts lässt sich aber vermeiden, wenn die im Sekundärrecht angelegten Kriterien lediglich als Richtschnur für die Ermittlung von Besonderheiten der Kollisionssituation, nicht aber als absolut bindend für die Auslegung behandelt werden, soweit auf Grundrechte und deren Kollision rekurriert wird. Wo mehrere Kriterien auf einen Sachverhalt im Zusammenhang mit einem Ausgleichsmechanismus anwendbar sind, können Häufungen und auch Wechselwirkungen zwischen ihnen den Interessenausgleich beeinflussen. Beispielsweise ist die Verarbeitung besonders sensibler Daten von Kindern anders zu behandeln als die Verarbeitung besonders sensibler Daten im Allgemeinen oder die Verarbeitung von Daten von Kindern im Allgemeinen (Häufung vs. einzelne Betrachtung der Kriterien); werden demgegenüber z. B. besonders viele Daten verarbeitet und gespeichert, wirkt sich dies mittelbar auf die Wahrscheinlichkeit aus, mit der der Verarbeiter alle nötigen Zusatzinformationen zur Herstellung des Personenbezuges besitzt (Wechselwirkung zwischen Kriterien). Wie das Zusammenspiel, Häufungen und Wechselwirkungen der Kriterien argumentativ verarbeitet werden, hängt auch im Datenschutzrecht wesentlich von der vom Rechtsanwender eingesetzten Strategie ab – denkbar ist grundsätzlich sowohl die logisch-mathematische Erarbeitung des Abwägungsgleichgewichts als auch eine verbal-argumentative Herangehensweise bzw. eine Kombination beider Methoden.399

397 EuGH, Urt. v. 17.12.1980 – C-149/79 (Rdnr. 19); EuGH, Urt. v. 28.10.1982 – C-135/81 (Rdnr. 10); Gaitanides, in: Groeben/Schwarze/Hatje (Hrsg.), EU-Recht, Art. 19 EUV, Rdnr. 43; EuGH, Urt. v. 22.11.1977  – C-43/77 (Rdnr. 15–28); EuGH, Urt. v. 26.05.1981  – C-157/80 (Rdnr. 11); EuGH, Urt. v. 18.05.1982 – C-115/81, C-116/81 (Rdnr. 5–9). 398 Dazu Siemen, Datenschutz als europäisches Grundrecht, S. 264–265. 399 Dazu unter B. III. 1. und B. III. 2.

V. Ergebnisse, Einordnung und Stellungnahme 

139

c) Wirkweise und Stoßrichtung der Ausgleichsinstrumente Die vom Gesetzgeber implementierten Ausgleichsinstrumente sind allesamt darauf gerichtet, den Interessen der Beteiligten in ausgleichender Weise Rechnung zu tragen. Durch weite Mechanismen wie Interessenabwägungs- oder Erforderlichkeitsklauseln wird die Einbeziehung möglichst aller Interessen und Beteiligten anvisiert; auch auslegungsfähige Begriffe eröffnen beachtliche Spielräume für die Berücksichtigung von Interessen und ihren Trägern. Zugleich lassen datenschutzspezifische Mechanismen, die auf einen Ausgleich informationeller oder struktureller Schieflagen sowie auf eine risikoadäquate Handhabung technischer und organisatorischer Aspekte der Datenverarbeitung zielen, erkennen, dass der Verordnungsgeber diese  – datenschutzrechtlichen Sachverhalten regelmäßig inhärenten – Interessenlagen ausdrücklich adressieren will. Auch die eingesetzten Kriterien und damit verknüpften Wertungen zielen darauf ab, wesentliche Besonderheiten der Interessenlage, die sich aus der Art der verarbeiteten Daten oder der Betroffenen, der Art und Weise der Verarbeitung, dem Verhältnis zwischen den Beteiligten, zu erwartenden Auswirkungen, Zeitablauf oder gesellschaftlichen und rechtlichen Implikationen ergeben, interessengerecht zu berücksichtigen. 2. Anwendung durch Akteure des Interessenausgleichs Es verbleibt noch zu klären, welchen Akteuren jeweils die Herstellung des Interessenausgleichs im Datenschutzrecht obliegt. Hierfür enthält die DS-GVO zunächst Öffnungen, die eine weitere Ausgestaltung des verhältnismäßigen Interessenausgleichs per Gesetzgebung durch Mitgliedstaaten oder die Union optional gestatten oder obligatorisch einfordern (vgl. etwa Art. 23, Art. 85, Art. 88, Art. 89 Abs.  3 DS-GVO). In diesen Fällen obliegt die Definition zu berücksichtigender Belange und die Schaffung entsprechend weiterer Abwägungsinstrumente im jeweils zugestandenen Umfang400 den zuständigen Gesetzgebungsorganen. In begrenztem Umfang kann außerdem die Kommission mittels eines Erlasses delegierter Rechtsakte die Ausgestaltung des Interessenausgleichs beeinflussen (Art. 92 DS-GVO). Einen wesentlichen Beitrag zur Anwendung und Konkretisierung des Interessenausgleichs leisten die Aufsichtsbehörden. Sie sind u. a. beauftragt und befugt, die näheren Voraussetzungen für Datenschutzfolgenabschätzungen (Art. 57 Abs. 1 400 Der Spielraum bei der Ausgestaltung des Interessenausgleichs im Rahmen von Öffnungsklauseln variiert dabei deutlich: Während etwa für die Ausgestaltung des Ausgleichs zwischen Meinungs- und Informationsfreiheitsrechten und Datenschutzbelangen ausdrück­ lich Abweichungen vom Schutzkonzept der DS-GVO gestattet sind, sollen die Ausgestaltungen zum Arbeitnehmerdatenschutz auf eine Spezifizierung innerhalb des von der DS-GVO vorgegebenen Schutzniveaus beschränkt sein: Gola/Pötters/Thüsing, RDV 2016, 57 (58–59).

140

C. Instrumente des Interessenausgleichs

lit. k und l, Art. 58 Abs. 3 lit. a DS-GVO), Zertifizierungen (etwa Billigung der Zertifizierungskriterien, Akkreditierung von Zertifizierungsstellen, vgl. Art.  57 Abs. 1 lit. n, o, p und q, Art. 58 Abs. 3 lit. e und f DS-GVO), Verhaltensregeln (etwa Billigung von Verhaltensregeln und Akkreditierung von Stellen für die Überwachung und Einhaltung von Verhaltensregeln, vgl. Art. 57 Abs. 1 lit. m, p und q, Art.  58  Abs.  3 lit.  d DS-GVO), Drittlandübermittlungen (z. B. Festlegung von Standardvertragsklauseln und Genehmigung von Vertragsklauseln und verbindlichen internen Vorschriften, vgl. Art. 57 Abs. 1 lit. j, r und s, Art. 58 Abs. 3 lit. g, h und j DS-GVO) sowie Auftragsdatenverarbeitungsverhältnisse (Festlegung von Standardvertragsklauseln, vgl. Art 57 Abs. 1 lit. j, Art. 58 Abs. 3 lit. g DS-GVO) zu gestalten und allgemein die Einhaltung der Vorschriften der Verordnung zu überwachen und durchzusetzen. In dieser Gestaltung und Überwachung selbst, mithin in der Ausübung ihrer Aufgaben und Befugnisse durch die Aufsichts­behörden, liegt eine stetige Anwendung und weitere Ausgestaltung der Vorgaben des Verordnungsgebers für den Interessenausgleich. Vereinigungen, die Kategorien von Datenverarbeitern vertreten (insbesondere also Branchenverbände), können die von den Aufsichtsbehörden zu billigenden Verhaltensregeln ausarbeiten und auf diese Weise den Interessenausgleich mitgestalten – dabei können u. a. berechtigte Interessen des Verantwortlichen für bestimmte Zusammenhänge präziser festgelegt werden (Art.  40 Abs.  2 DS-GVO, dort insbes. lit. b). Auch der Datenschutzausschuss, dessen Aufgaben sich im Wesentlichen auf die Beratung der Kommission, die Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren sowie die Abgabe von Stellungnahmen zu unterschiedlichsten Aspekten der Verordnung richten (vgl. Art.  70 Abs.  1 DS-GVO), leistet im Rahmen dieser Tätigkeit die laufende Anwendung gesetzlicher Ausgleichsinstrumente sowie deren Präzisierung und Weiterentwicklung. Letztlich obliegt es jedoch in der Praxis zunächst dem Verantwortlichen selbst, seine datenverarbeitende Tätigkeit in das Regelungsregime der DS-GVO einzuordnen. Er hat also die relevanten Anwendbarkeitsvoraussetzungen heranzuziehen, um festzustellen, ob die Vorgaben der DS-GVO überhaupt greifen. Sodann hat er eine Rechtsgrundlage für die von ihm durchzuführende Verarbeitung aufzusuchen, was die Beurteilung der Erforderlichkeit seiner Tätigkeit, eine generelle Abwägung der Interessen und/oder weitere Begriffsauslegungen nach sich zieht. Für die Durchführung der Datenverarbeitung hat der Verantwortliche sodann die ihm vorgeschriebenen Pflichten zu erfüllen – wiederum obliegt es dabei zunächst ihm selbst, die relevanten Vorschriften zu interpretieren, etwa also technischorganisatorische Maßnahmen zu identifizieren und zu ergreifen, die ihm angemessen erscheinen, um das geschaffene Risiko für den Betroffenen aufzufangen, und entsprechende Informationen für den Betroffenen in einer dem Verarbeiter geeignet erscheinenden Weise und in einem seiner Ansicht nach ausreichendem Umfang bereitzustellen. Sämtliche explizit und implizit im materiellen Regelungsbereich

V. Ergebnisse, Einordnung und Stellungnahme 

141

der Verordnung angelegten Abwägungsvorgänge finden also zunächst ausschließlich beim und durch den Verantwortlichen statt. Überprüfungen des vom Verantwortlichen durchgeführten Interessenausgleichs sind zwar möglich – etwa im Falle eines Widerspruchs des Betroffenen gegen Verarbeitungen auf der Grundlage von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO (Art. 21 Abs.  1 Sätze  1 und 2 DS-GVO), bei von den Aufsichtsbehörden angestrengten Verfahren oder im Rahmen einer gerichtlichen Rechtsdurchsetzungsmaßnahme – diese sind aber zeitlich der vom Verantwortlichen vorgenommenen Abwägung der Belange und den von ihm auf der Grundlage dieser Abwägung durchgeführten Verarbeitungsmaßnahmen in aller Regel nachgelagert. Eine wichtige Durchbrechung dieses Prinzips stellt die Datenschutzfolgenabschätzung dar, welche den Verantwortlichen für besonders risikolastige Verarbeitungsvorhaben zur vorherigen Konsultation der Aufsichtsbehörde und damit zu einer Offenlegung und Rechtfertigung des Abwägungsvorganges und -ergebnisses zwingt und eine Beurteilung des Interessenausgleichs durch eine externe Stelle zulässt. Auch die Beurteilung der Anwendbarkeit dieser Sondervorschrift liegt allerdings – im Rahmen der Berücksichtigung gesetzlicher Vorgaben aus Art. 35 Abs. 1 Satz 1 und Abs. 3 DS-GVO und entsprechender Konkretisierungen durch die Aufsichtsbehörden nach Art. 35 Abs. 4 Satz 1, Art. 57 Abs. 1 lit. k DS-GVO – beim Verantwortlichen selbst („[…] ist der Verantwortliche der Auffassung […]“, Erwgr. 94 DS-GVO). Zuletzt wirkt auch der Betroffene an der Gestaltung und Überprüfung des Interessenausgleichs mit, etwa indem er Einwilligungen erteilt oder Verträge schließt, Rechte gegenüber dem Verantwortlichen geltend macht, aufsichtsbehördliche oder gerichtliche Verfahren anstrengt. 3. Stellungnahme Dass das Prinzip des Interessenausgleichs dem Datenschutzrecht inhärent sein muss, ist bereits aufgrund der in die dortigen Sachverhalte hineinwirkenden und miteinander kollidierenden Grundrechte evident. Aber auch unterhalb der Grundrechtsebene ist es sinnvoll und notwendig, die Interessen der Beteilig­ ten zum Ausgleich zu bringen, um eine Grundlage für die Integration datenverarbeitender Technologien und Geschäftskonzepte in Wirtschaft und Gesellschaft zu schaffen und zugleich die Gefährdung betroffener Individuen so weit als möglich zu begrenzen. Das vom Gesetzgeber entworfene Ausgleichssystem zeigt dabei dank einer umfassenden Berücksichtigung grundrechtlicher und faktischer Belange (□) sowie zahlreicher in die gesetzlichen Regelungen implementierter Abwägungsmechanismen (△) eine große Spannweite und Flexibilität. Beides ist angesichts der Vielzahl und Unterschiedlichkeit von Sachverhalten, die das europäische Datenschutzrecht erfassen soll, grundsätzlich zu begrüßen. Zugleich adressiert das Datenschutzrecht auch gezielt und spezifisch typische Problemfelder datenschutzrechtlicher Sachverhalte, indem es Mechanismen ins Werk setzt,

142

C. Instrumente des Interessenausgleichs

deren Funktionsweise unmittelbar auf den Ausgleich informationeller und struktureller Ungleichheiten zielt. Die Vielfältigkeit der für Abwägungsvorgänge zu berücksichtigenden Kriterien (○) erweckt den Eindruck, dass der datenschutzrechtliche Interessenausgleich äußerst detailliert aufgefächert und mit großer Sorgfalt durchgeführt werden kann. Die Tatsache, dass der Gesetzgeber viele Kriterien nicht lediglich als abwägungsrelevant kennzeichnet, sondern ihnen konkrete Wertungen für die Abwägung zuordnet, weist außerdem deutlich darauf hin, dass die Abwägung im Datenschutzrecht grundsätzlich kein Zufallsprodukt oder eine Einbruchstelle für Willkür darstellt, sondern dass im Gegenteil ihre Grundstrukturen vom Gesetzgeber umfangreich vorgezeichnet wurden, um einen rechtssicheren und grundrechtsschonenden Interessenausgleich zu schaffen. Die unter der DS-RL aufgeworfenen Praxisprobleme und die durchaus umfangreiche Rechtsprechung zu Fragen des Grundrechtsausgleichs im Datenschutzrecht lassen aber bereits vermuten, dass der in der Theorie recht griffig erscheinende ‚Werkzeugkasten‘ des datenschutzrechtlichen Interessenausgleichs in verschiedenen Konstellationen nicht so effektiv wirkt, wie vom Gesetzgeber vorgesehen. Ein weiterer an dieser Stelle bereits zu vermerkender Kritikpunkt ist die Frage danach, wem die datenschutzrechtlichen Ausgleichswerkzeuge sinnbildlich ‚in die Hand gegeben‘ werden, denn auch die Perspektive des Verwenders kann die Funktionalität von Ausgleichsinstrumenten beeinflussen. Wie bereits erörtert wurde, obliegt es in der Vielzahl der Fälle zunächst dem Datenverarbeiter, unter Heranziehung der zur Verfügung stehenden Ausgleichsinstrumente einen Interessenausgleich zu erarbeiten. Naheliegend ist also jedenfalls die Vermutung, dass der Datenverarbeiter die ihm zur Verfügung stehenden Instrumente so weit als möglich zu seinem Vorteil einsetzt und eventuell sogar missbraucht.

D. Instrumente des datenschutzrechtlichen Interessenausgleichs im Umfeld sozialer Netzwerke Nachfolgend sollen die zuvor in ihrer allgemeinen Funktionsweise und Wirkung für die Abwägung näher betrachteten Abwägungsinstrumente einer ‚Funktionsprüfung‘ für die Anwendung unter den im speziellen Kontext sozialer Netzwerke herrschenden Voraussetzungen unterzogen werden (Gliederungspunkt D. III.). Dies setzt allerdings zunächst die Definition und nähere Beschreibung der in Bezug genommenen Netzwerkumgebung (D. I.) und eine Untersuchung der dort vorherrschenden speziellen Bedingungen (D. II.) voraus.

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes 1. Begriffsdefinition: soziale Online-Netzwerke Die Klärung der Frage, was ein soziales Online-Netzwerk überhaupt ist und wie es sich charakterisieren lässt, erfordert sowohl eine im thematischen Kontext handhabbare Definition des Begriffes selbst als auch eine Abgrenzung zu ähnlichen Phänomenen. In der Netzwerkforschung bezeichnet das Netzwerk „[…] ein abgegrenztes Set von Knoten und ein Set der für diese Knoten definierten Kanten“1. Die Soziologie bedient sich der Netzwerkdarstellung, um Individuen, ihre Beziehungen und Interaktionen untereinander zu visualisieren.2 Es entsteht das soziale Netzwerk, dessen Knoten Individuen und dessen Kanten die Verbindungen zwischen ihnen in Form von Beziehungen sind.3 Beim sozialen Online-Netzwerk dagegen tritt die Struktur, innerhalb derer sowohl Knoten als auch Kanten bestehen, als webbasierte Benutzeroberfläche in Erscheinung. Diese stellt den im Web abrufbaren Teil der vom Netzwerkbetreiber zur Verfügung gestellten Anwendung dar. Knoten bedeuten in diesem Fall die Profile der Netzwerkteilnehmer; Kanten sind die Relationen zwischen diesen Profilen, also die Definition als ‚Freund‘ oder ‚Kontakt‘ sowie einzelne Interaktionen. Obwohl ‚Social Media‘, ‚Social Software‘, ‚Web 2.0‘ und ‚User Generated Content‘ im allgemeinen Sprachgebrauch überschneidend oder sogar synonym verwen 1

Jansen, Einführung in die Netzwerkanalyse, S. 13. Xu/Li/Zhang, Web Mining and Social Networking, S. 26. 3 Renz, Praktiken des Social Networking, S. 15. 2

144

D. Interessenausgleich im Umfeld sozialer Netzwerke

det werden, kennt die Medienforschung Unterschiede: Web 2.0 sei das Konzept und die Technik, auf deren Grundlage Social Media stattfindet, User Generated Content dagegen sei das Resultat einer umfassenden Nutzung von Social Media.4 Social Media sei ein Sammelbegriff für webbasierte Anwendungen auf der technologischen und ideologischen Grundlage des Web  2.0, die die Erzeugung und den Austausch von User Generated Content erst gestatten5 und ist insofern als Oberbegriff einzuordnen, in dessen Bedeutungsbereich u. a. soziale OnlineNetzwerke anzusiedeln sind. Während dabei die Bezeichnung Social Media das Augenmerk auf die Funktionen als Medium legt, betont Social Software die technische Konstruktion und Ausgestaltung, auf deren Basis Social Media erst funktionieren kann.6 Content Communitys wie YouTube7, Flickr8 oder Instagram9 erlauben es angemeldeten Nutzern, eigene Inhalte (hier Videos bzw. Bilder) ins Netz zu stellen. Andere Nutzer können diese Inhalte ansehen, kommentieren und bewerten. Wo ein Netzwerk auf die Übertragung ganzer Lebensbereiche auf eine Online-Plattform abzielt, entstehen virtuelle Welten. Diese können einer Fantasiewelt entsprechen (z. B. World of Warcraft10) oder mehr oder weniger realistisch die analoge Welt nachbilden (z. B. Second Life11). Soziale Online-Netzwerke im engeren Sinne sind dagegen hauptsächlich darauf ausgerichtet, dass ihre Nutzer Profile erstellen und Kontakte pflegen. Daneben bieten sie jedoch meist noch weitergehende Funktionen: Das Veröffentlichen von Statusnachrichten, Audio-, Foto- oder Videoinhalte sowie das Spielen von Online-Spielen sind nur einige davon. Damit vereinen sie viele Merkmale und Interaktionsmöglichkeiten in einer einzigen Erscheinungsform. Entsprechend ihrer Ausrichtung und Intention lassen sich Freundesnetzwerke, Karrierenetzwerke und Nachrichtennetzwerke unterscheiden.12

4

Kaplan/Haenlein, BH 2010, 59 (60–61). Auch Eisenlauer unterstreicht, Web 2.0 sei keine rein technische Bezeichnung, sondern weise sozio-kulturelle Bezüge auf und betone die Interaktivität des neugestalteten Webs, vgl.: Eisenlauer, A Critical Hypertext Analysis of Social Media, S. 3. Ebenso bezeichnet Rother das Web 2.0 als „Voraussetzung für die Emergenz von virtuellen Communities“, vgl. Rother, Web 2.0 Communities, S. 4–5. 5 Kaplan/Haenlein, BH 2010, 59 (61). 6 „Social Software“ sei ein technischen Begriff, der „… Systeme […], mit denen Menschen kommunizieren, zusammenarbeiten oder auf eine andere Art interagieren können…“ beschreibt: Alby, Web 2.0, S. 89. Ähnlich: Rother, Web 2.0 Communities, S. 11. 7 Betreiber: Google Inc., siehe auch: YouTube, Webseite ‚Homepage‘. 8 Betreiber: Yahoo! Inc., siehe auch: Flickr, Webseite ‚Homepage‘. 9 Betreiber: Instagram Inc., siehe auch Instagram, Webseite ‚Homepage‘. 10 Entwickler und Betreiber: Blizzard Entertainment SAS, World of Warcraft, Webseite ‚Homepage‘. 11 Betreiber: Linden Research Inc., siehe auch: Second Life, Webseite ‚Homepage‘. 12 Weitere Forschungszweige nehmen andere Kategorisierungen vor, z. B. danach, ob die übermittelten Informationen spezifisch oder allgemein sind, oder inwieweit ein soziales Netzwerk auch im Offline-Leben der Mitglieder verankert ist, vgl. z. B. Eisenlauer, A Critical Hyper­text Analysis of Social Media, S. 29.

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

145

Die Benutzeroberflächen der großen Netzwerke setzen zunächst eine entsprechende Registrierung voraus.13 Sie bieten ein Profil, in das der Nutzer Informationen über seine Person einspeisen und Bilder hochladen kann.14 Andere Nutzer können dieses Profil einsehen und mit Profilinhabern auf verschiedene Weise interagieren: Auf der eigenen Homepage des Nutzers im Netzwerk oder der eines anderen Nutzers können Nutzer Text, Bilder oder Videos hinterlassen, kommentieren und bewerten; eine Neuigkeiten-Funktion verrät dem Nutzer zudem, was seine Kontakte im Netzwerk zuletzt veröffentlicht haben.15 Daneben können Nachrichten auch auf direktem Weg zwischen zwei oder mehreren Nutzern ausgetauscht werden.16 Beziehungen zwischen den Nutzern treten durch das Schließen von Kontakten, die Teilnahme an Gruppen17 oder Veranstaltungen18 hervor. Sichtbar sind die eigenen Kontakte über die Kontaktliste.19 Das Auffinden anderer Nutzer ermöglicht die jeweilige Suchfunktion.20 Hinzu kommen Funktionen, die maßgeblich zur Ubiquität sozialer Online-Netzwerke beitragen: Social Plugins erweitern die soziale Interaktion über das Netzwerk hinaus auf die Seiten von Drittanbietern,21 Spiele und Apps fügen dem Netzwerk nach Belieben weitere Komponenten oder Funktionen hinzu22 und Mobilversionen erlauben die schnelle und unkomplizierte Nutzung sozialer Netzwerke auf mobilen Endgeräten23. Die Funktionalitäten sind bei den Netzwerktypen je nach Ausrichtung verschieden ausgeprägt: Während Freundesnetzwerke wie Facebook, Google+24, oder Stayfriends25 auf Selbstdarstellung und die Pflege sozialer Kontakte zielen und aus diesem Grund eine Fülle von Profilgestaltungs- und Interaktionsmöglichkeiten anbieten,26 liegt der Fokus der Karrierenetzwerke wie etwa XING27 und LinkedIn28 auf der Pflege und Erweiterung beruflicher Kontakte. Dementsprechend stehen hier vorrangig Funktionen zur Darstellung beruflicher Qualifikationen zur Verfügung.29 Das Informationsnetzwerk Twitter30 zielt dagegen auf Informationsverbreitung; Profil 13 Vgl. Facebook, Webseite ‚Registrierung‘; Twitter, Webseite ‚Registrierung‘; XING, Webseite ‚Registrierung‘. 14 Z. B. Facebook, Webseite ‚Profil & Chronik‘. 15 Z. B. Facebook, Webseite ‚Posten und teilen‘. 16 Z. B. Facebook, Webseite ‚Nachrichten‘. 17 Z. B. Facebook, Webseite ‚Gruppen‘. 18 Z. B. Facebook, Webseite ‚Veranstaltungen‘. 19 Z. B. Facebook, Webseite ‚Freunde‘. 20 Z. B. Facebook, Webseite ‚Suche‘. 21 Z. B. Facebook, Webseite ‚Social Plugins‘. 22 Z. B. Facebook, Webseite ‚Apps, Spiele und Zahlungen‘. 23 Z. B. Facebook, Webseite ‚Mobile Apps‘. 24 Betreiber: Google Inc., siehe auch: Google+, Webseite ‚Homepage‘. 25 Betreiber: StayFriends GmbH, siehe auch: Stayfriends, Webseite ‚Homepage‘. 26 Facebook, Webseite ‚Profil & Chronik‘. 27 Betreiber: XING AG, siehe auch: XING, Webseite ‚Homepage‘. 28 Betreiber: LinkedIn Inc., siehe auch: LinkedIn, Webseite ‚Homepage‘. 29 XING, Nutzungsbedingungen v. 07.03.2016, A.1.1. 30 Betreiber: Twitter Inc. – im Folgenden kurz: Twitter, siehe auch: Twitter, Webseite ‚Homepage‘.

146

D. Interessenausgleich im Umfeld sozialer Netzwerke

funktionen sind folglich nur eingeschränkt vorhanden,31 die Selbstdarstellung und Interaktion erfolgt vielmehr durch die Inhalte der verbreiteten Informationen. Trotz dieser offensichtlichen Vielfalt lassen sich Attribute ausmachen, die allen sozialen Online-Netzwerken gemeinsam sind: Es handelt sich um webbasierte Angebote, die nach der Registrierung die Erstellung eines Nutzerprofils und verschiedene Arten von Interaktion zwischen den Nutzern zulassen.32 Bisweilen werden zusätzlich Möglichkeiten der visualisierten Beziehungsdarstellung33 oder das Angebot einer strukturierten Suchfunktion34 für kennzeichnend gehalten. Die aktuelle Entwicklung zeigt außerdem: Soziale Online-Netzwerke sind allgegenwärtig, haben den abgegrenzten Bereich einer Homepage verlassen und ‚durchdringen‘ die virtuelle, aber auch die reale Welt. Für die nachfolgenden Untersuchungen aus der Perspektive des Datenschutzrechts, welches sich dem Schutz der Persönlichkeit des Einzelnen widmet, indem es ihn einerseits vor Zugriffen Dritter auf die eigenen personenbezogenen Daten abschirmt, gleichzeitig aber eine bewusste Preisgabe selbiger ermöglicht, sollen solche sozialen Online-Netzwerke und ihre Umgebungen betrachtete werden, die kumulativ die genannten gemeinsamen Merkmale aufweisen und dadurch ein erhöhtes datenschutzrechtliches Gefährdungspotenzial – sowohl hinsichtlich expliziter oder impliziter Selbstpreisgabe35 als auch in Bezug auf Eingriffshandlungen durch Dritte36 – aufweisen.

31

Twitter, Webseite ‚Anpassen Deines Profils‘. Einige oder alle dieser Komponenten finden sich in den Definitionen zahlreicher Autoren wieder, vgl. z. B. Boyd/Ellison, JCMC 2007, 210 (211); Jers, Konsumieren, Partizipieren und Produzieren im Web 2.0, S. 55; Ebersbach/Glaser/Heigl, Social Web, S. 79; Beck/ Schweiger, Handbuch Online-Kommunikation, S. 31; Fox, DuD 2009, 53 (53). In diesem Zusammenhang nennenswert ist auch ein Definitionskonzept, das auf der Annahme beruht, dass sich jedes soziale Medium aus sieben verschiedenen strukturellen und funktionellen Wabenbausteinen zusammensetzt. Dies sind: Identität, Präsenz, Beziehungen, Ansehen, Gruppen, Unterhaltungen und Teilen. Je nachdem, auf welchen Zweck das soziale Medium gerichtet ist, sind bestimmte Bausteine stärker ausgeprägt als andere, vgl. Kietzmann/Hermkens/McCarthy/Silvestre, BH 2011, 241 (243–248). Den Netzwerkcharakter und viele der damit einhergehenden Besonderheiten beschreibt sehr treffend die Darstellung von Kaplan/Haenlein, BH 2010, 59 (61–62), die für die Einteilung der Netzwerke als Parameter den Grad ihrer Möglichkeiten zur Selbstdarstellung und ihre Medienreichhaltigkeit (vgl. zu diesem Begriff Daft/Lengel, MS 1986, 554) heranziehen, wobei beide Faktoren mehr Gewicht erlangen, je stärker die Netzwerkstruktur für die Nutzung des jeweiligen Dienstes im Vordergrund steht. 33 Ebersbach/Glaser/Heigl, Social Web, S. 79. 34 Beck/Schweiger, Handbuch Online-Kommunikation, S. 31. 35 Die explizite Preisgabe geschieht aktiv und bewusst, die implizite Preisgabe geschieht als Nebenprodukt einer von der unmittelbaren Preisgabe abzugrenzenden aktiven Entscheidung und kann auch unbewusst vonstattengehen, vgl. zu den Definitionen ausführlich: Sandfuchs, Privatheit wider Willen?, S. 12–19; Sandfuchs/Kapsner, I/S 2015, 185 (186–187). 36 Vgl. zur Abgrenzung zwischen der Preisgabe von Daten und einem Eingriff, bei dem „den Nutzern etwas rechtswidrig oder aufgrund gesetzlicher Grundlage ohne eigenes Zutun genommen wird“: Sandfuchs, Privatheit wider Willen?, S. 12–13. 32

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

147

2. Ebenen und Akteure Soziale Netzwerke im Sinne der Begriffsdefinition sind webbasierte Anwendungen,37 welche von einem Netzwerkanbieter (auch: Netzwerkbetreiber) bereitgestellt werden, der nicht nur die als Netzwerkoberfläche sichtbaren Bereiche des Netzwerks, sondern auch die Abläufe im Hintergrund steuert. Was der Nutzer als ‚soziales Netzwerk‘ wahrnimmt, ist demnach lediglich die Benutzeroberfläche, die ihm im Web zur Verfügung steht, und ein Teil der vom Anbieter eingesetzten Software. Die Rahmenstruktur der Netzwerkoberfläche, wie z. B. die Möglichkeiten der Erstellung und Gestaltung von Profilen und Pflege von Kontakten, ist durch die Ausgestaltung der Plattform-Software determiniert. Die Verwendung dieser Software ist registrierten Nutzern (auch: Mitgliedern) vorbehalten. Diese können allgemein sowohl natürliche als auch juristische Personen sein, die die Nutzeroberfläche und Infrastruktur des Netzwerkbetreibers in der von ihm vorgesehenen Weise verwenden. Die nachfolgenden Untersuchungen beziehen sich jedoch speziell auf die datenschutzrechtlichen Konflikte, die aus der Sicht des ‚Datensubjekts Nutzer‘ entstehen. Um ‚Betroffene‘ im Sinne des Datenschutzrechts kann es sich bei Nutzern aber nur handeln, soweit sie natürliche Personen sind (Art. 4 Abs. 1 DS-GVO). Obwohl also diverse Akteure, die als juristische Personen auftreten und Daten verarbeiten, selbst (geschäftliche) Nutzer des Netzwerks sein können, bezieht sich nachfolgend die Bezeichnung als ‚Mitglied‘ oder ‚Nutzer‘ auf natürliche Personen, die das Netzwerk zu privaten oder beruflichen Zwecken nutzen. Neben diesen privaten Nutzern bewegen sich verschiedene weitere Akteure mit unterschiedlichen Motiven im direkten Umfeld des sozialen Netzwerks, die sich nach ihrer Rolle (beispielsweise als Werbetreibende, oder Betreiber von Social Media Präsenzen oder Social Plugins) oder nach ihrem Verhältnis zum Netzwerkanbieter (Verflechtungen tatsächlicher Art, wirtschaftliche Kooperationen etc.) unterscheiden lassen. 3. Entstehung und Verbreitung Schon im Jahr 1979 gestattete die Plattform Usenet ihren Nutzern, öffentliche Posts zu hinterlassen.38 Mit SixDegrees wurde 1997 das erste Netzwerk begründet, das wesentliche Funktionen heutiger Netzwerkdienste aufwies.39 Weitere Netzwerke wie BlackPlanet, AsianAvenue (beide aus dem Jahr 1999) oder MiGente (2000) vereinen ebenfalls die Möglichkeiten der Profilerstellung, des Kontaktschließens und der Kommunikation, waren und sind aber nur mäßig erfolgreich.40 37

Siehe unter D. I. 1. Kaplan/Haenlein, BH 2010, 59 (60). 39 Boyd/Ellison, JCMC 2007, 210 (214). 40 Siehe: AsianAvenue, Webseite ‚Homepage‘; BlackPlanet, Webseite ‚Homepage‘; MiGente, Webseite ‚Homepage‘. Alle drei Netzwerke sind Angebote der Community Connect Inc. 38

148

D. Interessenausgleich im Umfeld sozialer Netzwerke

Es folgten all die Netzwerke, die heutzutage bekannt und beliebt sind: LinkedIn, XING (vormals OpenBC), MySpace41 (alle 2003), Flickr42 (2004), YouTube43 (2005) und Twitter (2006).44 Facebook war zunächst 2004 als universitätsinternes Netzwerk ausschließlich für Studenten der Universität Harvard eingeführt, schon zwei Jahre später jedoch der Allgemeinheit zugänglich gemacht worden.45 Erst 2011 eröffnete Google Inc. das Netzwerk Google+. 43 Prozent der deutschen Internetnutzer nutzen der ARD/ZDF-Onlinestudie 201546 zufolge soziale Netzwerke zumindest sporadisch, 34 Prozent gaben eine mindestens wöchentliche, 22 Prozent eine tägliche Nutzung an.47 Unterschiede zeigen sich je nach Alter der Nutzer – unter den 14 bis 29-Jährigen nutzen ganze 73 Prozent soziale Netzwerke, während die Nutzung unter Befragten ab einem Alter von 50 Jahren bei nur 22 Prozent liegt. Die eigentlich ‚bunte Landschaft‘ der Netzwerke und Anbieter besitzt dabei einen deutlichen ‚Blaustich‘: 42 Prozent der Befragten gaben an, Facebook zu nutzen;48 weit abgeschlagen folgen ­Google+ (11 Prozent), Instagram (9 Prozent), XING (8 Prozent), Tumbler, LinkedIn (jeweils 4 Prozent) und Pinterest (3 Prozent). Neben der privaten Nutzung sind soziale Netzwerke regelmäßig auch auf die Nutzung durch Unternehmen eingerichtet. Etwa 75 Prozent der deutschen Unternehmen verwenden ebenfalls soziale Medien zur internen oder externen Kommunikation.49 Auf die Unternehmensgröße kommt es dabei kaum an, besonders groß ist der Anteil der Social Media Nutzung aber in der Dienstleistungsbranche

41

Betreiber: MySpace LLC, siehe auch: MySpace, Webseite ‚Homepage‘. Betreiber: Yahoo! Inc., siehe auch: Flickr, Webseite ‚Homepage‘. 43 Betreiber: Google Inc., siehe auch: YouTube, Webseite ‚Homepage‘. 44 Vgl. zu sämtlichen Jahreszahlen die Timeline bei: Boyd/Ellison, JCMC 2007, 210 (212). 45 Die Ausbreitung begann zunächst bei anderen Universitäten in den USA, setzte sich über High Schools fort und verwandelte sich schließlich zum Selbstläufer, vgl.: Kirkpatrick, The Facebook Effect, S. 30–31; 37; 149; 235. 46 Tippelt/Kupferschmitt, MP 2015, 442 (443) – die Zahlen dieses Absatzes beziehen sich, soweit nicht anders angegeben, sämtlich auf die in dem Beitrag vorgestellten Ergebnisse der ARD/ZDF-Onlinestudie, bei der 1432 Internetnutzer befragt wurden. 47 Zu einem etwas höheren Anteil von 58 Prozent der zumindest gelegentlichen Nutzer von sozialen Medien kommt dagegen die Studie: DIVSI, Internet-Milieus, S. 17. Ähnliches ergab sich für die EU-weite Nutzung: 57 Prozent der Befragten nutzen soziale Netzwerke zumindest wöchentlich, Europäische Kommission, Special Eurobarometer 431, S. 109. 48 Noch höher war nur der Anteil der WhatsApp-Nutzer (57 Prozent), wobei WhatsApp als reiner Kommunikationsdienst, der über das Setzen eines einfachen Profilbilds und Status keine Profilgestaltung und außerhalb der Direkt- und Gruppennachrichten keine Interaktionsformen vorsieht, nicht unter die hier verwendete Definition des sozialen Netzwerks fällt. In absoluten Zahlen hat Facebook rund 24 Mio. Nutzer in Deutschland, vgl.: Hutter, Neue Insights zur Nutzung von Facebook in Deutschland, Artikel v. 30.05.2014. 49 BITKOM, Drei von vier Unternehmen nutzen Social Media, Presseinformation v. 29.04. 2015 (1). Die Zahlen sind das Ergebnis einer für die Gesamtwirtschaft repräsentativen Befragung von 505 Geschäftsführern und Vorständen von Unternehmen ab einer Größe von 20 Mitarbeitern. 42

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

149

(etwa 84 Prozent), geringer dagegen im Handel (73 Prozent) und in der Industrie (70 Prozent).50 4. Geschäftsmodelle a) Anbieter Die meisten sozialen Online-Netzwerke sind vorbehaltlich einer Registrierung für jedermann kostenlos nutzbar.51 Der kostenlosen Nutzung stehen auf Seiten des Betreibers dennoch ganz erhebliche Kosten gegenüber: Angestellte – Facebook hat z. B. nach eigenen Angaben mehr als 12.600 Mitarbeiter52, XING gibt den Personalaufwand sogar als einen der größten Ausgabenposten mit rund 45 Mio. Euro im Jahr 2015 an53 – Marketing, Rechtsberatung, IT- und andere Dienstleistungen sowie Serverhosting54. Um ihre Ausgaben bestreiten zu können, müssen die Betreiber sozialer Online-Netzwerke Geldgeber und Investoren finden und das Netzwerk derart gestalten, dass es Gewinn abwirft. Beides ist nur mit einem Geschäftskonzept realisierbar, das aus dem grundsätzlich kostenlosen Angebot des sozialen Netzwerks Ertrag generiert. Das Geschäftsmodell sozialer Online-Netzwerke zielt deswegen auf eine Erzeugung von Einnahmen mittels Wertschöpfung durch die Ansprache geeigneter Zielgruppen und die Entwicklung geeigneter Kernkom­ petenzen.55 Der Begriff der Wertschöpfung bezieht sich darauf, welche Dienstleistung oder welches Produkt ein Unternehmen herstellt und auf dem Markt anbietet.56 Die Wertschöpfung von Facebook beruht hauptsächlich auf dem Angebot einer ein­ fachen aber vielseitigen Kommunikationsmöglichkeit mit Personen,57 die den 50 BITKOM, Drei von vier Unternehmen nutzen Social Media, Presseinformation v. 29.04. 2015 (1). 51 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 11; Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 166. Nur Wenige erheben Beiträge für eine Mitgliedschaft – so etwa XING: Die Basis-Version des Karriere-Netz­werkes ist kostenlos, die Premium-Mitgliedschaft zahlungspflichtig, vgl.: XING AG, Geschäfts­ bericht 2015, S. 35. 52 Facebook Inc, Annual Report 2015, S. 7. 53 XING AG, Geschäftsbericht 2015, S. 102. 54 XING gibt im Jahr 2015 etwa folgende Kosten an: Marketing: 13,7 Mio. Euro, Raumkosten: 4,4 Mio. Euro, IT- und sonstige Dienstleistungen: 8,9 Mio. Euro, Serverhosting 2,3 Mio. Euro, vgl. XING AG, Geschäftsbericht 2015, S.  103. Facebook hat hingegen noch deutlich höhere Ausgaben vorzuweisen: 2,725 Mrd. Dollar flossen 2015 in ‚Marketing and sales‘, 4,816 Mrd. US-Dollar in ‚Research and Development‘, 1,295 Mrd. US-Dollar in die sonstige Verwaltung; die Gesamtausgaben beliefen sich im selben Jahr auf 11,703 Mrd. US-Dollar, vgl.: Facebook Inc, Annual Report 2015, S. 41. 55 Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (62–64). 56 Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (63). 57 Facebook Inc, Annual Report 2015, S. 5.

150

D. Interessenausgleich im Umfeld sozialer Netzwerke

Nutzern auch aus dem realen Leben bekannt sind58. LinkedIn und XING dagegen ermöglichen es ihren Nutzern, berufliche Kontakte zu pflegen und ein Karriere­ netzwerk aufzubauen59, während Twitter sich der gezielten Informationsverbreitung unter seinen Mitgliedern verschrieben hat60. Zielgruppen sind jene, für die das Unternehmen Wertschöpfung betreibt, auf die es seine Produkte und Dienstleistungen also anpasst und optimiert. Manche Netzwerke zielen auf die Allgemeinbevölkerung, ohne darunter spezielle Gruppen ansprechen zu wollen (z. B. Facebook und Twitter). Karrierenetzwerke ziehen dagegen bevorzugt Akademiker und Besserverdiener an.61 Die Kernkompetenzen orientieren sich an der beabsichtigten Wertschöpfung und den anvisierten Zielgruppen und liegen z. B. bei Facebook auf der Akquise neuer Kommunikationswege (Erweiterung der Chatfunktionen, Einführung des Facebook-Messengers und verschiedener Lösungen für mobile Endgeräte) und einem möglichst vielseitigen Angebot, das in verschiedensten Alltagssituationen verfügbar ist, einfacher Plattformanbindung für Entwickler und großer Reichweite sowie Zielgruppengenauigkeit für Werbetreibende.62 XING dagegen setzt auf eine möglichst attraktive Gestaltung der kostenpflichtigen Premiummitgliedschaft durch neue Features und auf den Ausbau der Segmente ‚E-Recruiting‘ und ‚Events‘.63 Verschiedene spezielle Eigenschaften sozialer Netzwerke sind dabei für deren Ertragsgenerierung relevant: Netzwerkeffekte führen dazu, dass das Netzwerk mit dem Erreichen der „kritischen Masse“ von Teilnehmern für alle Teilnehmer „nachhaltigen Nutzen“ entwickelt und der „Wert von Ideen, Leistungen und Wissen“ mit der Nutzerzahl und Nutzungsintensität wächst.64 Die Vernetzung bewirkt außerdem, dass die Kosten für wirtschaftliche „Transaktionen“ sowohl für Unternehmen als auch für Konsumenten sinken: Letztere können sich beliebig intensiv mit einem Produkt, Hersteller oder Marktsegment auseinandersetzen, ohne hierfür Geld investieren zu müssen, was einerseits zur grenzübergreifenden Ausweitung der Märkte, andererseits zum einfacheren Eintritt in bestehende Märkte durch Mitbewerber führt.65 Die Ressourcen, die ein soziales Netzwerk in sozialer, wirtschaftlicher oder anderweitiger Hinsicht generiert („soziales Kapital“66) bezeichnen den Mehrwert, der durch die Vernetzung von Individuen entstehen kann. 58

Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (64–75). Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (67); XING AG, Geschäftsbericht 2015, S. 1. 60 Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (67). Auf der Homepage von Twitter heißt es: „Our mission: To give everyone the power to create and share ideas and information instantly, without barriers“, vgl.: Twitter, Webseite ‚About‘. 61 Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (67–68). 62 Facebook Inc, Annual Report 2015, S. 5. 63 XING AG, Geschäftsbericht 2015, S. 37–38. 64 Rother, Web 2.0 Communities, S. 15–16; Zur kritischen Masse sozialer Netzwerke auch Heckmann, NJW 2012, 2631 (2634). 65 Rother, Web 2.0 Communities, S. 17–18. 66 Rother, Web 2.0 Communities, S. 18. 59

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

151

Werbung67 ist regelmäßig die Haupteinnahmequelle68 sozialer Online-Netzwerke. Bei der Vermarktung der unzähligen Nischenprodukte im Web 2.0 nimmt die zielgruppenspezifische Werbung ohnehin eine besonders wichtige Stellung ein69, aber auch die Hersteller bekannter Marken finden auf diesem Weg einen Zugang zur Mehrheit ihrer Kunden.70 Die Informationen, die ein Nutzer im Netzwerk über sich preisgibt, gestatten dabei eine besonders detailliert zielgruppenorientierte und damit wesentlich effektivere Form der Werbung71 (sog. „Online Behavioral Advertising“72). Weil die Preisgabe der Nutzerdaten und die Ertragsgewinnung des Netzwerkanbieters durch auf der Grundlage dieser Daten ausgespielte, auf die persönlichen Eigenschaften und Vorlieben des Nutzers zugeschnittene Werbung, unmittelbar zusammenhängen, wird die Datenpreisgabe durch Nutzer auch als „Rohstoff“73 der data-driven economy, als „Gegenleistung“74 für die Inanspruchnahme der Netzwerkdienstleistungen oder als „Währung“ 75 der Netzwerknutzung bezeichnet, mit der die Nutzer den Netzwerkanbieter bezahlen76. Werbung in sozialen Netzwerken ist aber nicht nur zielgruppenorientiert, sie ist auch interaktiv77, erlaubt einen direkten Kontakt zum Werbetreibenden (durch Klick auf die Werbung kann der Kunde z. B. direkt zur Produkt- oder Unternehmensseite geleitet werden), eine einfache Werbewirkungsmessung78 und genaue 67 Werbung ist „eine absichtliche und zwangfreie Form der Kommunikation, mit der gezielt versucht wird, Einstellungen von Personen zu beeinflussen“: Kloss, Werbung, S. 6. 68 Rother, Web 2.0 Communities, S. 26. Dies bestätigt auch der Geschäftsbericht von Facebook, der die Werbeeinnahmen mit 17,079 Mrd. US-Dollar beziffert, was etwa 95 Prozent des gesamten Jahresumsatzes von 17,928 Mrd. US-Dollar entspricht: Facebook Inc, Annual Report 2015, S. 42. 69 Vgl. die „Long Tail“ Theorie von Anderson, nach der die Anzahl der Nischenprodukte sich zu einem langen Schweif auswächst: Anderson, The Long Tail, Artikel v. 10.01.2004, Wired [Online]. 70 Die Mediaplanung, mittels derer Werbetreibende die für sie geeigneten Werbekanäle bestimmen, passt sich stets aktuellen gesellschaftlichen und technischen Entwicklungen an, vgl. Kloss, Werbung, S. 271. Sie orientiert sich auch immer an der Wirtschaftlichkeit der verfügbaren Werbekanäle, welche sich nach den Kosten für jeweils tausend Werbekontakte in der anvisierten Zielgruppe, bemisst. Mit einer punktgenauen Zielgruppenausrichtung und übersichtlicher Budget-Planung haben sich soziale Online-Netzwerke zu besonders attraktiven Werbekanälen entwickelt. 71 Lichtnecker, GRUR 2013, 135 (135). Zur Zielgruppenbestimmung vgl. auch Kloss, Werbung, S. 194–201. Zum Nutzen der zielgruppenorientierten Werbung für Social Media Ads bei: Kollmann, Online-Marketing, S. 196. 72 Thode, PinG 2015, 1 (3). 73 Karaboga/Masur/Matzner/Mothes/Nebel/Ochs/Schütz/Fhom, Selbstdatenschutz, S. 3. 74 Heckmann, K&R 2010, 770 (771–772); Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap.  9, Rdnr.  471; Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, S. 52. 75 Heckmann, K&R 2010, 770 (771–772); Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 534; Roßnagel, DuD 2016, 561 (562). 76 Heckmann, K&R 2010, 1 (2). 77 Kloss, Werbung, S. 377. 78 Gemessen werden im Wesentlichen die Veränderung der Einstellung der der Werbung exponierten Personen und die Veränderung im Bekanntheitsgrad des Gegenstands der Werbung

152

D. Interessenausgleich im Umfeld sozialer Netzwerke

Budgetplanung79. Zudem besteht die Möglichkeit, Werbung mit der persönlichen Empfehlung eines Kontakts zu verknüpfen, was die positive Wahrnehmung der Werbeanzeige verstärkt: „Nothing influences people more than a recommendation from a trusted friend. …A trusted referral ist the Holy Grail of advertising.“80 Die Erscheinungsformen der Werbung sind von Netzwerk zu Netzwerk verschieden: Bei Twitter können z. B. Tweets hervorgehoben und als ‚gesponsert‘ gekennzeichnet werden (‚Promoted Tweets‘).81 Ebenso ist es möglich, Informationen über das eigene Produkt/Unternehmen in den Trendthemen zu platzieren, die Nutzern am Rand ihrer Twitter-Seite angezeigt werden (‚Promoted Trends‘).82 Bei Facebook können kommerzielle Inhalte u. a. im ‚Newsfeed‘ oder am rechten Bildschirmrand erscheinen. Im Rahmen der Erschließung zusätzlicher Wege der Ertragsoptimierung bietet z. B. das Karrierenetzwerk XING entsprechend seiner Ausrichtung Unternehmen Recruiting-Lösungen an, die den Zeit- und Kostenaufwand für Personalakquise senken sollen.83 Neben dem ‚passive recruiting‘ mittels Stellenanzeigen ist auch das ‚active recruiting‘ mithilfe eines Talentmanagers möglich, der gefiltert nach gewünschten Qualifikationen mögliche Kandidaten für eine offene Stelle anzeigt und verwaltet.84 Die Betreiber sozialer Netzwerke verlangen für PremiumMitgliedschaften Beiträge,85 handeln mit virtuellen und realen Gütern,86 oder erzielen dadurch Ertrag, dass sie ihre öffentlich geteilten Inhalte mit denen anderer Dienstleister zusammenführen, also syndizieren. So stellt Twitter z. B. den Zugriff auf öffentliche Tweets auch der Suchmaschine Google zur Verfügung.87 Ein Bör-

nach verschiedenen Methoden Eine Einführung findet sich bei Kloss, Werbung, S. ­56–117. Anders als bei der klassischen Werbewirkungsmessung müssen bei Werbeanzeigen im sozialen Netzwerk jedoch keine aufwendigen Messverfahren durchgeführt werden, denn die Erfassung der Werbewirkung erfolgt bereits automatisch für jede einzelne Zielperson, vgl. dazu Kloss, Werbung, S. 382–385. 79 Der Werbetreibende bestimmt in der Regel ein Budget, damit der Anbieter des sozialen Netzwerks die Werbeanzeige entsprechend häufig den ausgewählten Zielgruppen zeigen kann. 80 Kirkpatrick, The Facebook Effect, S. 247. 81 Twitter, Webseite ‚What are Promoted Tweets?‘ 82 Twitter, Webseite ‚What are Promoted Trends?‘ 83 XING, Webseite ‚E-Recruiting‘. 84 XING AG, Geschäftsbericht 2015, S. 36. 85 Dies betrifft im Wesentlichen Karrierenetzwerke wie XING und LinkedIn. Zu den Vorund Nachteilen sowie Gestaltungsmodellen von Beiträgen: Rother, Web 2.0 Communities, S. 27–28. 86 Virtuelle Güter sind solche, die nur in einer bestimmten Online-Umgebung erworben und benutzt werden können, Cha, in: Albarran (Hrsg.), The Social Media Industries, S. 60 (72). Darunter fallen z. B. virtuelle Gegenstände, die in auf Facebook nutzbaren Spielen verwendet werden können. Sie werden in der Regel von Entwicklern erstellt und angeboten, Facebook verdient an jedem Verkauf prozentual mit. Und auch reale Güter können via Facebook verkauft werden, vgl.: Facebook, Webseite ‚Shop-Bereich auf Seiten‘. 87 Entwicklern stellt Twitter jedoch die Schnittstelle kostenlos zur Verfügung, vgl. Twitter, Developer Agreement & Policy v. 10.06.2016, Punkt B.

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

153

sengang ist ebenfalls geeignet, finanzielle Mittel zu schaffen. Beispiele für börsennotierte soziale Netzwerke sind Facebook, Twitter oder XING.88 b) Weitere Akteure Soziale Netzwerkplattformen sind einerseits der Gegenstand und das Mittel der Ertragsgewinnung des Netzwerkanbieters; zugleich spielen sie aber auch für die Geschäftsmodelle weiterer Akteure eine Rolle. Neben der Nutzung der Werbeangebote der Plattformen können Unternehmen auf der Plattform als kommerzielle Nutzer auftreten und ihre Tätigkeiten im Netzwerk in PR-, Marketing-, Vertriebsund Kundenbindungskonzepte integrieren sowie zur Akquise von Personal nutzen.89 Die Anbieter von Apps und Spielen können diese direkt über die Plattform des Netzwerks zur Verfügung stellen. Aus der Nutzung des Netzwerks und der Kooperation mit dem Anbieter lassen sich sodann für Unternehmen zusätzliche Informationen über Kunden, Produkte oder die Marktsituation gewinnen, die für die Optimierung des eigenen Geschäftskonzepts relevant sind.90 Sogar für Unternehmen, die nicht als Nutzer der Netzwerkplattform oder als Geschäftspartner des Netzwerkanbieters aktiv werden, verbleibt noch die Möglichkeit, jeweils für das spezifische eigene Geschäftsmodell erforderliche Informationen aus den öffentlich zugänglichen Bereichen der Netzwerkplattform abzuschöpfen. 5. Daten in sozialen Netzwerken Weil soziale Online-Netzwerke theoretisch jeden Bereich des analogen Lebens spiegeln können, sind auch die bei der Netzwerknutzung anfallenden Daten in ihrer Masse und Vielfalt theoretisch unbegrenzt91 und daher einer quantitativen wie qualitativen Erfassung kaum zugänglich.92 Der Übersicht halber soll jedoch zumindest eine Kategorisierung der vorhandenen Daten sowie eine Beschreibung der Möglichkeiten ihrer Erfassung, Strukturierung und Aufbereitung sowie unterschiedlicher Zugriffsmöglichkeiten versucht werden.

88 Facebook ist bei der US-amerikanischen NASDAQ gelistet; XING ist an der Frankfurter Börse, Twitter beim NYSE notiert. 89 Vgl. für eine Übersicht der möglichen Einsatzfelder von Social Media durch Unternehmen: BITKOM, Social Media, S. 9–32. 90 Vgl. z. B.: Facebook, Webseite ‚Analytics für Apps‘; Facebook, Webseite ‚Grundlagen zu Seitenstatistiken‘. 91 Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 197. 92 Dennoch einen Überblick über die durch Facebook vorgehaltenen Daten übermitteln soll eine Aufstellung: Facebook, Webseite ‚Zugriff auf deine Facebook-Daten‘. Daraus geht hervor, dass ein Gesamtüberblick über die vorgehaltenen Daten im Wesentlichen aus einer Kombination der Funktionen ‚Aktivitätenprotokoll‘ und ‚Informationen herunterladen‘ gewonnen werden kann.

154

D. Interessenausgleich im Umfeld sozialer Netzwerke

a) Datenkategorien Zunächst lassen sich Daten nach dem Zweck und Zusammenhang ihrer Preisgabe oder Entstehung im Netzwerkkontext unterscheiden. Nutzer können Daten etwa zu Zwecken der Selbstdarstellung (Anmeldedaten bei der erstmaligen Registrierung in einem sozialen Online-Netzwerk, Profildaten wie etwa Kontaktdaten, Profilfoto, Geburtsort, Lebenslauf, religiöse und politische Ansichten, Lieblingszitate, besuchte Orte, Vereins- und Gruppenmitgliedschaften, Lieblingsbücher, Musik, Filme, Fernsehsendungen, Restaurants, Sportarten, Sportler, Künstler, Modestile – nahezu jede denkbare Vorliebe lässt sich im eigenen Profil äußern) oder anlässlich ihrer Kommunikation und Interaktion (Herstellung von Kontakten zu anderen Mitgliedern des Netzwerkes, Kennzeichnung besonderer Beziehungen, Kommunikation durch Nachrichten, Anhänge, Chats, Tweets, Kommentare und Postings, Interaktion durch Benutzung von Plugins, Apps, Spielen oder Beteiligung an Veranstaltungen oder Gruppen) im Netzwerk hinterlassen. Daneben gibt es Daten, die der Nutzer dem Betreiber gezielt mitteilt, weil sie zur Erbringung von Dienstleistungen (Zahlungsinformationen bei der Inanspruchnahme kostenpflichtiger Leistungen, Synchronisation externer Datensätze) oder zur Fixierung von Einstellungen (z. B. Passwörter, die Spracheinstellung, Benachrichtigungs­optionen, Bestellung des Newsletters, Privatsphäreeinstellungen, Sicherheitseinstellungen etc.) erforderlich sind. Schon das Verweilen und Surfen auf der Seite des sozialen Online-Netzwerks lässt außerdem Nutzungsdaten entstehen: Server-Logfiles93 und Javascript-Anwendungen erfassen das gesamte Verhalten des Nutzers auf der Seite94 (inklusive seiner IP-Adresse, Klicks, aufgerufenen Mediendateien, Informationen über den auf dem Endgerät verwendeten Browser, das Betriebssystem und den physischen Standort des Nutzers95, welche Apps Nutzer verwenden, und welchen Aktivitäten sie darin nachgehen96). Nutzer können den Apps Zugriff auf ihre persönlichen Profilinformationen und in vielen Fällen sogar auf die Informationen von Kontakten97 gewähren, außerdem liefert die Verwendung von Apps und Spielen wieder neue Daten, abhängig davon, um welche Anwendung – z. B. Sportanwendungen,98 93

Bei Twitter findet sich der Hinweis unter dem Unterpunkt „Nutzung unserer Dienste“: Twitter, Datenschutzrichtlinie v. 30.09.2016. XING, Datenschutzerklärung, Nr.  13. Log-Dateien/Mobile Handshake. 94 Facebook, Datenrichtlinie v. 29.09.2016, unter der Überschrift „I. Welche Arten an Informationen sammeln wir?“ verbirgt sich der Hinweis: „wie du unsere Dienste nutzt“. 95 Zur Geolokalisation bei Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 509–511. 96 Facebook, Datenrichtlinie v. 29.09.2016, unter „I. Welche Daten sammeln wir?“: „Wir sammeln Informationen, wenn du […] Apps Dritter besuchst, die unsere Dienste nutzen“. 97 Bei Facebook greifen Apps standardmäßig auf die Nutzer-IDs sämtlicher Kontakte des App-Nutzers zu; weitere Rechte können ihnen die Nutzer erteilen, Facebook, Datenrichtlinie v. 29.09.2016, Nr. III, dritter Unterpunkt. 98 Beispiele: Runtastic, RunKeeper, Endomondo Sports Tracker und Nike+Running – etwa bei Facebook, Webseite ‚App-Zentrum‘.

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

155

sog. Schlaf-Apps,99 Lifestyle-Apps wie Foursquare100 – es sich handelt. Mobile Anwendungen erlauben dem Nutzer, Datensätze des mobilen Endgeräts mit seinem Account zu synchronisieren, also noch weitergehende Zugriffsrechte (Adressbücher, Kalenderereignisse etc.) freizugeben. Cookies101 und Social Plugins102 liefern darüber hinaus Daten zum Nutzerverhalten außerhalb der eigentlichen Homepage des sozialen Netzwerks. Daneben unterscheiden sich Daten auch dadurch, ob der Verursacher von ihrer Entstehung Kenntnis erlangt oder nicht. Bewusst hinterlässt der Nutzer in erster Linie Einträge, die der Selbstdarstellung dienen, also z. B. Namen, Kontaktinformationen, Interessen und eigene Fotos. Nutzer wissen in der Regel ebenfalls, dass während der Kommunikation via Nachricht, beim Teilen und Kommentieren von Einträgen und Fotos Daten entstehen. Dass die Verwendung von Cookies dem Anbieter Zugang zu Daten verschafft, dürfte nur manchen Nutzern eindeutig klar sein, während die Entstehung der Server-Logfiles alleine durch das Surfen und Aufzeichnungen durch Javascript-Anwendungen dem durchschnittlichen Nutzer nicht zwangsläufig bewusst sind. Nur in den seltensten Fällen wissen die Nutzer, inwieweit durch andere Nutzer Informationen über sie preisgegeben werden. Unbewusst sind sich Nutzer unter Umständen auch dessen, dass die von ihnen mittels Privacy-Einstellungen gegenüber anderen Nutzern zugangsbeschränkten Informationen für den Betreiber dennoch zur Gänze einsehbar und verwendbar bleiben. Die im Netzwerkkontext vorhandenen Daten lassen sich zudem in primäre und sekundäre Daten aufteilen. Mit der Bezeichnung ‚primär‘ sind Daten gemeint, die sich unbearbeitet im Netzwerk befinden, also Rohdaten; Sekundärdaten sind dagegen solche, die durch eine Verarbeitung und/oder Kombination von Rohdatensätzen entstanden sind.103 So ist beispielsweise der Inhalt eines Tweets oder Postings für sich genommen ein Primärdatum; können aus ihm jedoch Zusatzinformationen wie die Stimmung, politische Einstellung, Konsumbereitschaft oder Beziehungssituation des Nutzers extrahiert werden, so handelt es sich bei jenen Informationen um Sekundärdaten. Die Netzwerkanbieter selbst gestatten die Einteilung der Nutzerdaten in ‚Privacy‘-Kategorien, indem sie ihren Nutzern Einstellungen zum abgestuften Zugriff auf die eigenen Daten zur Verfügung stellen. Im Wesentlichen kann der Nutzer sich entscheiden, ob er Informationen der gesamten Öffentlichkeit (inklusive Suchmaschinenzugriff), nur den Nutzern seines Netzwerkes, nur seinen Kontak 99 Z. B. bei Facebook erhältlich: Smart Alarm Clock, Sleep as Android, siehe: Facebook, Webseite ‚App-Zentrum‘. 100 Erhältlich bei Facebook, Webseite ‚App-Zentrum‘. 101 XING, Datenschutzerklärung, Nr.  12. Cookies, Pixel; Twitter, Datenschutzrichtlinie v. 30.09.2016, unter der Überschrift „Nutzung unserer Dienste“. 102 Facebook, Datenrichtlinie v. 29.09.2016, Nr. I, sechster Unterpunkt. Twitter bezieht sich auf Social Plugins unter der Überschrift „Widget Daten“. 103 Allgemein für Daten im Internet: Kosala/Blockeel, ACM SIGKDD EN 2000, 1 (4).

156

D. Interessenausgleich im Umfeld sozialer Netzwerke

ten innerhalb des Netzwerkes oder nur bestimmten Kontakten ersichtlich machen möchte.104 Daneben gibt es noch Informationen, die nach den Einstellungen nur dem Nutzer und dem Betreiber des Netzwerks bekannt sind (z. B. Passwörter oder Zahlungsinformationen). Von ganz erheblicher Bedeutung ist der wirtschaftliche Nutzen, den manche Daten mit sich bringen. Aus diesem Grunde lassen sich Daten auch danach einteilen, welchen ‚Wert‘ sie für die Wirtschaft haben. Der Name einer Person, Geburtsdatum, Adresse, E-Mail-Adresse oder Telefonnummer sind – jedenfalls für sich genommen – wirtschaftlich nicht sehr ergiebig. Besonders wertvoll sind Daten jedoch, wenn sie entweder besonders effektive Werbung ermöglichen oder branchenspezifische Interessen befriedigen.105 Zuletzt ist auch eine gesetzliche Einteilung von Daten vorgesehen. Der Gesetzgeber unterscheidet personenbezogene (Art. 4 Abs. 1 DS-GVO), anonymisierte (Erwgr. 26 DS-GVO) und pseudonymisierte (Art. 4 Abs. 5 DS-GVO) Daten. Eine Unterkategorie der personenbezogenen Daten sind zudem die besonders sensitiven personenbezogenen Daten (Art. 9 Abs. 1 DS-GVO). b) Zugriff, Gewinnung und Auswertung Während der Anbieter die Software und Hardware des Netzwerks unter seiner Kontrolle hat und somit umfassend Zugriff auf Logdateien, Ergebnisse des Page Taggings, Daten aus Social Plugins und Cookies besitzt, können andere Akteure nur auf Daten zugreifen, wenn dies entweder über die Netzwerkoberfläche (durch die dortigen Vorgaben oder die individuellen Einstellungen des Nutzers) möglich wird oder aber wenn der Netzwerkanbieter Daten weitergibt. Manche Netzwerke gestatten einen Suchmaschinenzugriff und die Anzeige der öffentlich geteilten Inhalte auch für nicht registrierte Internetnutzer, ermöglichen es dann aber regelmäßig ihren Mitgliedern, sich aus dieser Funktion auszutragen. Zumindest für registrierte Akteure sind öffentlich geteilte Netzwerkinhalte jedoch einsehbar. Inhalte mit beschränktem Publikumskreis sind dagegen für Akteure nur sichtbar, soweit sie vom Nutzer in diesen Publikumskreis einbezogen wurden. Durch Programmierschnittstellen (APIs) ist Entwicklern das Anknüpfen eigener Programme an das soziale Netzwerk und so auch der Zugriff auf bestimmte Daten möglich.106 Während Analysewerkzeuge anderen Akteuren zumindest einen begrenzten Ein 104

Facebook, Webseite ‚Grundlegende Privatsphäre-Einstellungen‘. Zu allgemeinen geschäftlichen Interessen der Akteure an Nutzerdaten vgl. Gliederungspunkt D. II. 1. b); zu branchenspezifischen Interessen vgl. Gliederungspunkt D. II. 1. e). 106 Graubner-Müller, Web Mining in Social Media, S. 55. Eigentlich soll durch die Verwendung von APIs der Zugriff gesteuert und eingeschränkt werden – Entwickler finden jedoch regelmäßig Möglichkeiten, solche Einschränkungen der Betreiber zu umgehen, vgl. etwa: Bager, Timing-Attacke deanonymisiert Website-Besucher teilweise, Artikel v. 13.09.2016, Heise [Online]. 105

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

157

blick verschaffen, werden im Rahmen des Werbekonzepts107 jedoch standardmäßig keine Nutzerdaten an andere Akteure weitergegeben. Eine solche Weitergabe von Daten durch den Netzwerkanbieter an Dritte wäre zumindest faktisch unbegrenzt möglich, wird aber in der Realität im Zusammenhang mit dem Geschäftskonzept108 des Anbieters nur sehr eingeschränkt praktiziert. Die Betreiber sozialer Netzwerke können sich bei der Erfassung der Nutzerdaten sämtlicher konventioneller Erfassungs- und Wiedererkennungsmethoden wie Server Logfiles,109 Page Tagging,110 Geolokalisierung,111 Browserfingerprinting,112 Canvas Fingerprinting113 oder Cookies114 bedienen. Darüber hinaus ste 107

Stattdessen macht der Werbetreibende lediglich Angaben zur zu bewerbenden Zielgruppe und die Ausspielung der Anzeigen wird unter Verarbeitung der verfügbaren Nutzer­ daten vom Anbieter koordiniert, vgl. D. II. 1. c) bb). 108 Viele der Ertragsgewinnungsstrategien (dazu allgemein unter D. I. 4.) sozialer Netzwerke beruhen gerade darauf, dass die im Netzwerk befindlichen Daten nur ihnen und nicht Dritten zur Verfügung stehen, was das Angebot entsprechender, mit der Verarbeitung dieser Daten zusammenhängender Dienstleistungen ermöglicht. 109 Aufzeichnung sämtlicher Serveranfragen in Textdateien, etwa Zeit und Datum der Anfrage, IP-Adresse des Anfragenden, Nutzernamen (nur bekannt, wenn der Nutzer sich auf der Seite mit seinem Passwort angemeldet hat), Server Port, Anfrage des Browsers, Statuscodes, übermittelte Datenmenge in Bytes, benötigte Zeit zur Beantwortung der Anfrage, Informationen zum Browser und Betriebssystem des Endgerätes, Pfad über den der Nutzer zu der Anfrage verlinkt wurde, und Cookie-Identifizierungsnummer: Inan, Measuring the success of your website, S. 169–176; Facca, in: Berendt/Hotho/Mladenič et al. (Hrsg.), From Web to Social Web, S. 21 (29). 110 Javascripts und Zählpixel ermöglichen das ‚Page Tagging‘. Bei jeder Seitenanfrage werden Script und Pixel vom Server zusammen mit der Website übermittelt. Das Script wird im Browser des Nutzers geladen und sammelt Informationen, z. B. Mausbewegungen und Klicks, das Abspielen von Multimediadateien, Größe und Auflösung des Bildschirms sowie Tastatureingaben. Während der Browser das Pixelbild selbstständig von einem weiteren Server abruft, werden die vom Script ermittelten Informationen mit an den Server übertragen, von dem das Pixelbild abgerufen wird. Page Tagging schließt so Informationslücken in den Logfiles: Eine Logdatei zeichnet lediglich Serveranfragen auf, beim Page Tagging werden die Aktivitäten des Nutzers zwischen den Serveranfragen erfasst. Vgl. zum Ganzen: Hassler, Web Analytics, S. 55. 111 Die IP-Adresse verrät bereits den ungefähren Standort des Nutzers. Verwendet dieser jedoch ein Endgerät, das einen GPS-Empfänger besitzt (standardmäßig ist dies bei Smartphones und Tablet-PCs der Fall), können Website-Betreiber mithilfe einer Schnittstelle den Standort des Nutzers auf wenige Meter genau bestimmen. 112 Ein Bündel an Einstellungen und Merkmalen des Betriebssystems und des Browsers eines Nutzers, die der Anbieter automatisch durch das Web-Protokoll mitgeteilt bekommt oder aktiv erheben kann, Tillmann, Browser Fingerprinting, S. 13. In einer Studie von Tillmann waren 17.937 Teilnehmer in 16.605 Fällen durch den ‚Fingerprint‘ eindeutig wiedererkennbar (dies entspricht 92,57 Prozent). 1.189 Teilnehmer ließen innerhalb von 30 Tagen ihren Fingerprint zweimal oder häufiger ermitteln, wobei in 704 Fällen der Browserfingerprint exakt gleich blieb, bei insgesamt 90 Prozent der Mehrfachteilnehmer änderte sich der Fingerprint lediglich sehr geringfügig, Tillmann, Browser Fingerprinting, S. 85; 90–91. 113 Dazu ausführlich Dietrich, ZD 2015, 199. 114 Textdateien, die zusammen mit einer angefragten Website an den Browser geschickt und dort im txt-Format gespeichert werden: Inan, Measuring the success of your website, S. 163; Clifton, Advanced Web Metrics mit Google Analytics, S. 44; Hauser, AJAX, S. 511. Ihr Inhalt kann u. a. detaillierte Informationen über zuletzt besuchte Webseiten liefern.

158

D. Interessenausgleich im Umfeld sozialer Netzwerke

hen ihnen mit Social Plugins aber auch spezifische Werkzeuge zur Verfügung: Von den Betreibern sozialer Online-Netzwerke zur Verfügung gestellte Quellcode-Schnipsel können auf beliebige Homepages außerhalb des Netzwerks eingebunden werden.115 Der Besucher der Seite sieht dann bestimmte Inhalte der Netzwerkplattform, z. B. den Like-Button von Facebook, auf der externen Webseite. Ist ein Nutzer eines sozialen Online-Netzwerkes während seines Besuches auf dieser exter­nen Seite im Netzwerk eingeloggt (was in einem Session-Cookie im Browser gespeichert ist), stellt der eingebundene Button eine direkte Verbindung zum Server des sozialen Online-Netzwerkes her. Übermittelt wird u. a. die Information, dass der Nutzer sich auf der Seite aufhält und auch, ob er mit dem Plugin interagiert hat oder nicht.116 Verfahren der Datenauswertung ermöglichen es sodann, aus den Rohdaten nützliche Informationen zu extrahieren und diese Daten bedarfsgerecht zu strukturieren und zu verknüpfen. Verfahren, die sich mit diesen Vorgängen befassen, werden umfassend als ‚Data Mining‘117, spezialisiert auf die Auswertung von Daten im Netz als ‚Web Mining‘118, bezeichnet. Web Mining in sozialen Netzwerken ist durch eine Kombination verschiedener Verfahren und Technologien möglich, die zum großen Teil  aus den Bereichen Data Mining, ‚Informationsrückgewinnung‘119 und ‚Maschinelles Lernen‘120, dort insbesondere Erkennung und Auswertung von Menschen erstellter Texte, stammen.121 Für das Social Media Mining bedeutende Fortentwicklungen spielen sich z. B. in der Computerlinguistik 115 Zur Funktion und Einbindung von Social Plugins: Facebook, Webseite ‚Über soziale Plug-ins‘. 116 Zu den technischen Details und Möglichkeiten der Verwendung am Beispiel des Facebook ‚Like‘-Buttons: Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 208–211. 117 Häufig gleichbedeutend mit ‚Knowledge Discovery in Data Bases‘ verwendet; es werden Daten aus einer Datenbank ausgewertet, um z. B. Ähnlichkeiten oder Häufigkeiten zu erkennen (sog. Cluster), Ausreißer zu definieren, Daten zu klassifizieren oder Zusammenhänge und Muster mithilfe von Assoziationsanalysen zu erkennen (Graubner-Müller, Web Mining in Social Media, S. 37–39) und so benötigtes Wissen aus Daten zu gewinnen (Xu/Li/Zhang, Web Mining and Social Networking, S. 5). 118 Kosala/Blockeel, ACM SIGKDD EN 2000, 1 (2); Kollmann, Online-Marketing, S. 215. 119 Auffinden derjenigen Datenpakete innerhalb eines Datenbestands, die eine möglichst genaue Antwort auf eine gestellte Anfrage beinhalten: Göker/Davies, Information Retrieval, S. XXI; Graubner-Müller, Web Mining in Social Media, S. 41. Dieses Verfahren ist eine der Grundlagentechniken für die Entwicklung intelligenter Suchmaschinen, Graubner-Müller, Web Mining in Social Media, S. 42. 120 Sammlung und Auswertung von Erfahrungen, die für die Zukunft zu neuen Erkenntnissen führen, also z. B. aufgrund gesammelter Werte eine bestimmte Prognose zulassen. Das maschinelle Lernen ermöglicht wiederum die automatisierte Durchführung von Verfahren des Data Mining. Gesichtserkennung und Prognosen über Konsumverhalten sind nur zwei der nützlichen Ergebnisse des maschinellen Lernens. Vgl. zum Ganzen: Alpaydin, Maschinelles Lernen, S. 4–8; 130 ff. 121 Xu/Li/Zhang, Web Mining and Social Networking, S. 6. Ähnlich, jedoch ohne das maschinelle Lernen als Oberbegriff explizit zu benennen: Graubner-Müller, Web Mining in­ Social Media, S. 35–37.

I. Netzwerkumgebung: Eingrenzung des Untersuchungsgegenstandes  

159

(Verarbeitung menschlicher Sprache durch Computer122) ab, wodurch etwa automatisierte Übersetzungen und Spracherkennungsmodule möglich werden; Computer können aber auch ‚lernen‘, aus von Menschen verfassten Texten Informationen oder Stimmungen und Meinungen herauszulesen.123 Verfahren des ‚Web Structure Mining‘124 können aufdecken, wie Inhalte sozialer Netzwerke sich durch Teilen verbreiten oder wie sie zusammenhängen. Beim ‚Web Usage Mining‘125 werden hauptsächlich Daten aus Logdateien126 und Page-Tagging ausgewertet, doch auch Cookies und Social Plugins liefern wertvolle Erkenntnisse zum Verhalten der Netzwerknutzer. Dieses gestattet Rückschlüsse auf Marketingfaktoren wie Vorlieben und Gewohnheiten des Nutzers.127 Die umfangreiche und komplexe Strategie des ‚Web Content Mining‘ unterzieht Inhalte (Texte, Bilder, Multimedia, Metadaten etc.)128 von Web-Dokumenten einer Auswertung.129 Dies erlaubt die Einordnung von Webseiten oder Teilen davon in bestimmte Themengebiete, die Auswertung des Meinungs- und Stimmungsbildes zu einem Thema und sogar das Auslesen von Informationen, die nur implizit und nicht ausdrücklich vorhanden sind.130 Die Inhalte sozialer Online-Netzwerke bestehen fast ausschließlich aus Text und Multimedia-Dateien und sind dadurch prädestiniert für eine Anwendung von Content Mining. Neben der Möglichkeit, Strategien und Technologien des Social Media Mining nach den obigen Grundsätzen selbst zu entwickeln, besteht für sämtliche Akteure auch die Option, bereits bestehende Angebote (etwa Google Analytics131) wahrzunehmen. Daneben halten die Anbieter sozialer Online-Netzwerke in aller Regel auch eigene Analyse-Tools bereit, mit denen die Webpräsenz im sozialen Netzwerk ausgewertet werden kann.132 Kategorien (auch: ‚Webmetriken‘), mithilfe derer ein Webauftritt in sozialen Netzwerken bewertet wird, sind u. a.: Referrals: (von welcher Stelle im Web wurde der Nutzer zu dem Beitrag geleitet?), Reichweite (Per 122

Voltmer, Computerlinguistik für die Terminografie im Recht, S.  4; Graubner-Müller, Web Mining in Social Media, S. 44. 123 Graubner-Müller, Web Mining in Social Media, S. 44–46. Besonders großes Potenzial verspricht die Extraktion von Stimmungen und Meinungen, hier besteht allerdings noch erheblicher Forschungsbedarf, vgl.: Werner, Social Media, S. 181. 124 Dazu: Graubner-Müller, Web Mining in Social Media, S. 33; Kollmann, Online-Marketing, S. 216. 125 Dazu: Kollmann, Online-Marketing, S. 216. 126 Die reine Auswertung von Logdateien taucht auch als selbstständige Disziplin unter dem Namen „Web Log Mining“ auf, vgl. Graubner-Müller, Web Mining in Social Media, S. 34; Facca, in: Berendt/Hotho/Mladenič et al. (Hrsg.), From Web to Social Web, S. 21 (21). 127 Graubner-Müller, Web Mining in Social Media, S. 34. 128 Kosala/Blockeel, ACM SIGKDD EN 2000, 1 (3). 129 Graubner-Müller, Web Mining in Social Media, S. 34; Kosala/Blockeel, ACM SIGKDD EN 2000, 1 (3); Kollmann, Online-Marketing, S. 215–216. 130 Graubner-Müller, Web Mining in Social Media, S. 35. 131 Auf die Auswertung sozialer Netzwerke spezialisiert ist z. B. die Anwendung Google Analytics Social Reports, vgl. dazu Werner, Social Media, S. 97–99. 132 Werner, Social Media, S. 31–38; 63–64.

160

D. Interessenausgleich im Umfeld sozialer Netzwerke

sonen, denen ein Beitrag angezeigt wurde), Engagement (Interaktion von Nutzern mit einem Inhalt), Bounces (Nutzer, die die Seite wieder verlassen), Viralität (Verbreitung eines Beitrags), Conversions (ein Ereignis, das vom Betreiber der Webpräsenz als Erfolg gewertet wird, z. B. das Bestellen eines Newsletters) und Sales (Verkäufe, die sich mit der Webpräsenz in Verbindung bringen lassen).133 Ein auf das Monitoring, d. h. die systematische Auswertung von Informationen über die eigene Social Media Präsenz hinaus,134 spezialisierter Anbieter ist ­Bottlenose, der öffentlich zugängliche Meldungen zu Schlagworten innerhalb sozialer Netzwerke nach ihrer Häufigkeit strukturiert auflistet.135

II. Interessengefüge und besondere Voraussetzungen für den Interessenausgleich im Umfeld sozialer Online-Netzwerke 1. Akteure und ihre Interessen In rechtlichen Zusammenhängen finden sich ganz unterschiedliche Definitionen für den Interessenbegriff136, die jedoch dem alltäglichen Sprachgebrauch137 recht nahe sind, da weder gesetzlich noch höchstrichterlich138 eine allgemeine Definition existiert. Im Folgenden sollen die Sondierung der Interessenlage und die Ermittlung spezifischer Voraussetzungen der Netzwerkumgebung als Argumentationsgrundlage für den Abgleich der Relevanz und Funktionsweise datenschutzrechtlicher Ausgleichsinstrumente  – Belange (□), Kriterien (△) und Wertungen (○) – im Kontext sozialer Netzwerke mit der erkennbaren gesetzgeberischen Intention und den für andere Szenarien entwickelten Anwendungsstrategien der Recht 133 Vgl. hierzu am Beispiel von Facebook: Werner, Social Media, S. 39–47; 90–94. Hassler ordnet die Metriken in die Kategorien „Traffic Quellen“, „Besuchereigenschaften“, „Besucherverhalten“ und „Inhaltsnutzung“ ein: Hassler, Web Analytics, S. 288–292. 134 Jung, PinG 2015, 170 (171); Solmecke/Wahlers, ZD 2012, 550 (550–551). 135 Werner, Social Media, S. 178. 136 Z. B. „Begehrungstendenz“ (Heck, AcP 1914, 1 (11); Heck, Begriffsbildung und Interessenjurisprudenz, S.  37), „Bedürfnis“ (Müller-Erzbach, Die Rechtswissenschaft im Umbau, S. 40), „menschliche Beziehung zu Gütern und Werten“ (Hubmann, AcP 1956, 85 (96)), „Wunschbeziehung eines Individuums […] zu Objekten“ (Rieder, Interessenabwägung in der Rechtsprechung des BGH zum Namens- und Bezeichnungsschutz, zum Recht am Gewerbebetrieb und zum allgemeinen Persönlichkeitsrecht, S. 4.), „Willenszustände“ (Windisch, in: Müller/Mastronardi (Hrsg.), Abwägung, S. 19 [48]). 137 Abgeleitet aus dem Lateinischen ‚inter esse‘ (‚dabei sein‘, ‚beteiligt sein‘, aber auch: ‚dazwischen liegen‘) bedeutet das Wort zum einen ‚geistige Anteilnahme‘ oder ‚Aufmerksamkeit‘, zum anderen ‚Neigung‘, ‚Vorliebe‘, oder auch ‚das, woran jemandem sehr gelegen ist, was für jemanden oder etwas wichtig oder nützlich ist‘, eine ‚Bestrebung‘ oder ‚Belange‘, vgl. die Bedeutungserklärung im Duden Online, Stichwort ‚Interesse‘. 138 Rieder, Interessenabwägung in der Rechtsprechung des BGH zum Namens- und Bezeichnungsschutz, zum Recht am Gewerbebetrieb und zum allgemeinen Persönlichkeitsrecht, S. 1.

II. Interessengefüge und besondere Voraussetzungen 

161

sprechung dienen; ermittelt werden deswegen zunächst umfassend sämtliche Belange faktischer, wirtschaftlicher, finanzieller sowie ideeller Natur. a) Nutzerinteressen Nutzer sozialer Netzwerke sind an einer innovativen Benutzeroberfläche und einer möglichst bequemen und einfachen Handhabung139 interessiert. Auch monetäre Interessen spielen eine Rolle. Die kostenlose Bereitstellung von Netzwerkdienstleistungen ist zum Regelfall geworden und wird von den Nutzern dementsprechend erwartet.140 In einer Studie der Tomorrow Focus Media141 offenbaren Nutzer ein großes Interesse an Datenschutz und Datensicherheit in sozialen Netzwerken: 72,4 Prozent geben an, ihnen sei Datensicherheit wichtig, für 69 Prozent der Befragten gelten die Privatsphäreeinstellungen als Auswahlkriterium bei der Entscheidung für die Nutzung eines Netzwerkdienstes.142 Ganze 55,7 Prozent der Nutzer stören sich sogar an individuell zugeschnittener Werbung aufgrund des Wissens, dass diese auf der Grundlage der Auswertung ihrer persönlichen Daten gestaltet wird.143 Ebenfalls relevant für die Auswahl eines Netzwerks sind die Anzahl der dort angemeldeten Freunde (52 Prozent) und die Funktionalität des Netzwerks (46,9 Prozent). Weniger Interesse haben Nutzer dagegen an der Internationalität eines Netzwerks (26,4 Prozent) und an Verknüpfungsmöglichkeiten zwischen den Netzwerken (9 Prozent). 70,9 Prozent der Befragten geben an, soziale Netzwerke ausschließlich zu privaten Zwecken zu nutzen; lediglich drei Prozent nutzen dagegen solche Netzwerke nur zu beruflichen Zwecken, 26,1 Prozent für beide Zwecke. Unter den Motiven für die Netzwerknutzung rangieren folglich der Austausch mit Freunden (51,7 Prozent der Männer und 62,7 Prozent der Frauen) und das Interesse an deren Profilen (45,8 Prozent der Männer und 61 Prozent der Frauen) ganz oben, während die Pflege beruflicher Kontakte einen geringeren Stellenwert einnimmt (27,8 Prozent der Männer und 18,6 Prozent der Frauen). Soziale Netzwerke dienen den Nutzern außerdem als Informationskanal über das Tages- und Weltgeschehen (39,2 Prozent der Männer und 33,0 Prozent der Frauen geben dies als Nutzungsmotiv an; Neuigkeiten aus der Welt sind für 65,4 Prozent der Frauen und 68,4 Prozent der Männer 139

Niemann/Scholz, in: Peters/Kersten/Wolfenstetter (Hrsg.), Innovativer Datenschutz, S. 109 (112). 140 Roßnagel, DuD 2016, 561 (562). 141 Tomorrow Focus Media, Social Trends Studie. Die nachfolgenden Zahlen dieses Kapitels sind, soweit nicht anders angegeben, sämtlich dieser Studie entnommen. 142 Zur besonderen Bedeutung der Nachfrage nach datenschutzfreundlichen Technologien im Zusammenhang mit sozialen Medien: Mantelero, IDPL 2013, 229 (231). 143 53 Prozent bei EU-weiter Studie: Europäische Kommission, Special Eurobarometer 431, S. 39.

162

D. Interessenausgleich im Umfeld sozialer Netzwerke

ein Thema, über das sie sich in sozialen Netzwerken informieren), Veranstaltungen und Events (34,5 Prozent der Männer und 43 Prozent der Frauen) sowie über Marken, Produkte und Dienstleistungen (jeweils 30,6 Prozent der Männer und Frauen). Etwas in den Hintergrund gerückt ist demgegenüber das Interesse an Datenaustausch (23,2 Prozent der Männer und 15,9 Prozent der Frauen) und an Community-Aktivitäten (jeweils rund 21 Prozent bei Männern und Frauen). Während in einer DIVSI-Studie (DIVSI: Deutsches Institut für Vertrauen und Sicherheit im Internet) immerhin 63 Prozent der Befragten angeben, das Internet zu nutzen, um andere an ihrem Leben teilhaben zu lassen,144 bekunden allerdings laut Tomorrow Focus Media nur 18,8 Prozent der Männer und 21 Prozent der Frauen Interesse daran, Bilder hochzuladen und mit anderen zu teilen. Insgesamt halten sich demgegenüber rund 73 Prozent der Nutzer selbst für passive Nutzer, nur etwa 27 Prozent gaben an, sich als aktive Nutzer sozialer Netzwerke einzustufen. Unterteilt wurden die befragten Nutzer je nach der Priorität der Selbstdarstellung in „Social Poser“ („Ich gebe alle meine Daten preis“), „Schüchterne“ („überlege gut, welche Daten ich angebe und veröffentliche“) und „Daten-Verweigerer“ („Ich gebe generell keine Daten im Internet an“). Insgesamt stellen die „Social Poser“ mit 3,8 Prozent gegenüber den „Schüchterne[n]“ mit 79,7 Prozent und den „Datenverweigerer[n]“ mit 16,5 Prozent dabei eindeutig die kleinste Gruppe unter den Befragten dar. b) Unternehmerinteressen Unternehmen streben danach, die Daten sozialer Online-Netzwerke zu nutzen, um ihr Geschäft voranzutreiben.145 Schon bei der Entwicklung neuer Produkte oder Dienstleistungen können Auswertungen der Inhalte sozialer Medien Anregungen liefern, Trends und Konsumentenbedürfnisse aufzeigen. Die Analyse des Verhaltens der als Konsumenten erkannten Nutzer deckt deren Wünsche, Vorstellungen, Gewohnheiten, Motivationen und Einstellungen auf, die wiederum die Kaufentscheidung maßgeblich beeinflussen. Marketing und Verkauf profitieren von Image-Analysen und können Kampagnen mithilfe der Reaktion der Nutzer auf ihre Wirksamkeit hin untersuchen und optimieren. Unternehmer sind in der Lage die Stimmung bei derzeitigen oder potenziellen Investoren auszuloten und die günstigsten Standorte für Offline-Verkaufsstellen zu ermitteln. Netzwerk-Inhalte geben auch Auskunft über das Ansehen des eigenen Unternehmens, die Beliebtheit der vom Unternehmen vertriebenen Marken und den Ruf als Arbeitgeber.146 144 DIVSI, Internet-Milieus, S. 22. Größere Bedeutung misst den Selbstdarstellungsinteressen aber wohl Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 487, bei. 145 Allgemeiner Buchner, DuD 2010, 39 (66): „Private Unternehmen sind an personenbezogenen Daten in erster Linie deshalb interessiert, weil sie Geld verdienen wollen.“ 146 Zur in diesem Absatz beschriebenen Nutzung sozialer Medien im Rahmen des Geschäftsmodells umfassend: Graubner-Müller, Web Mining in Social Media, S. 59–73.

II. Interessengefüge und besondere Voraussetzungen 

163

Eine Studie im Auftrag des bevh (Bundesverband E-Commerce und Versandhandel Deutschland)  deckt auf, dass für 86 Prozent der befragten Unternehmen die Hauptgründe der Social Media-Nutzung in einem engen Kundenkontakt (28 Prozent), der Nutzung als Marketingplattform (30 Prozent) und der Steigerung des Bekanntheitsgrades und des Umsatzes (24 Prozent) liegen; lediglich sechs Prozent der befragten Unternehmen nutzen soziale Netzwerke hingegen, um Kunden selbst zielgruppenorientiert anzusprechen.147 aa) Marketing Marketing meint die „Planung, Koordination und Kontrolle aller auf die aktuellen und potenziellen Märkte ausgerichteten Unternehmensaktivitäten“148; als ganzheitliches Konzept soll Marketing eine markt- und kundenorientierte149 Unternehmensführung mit allen zugehörigen Aufgaben umfassen. Bestandteile des Social Media Marketings sind die Erstellung und Pflege von Profilen, die Erzeugung und Überwachung von Content, Interaktion mit anderen Usern, der Betrieb von Social Plugins, das Schalten von Werbung sowie Analysen des eigenen Webauftritts.150 Vorteilhaft an einem Auftritt im sozialen Netzwerk zu Marketingzwecken ist, dass auf diese Weise ein (freiwilliger) Kontakt zwischen Unternehmen und Kunden hergestellt werden kann, dass das Profil eine große Reichweite besitzt und die Erstellung und Pflege vergleichsweise wenig kostenintensiv ist.151 Ist ein Unternehmen zu Marketing-Zwecken in sozialen Online-Netzwerken aktiv, so benötigt es Daten, um den Web-Auftritt den Marketingzielen entsprechend zu gestalten. Hierzu gehören die Seitenaufrufe und Eigenschaften der Nutzer, die sich für die Seite interessieren, aber auch Likes oder Follower und insbesondere inhaltliche Reaktionen, z. B. die Aussagen in Tweets oder Kommentaren sind von Interesse.152 Andererseits generieren Marketingaktivitäten wieder neue Daten, z. B. in Form der Reaktionen von Kunden, die wiederum für das Unternehmen wertvoll sind. Erfolgreiches Marketing orientiert sich an der Stimmung bezüglich einer Marke, an ihrer Bekanntheit und an den Bedürfnissen der Konsumenten – allesamt Informationen, die durch die Auswertung von Inhalts- und Nutzungsdaten sozialer Online-Netzwerke im Rahmen von Social Media Monitoring erlangt wer 147

bevh, Die Wirtschaftslage im deutschen Interaktiven Handel B2C 2014/2015, S. 22. Scheuch, Marketing, S. 33–34. 149 Scharf/Schubert/Hehn, Marketing, S. 3. 150 Kollmann, Online-Marketing, S. 196–197. 151 Lichtnecker, GRUR 2013, 135 (136). 152 Auf die Auswertung von Inhalten spezialisiert ist u. a. die ‚Sentiment Detection‘, eine Unterdisziplin des Text Mining, die sich mit der computergestützten Extraktion der Meinung einer natürlichen Person aus einem von ihr verfassten Text beschäftigt. Den Wert dieser Technik für das Marketing erkannten Forscher bereits vor dem Boom der sozialen Netzwerke, vgl. Ziegler, iX 2006, 106. Allerdings gibt es noch Verbesserungsbedarf, was die Auswertung betrifft – die Sentiment-Analyse sei „keine wirklich ausgereifte Technologie“: Werner, Social Media, S. 181. 148

164

D. Interessenausgleich im Umfeld sozialer Netzwerke

den können, weshalb Unternehmen auch daran ein Interesse besitzen.153 Darüber hinaus sind im Rahmen des Marketings sämtliche Inhalte eines Netzwerkes interessant, sofern sie sich auf die Bezüge zu Produkten, Dienstleistungen oder Unternehmen hin auswerten lassen. bb) Werbung Werbung in sozialen Netzwerken verspricht wegen der zielgenauen Ausspielung an den gewünschten Adressatenkreis eine große Effektivität.154 Mithin setzen Unternehmen soziale Netzwerke regelmäßig dazu ein, ihre Werbeanzeigen zu platzieren.155 Im Rahmen der Werbung interessieren sich Unternehmen für zweierlei Arten von Daten: Zunächst ist für interessengerechte Werbung der Adressatenkreis von Bedeutung. Die Zielgruppenbeschreibung enthält im Regelfall soziodemographische Merkmale wie Alter, Geschlecht, Einkommen, Wohnort und psychographische Definitionen wie Persönlichkeitsmerkmale, Lebensstil, politische und gesellschaftliche Ansichten.156 Im Zusammenhang mit sozialen Netzwerken sind hier insbesondere die vom Nutzer eingespeisten Daten und durch die Nutzung entstandene Nutzungsprofile relevant.157 Ist die Werbung geschaltet worden, geben die Reaktionen der Adressaten Auskunft darüber, wie erfolgreich eine Werbeanzeige ist (sog. Werbewirkungsmessung158). Dazu gehören Angaben zur Reaktion auf die Anzeige, etwa Häufigkeit der Klicks auf die eigentliche Anzeige (Klick-Rate), Häufigkeit der Weiterleitung zur Produkt- oder Bestellseite (Abbruch-Rate)159, aber auch Eigenschaften der Personen, die auf die Werbung reagierten, und ob sie nach Anzeige der Werbung anderweitig mit dem Unternehmen oder Produkt in Kontakt kamen. Besonders erfolgreich ist eine Werbung, wenn daraus eine aktive Kontaktaufnahme des Nutzers resultiert, z. B. in Form einer ‚Gefällt-mir‘-Angabe, einer Weiterverbreitung der Werbeanzeige, durch einen Kommentar oder Tweet zum Unternehmen oder Produkt oder sogar durch den Besuch eines Online- oder Offline-Stores. All diese Informationen können den Werbetreibenden vom Anbieter in Rohform oder aufbereitet in Grafiken und Statistiken zur Verfügung gestellt werden.

153

Schreiber, PinG 2014, 34 (34); Venzke-Caprarese, DuD 2013, 775 (775). Siehe oben unter D. I. 4. 155 Lichtnecker, GRUR 2013, 135 (135). 156 Kloss, Werbung, S. 194–201. 157 Bauer, MMR 2008, 435 (435). 158 Dazu auch unter D. I. 4. a). 159 Übersichtliche Darstellung der Erfolgsfaktoren ‚Klick-Rate‘ und ‚Abbruch-Rate‘ bei Kloss, Werbung, S. 385. 154

II. Interessengefüge und besondere Voraussetzungen 

165

cc) Public Relations und Imagepflege Unternehmen wollen ihre Werte, Einstellungen, aber auch Informationen über Produkte und Preise nach außen kommunizieren, zum einen an potenzielle Kunden, zum anderen an Geschäftspartner, Konkurrenten und Investoren.160 So steigern sie ihren Bekanntheitsgrad und steuern die Wahrnehmung in der Öffentlichkeit. Hierfür bieten soziale Online-Netzwerke die ideale Plattform: Unternehmen können sich selbst und die eigenen Produkte darstellen,161 Informationen in gewünschter Form verbreiten und damit einen breiten Kreis von Nutzern ansprechen. Dabei kann sogar das Einhalten von Datenschutzvorschriften oder das Ergreifen darüber hinausgehender Maßnahmen selbst zu einem das Image eines Unternehmens maßgeblich prägenden Faktor werden.162 Um ihr Image zu pflegen und ihre Außenkommunikation zu steuern, gestalten Unternehmen daher Online-Auftritte innerhalb sozialer Netzwerke und werden in den Netzwerken auch selbst aktiv (Tweets, Kommentare, Fotos, Videos etc.). Für eine möglichst erfolgreiche Planung und Durchführung der eigenen Darstellung und möglicher Aktivitäten, benötigen Unternehmen eine Reihe von Daten wie Seitenaufrufe, Eigenschaften der Nutzer, die die Seite besucht haben, Likes, Follower und inhaltliche Reaktionen auf Aktionen und Kampagnen. dd) Feedback und Customer Relationship Management Kommunikation findet jedoch nicht nur vom Unternehmer zum Kunden, sondern auch in umgekehrter Richtung statt. Kunden können in sozialen Netzwerken bewusst Rückmeldung darüber geben, ob ihnen ein Produkt zusagt, Probleme melden und Fragen stellen. So lässt sich im Rahmen sozialer Netzwerke auch die Anbieter-Kunden-Beziehung163 vielfältig gestalten. Die hierbei entstehenden Aussagen über die Zufriedenheit der Kunden und Qualität der Produkte sind für Unternehmen ebenfalls wertvolles Datenmaterial. Allerdings gibt lediglich ein Prozent hierzu befragter Unternehmen den Kundensupport als Grund für die Nutzung sozialer Medien an.164

160 Schaubild zu Funktionen der Unternehmenskommunikation bei Mast, Unternehmenskommunikation, S. 15. 161 Lichtnecker, GRUR 2013, 135 (135). 162 Datenschutz Compliance als „Wettbewerbsvorteil“: Heckmann, in: Schmidt/Weichert (Hrsg.), Datenschutz, S. 267 (276). 163 Das Customer Relationship Management befasst sich mit der Ausgestaltung der Beziehung zwischen Anbieter und Abnehmern mit dem Ziel der Steigerung von Kundenzufriedenheit und -treue, Gewinnoptimierung und Ausbau der Wettbewerbsfähigkeit vgl. Schumacher/ Meyer, Customer Relationship Management strukturiert dargestellt, S. 19–20. 164 bevh, Die Wirtschaftslage im deutschen Interaktiven Handel B2C 2014/2015, S. 22.

166

D. Interessenausgleich im Umfeld sozialer Netzwerke

ee) Recruiting und Human Resources Arbeitgeber können durch aktive und gezielte Suche in sozialen Netzwerken geeignete Kandidaten für vakante Stellen auffinden und ansprechen165 bzw. generell eine Plattform für die Darstellung des Unternehmens als Arbeitgeber schaffen und müssen hierfür lediglich minimalen finanziellen und zeitlichen Aufwand betreiben166. Schon vor der Einstellung eines Bewerbers sind potenzielle Arbeitgeber außerdem an deren Qualifikationen, Eigenschaften und Referenzen interessiert. Eine Recherche in den Inhalten sozialer Netzwerke kann hier aussagekräftige Ergebnisse liefern. So sind zum einen primäre Aussagen über den Bewerber möglich, die seine Eigenschaften und Fähigkeiten beschreiben und damit die herkömmlichen Informationsquellen (Anschreiben, Lebenslauf, Zeugnisse, persönlicher Eindruck) ergänzen.167 Zum anderen kann die Netzwerkrecherche auch als sekundäre Informationsquelle dienen, z. B. um Angaben des Bewerbers im Lebenslauf zu verifizieren.168 Auch wenn bereits ein Beschäftigungsverhältnis besteht, sind für Arbeitgeber die in sozialen Netzwerken gemachten Angaben der Arbeitnehmer noch von Interesse.169 So können sie Details in Erfahrung bringen, die für die Talentförderung relevant sind oder einen Zusammenhang mit der Arbeitsleistung aufweisen. Das Interesse von Unternehmen gilt auch regelmäßig der Ehrlichkeit ihrer Angestellten (z. B. dem Wahrheitsgehalt von Krankmeldungen170) und der Stimmung der Arbeitnehmer und potenzieller Bewerber gegenüber dem Unternehmen171

165 Howald, öAT 2013, 133 (134). Diese Art der Personalbeschaffung, die „das gleichzeitige Suchen, Finden und Gewinnen von Talenten“ beinhaltet, wird auch als „proaktive Kandidatensuche“ oder „Active Sourcing“ bezeichnet, Dannhäuser, in: Dannhäuser (Hrsg.), Praxishandbuch Social Media Recruiting, S. 1 (3). In Verbindung mit sozialen Online-Netzwerken hat sich in der Literatur sogar bereits der Begriff des ‚Social Media Recruitings‘ etabliert, vgl. z. B. den Buchtitel bei Dannhäuser (Hrsg.), Praxishandbuch Social Media Recruiting. Den ‚Talentmanager‘, ein Active Recruiting Tool von XING, nutzten 2014 der Social Media Recruiting Studie_2014 zufolge immerhin 10 Prozent der 422 befragten Unternehmen gelegentlich, 15 Prozent regelmäßig und 2 Prozent setzten ihn im Zusammenhang mit der Besetzung ausgewählter Positionen ein, vgl. Zils, Social Media Recruiting Studie_2014, S. 27. 166 Bissels/Ziegelmayer/Kiehn, BB 2013, 2869 (2869). 167 Schneider spricht von „zusätzlichen Informationen über den Bewerber“, Schneider, Social Media – der neue Trend in der Personalbeschaffung, S. 42. 168 Diese Option erfasst Schneider in der Überschrift „Verifizierung“ (Überschrift 3.2.3): Schneider, Social Media  – der neue Trend in der Personalbeschaffung, S.  42. Zum nahe­ liegenden Zusammenhang zwischen einem Abgleich bekannter Informationen und der Hinzugewinnung neuer Daten: Howald, öAT 2013, 133 (134). 169 Göpfert/Wilke, NZA 2010, 1329 (1329). 170 Dazu Göpfert/Wilke, ArbAktuell 2011, 159 (159–160). 171 Das sogenannte „Employer Branding“, also die Innen- und Außendarstellung eines Unternehmens als Arbeitgeber, soll die Einstellung von Mitarbeitern und Bewerbern in der gewünschten Richtung beeinflussen, Schneider, Social Media  – der neue Trend in der Personalbeschaffung, S.  26. Employer Branding mittels Social Media betrieben 2014 ganze 41,9 Prozent von im Rahmen einer Studie befragten 370 Unternehmen, vgl. Zils, Social Media Recruiting Studie_2014, S. 6.

II. Interessengefüge und besondere Voraussetzungen 

167

oder ihrer Positionierung gegenüber den hergestellten Marken, Produkten und Dienstleistungen172. c) Anbieterinteressen Das Geschäftsmodell sozialer Netzwerke beruht primär auf dem Angebot einer möglichst attraktiven Kommunikationsplattform für Nutzer, die sich den Netzwerkeffekt, sinkende Transaktionskosten und soziales Kapital zunutze macht, um insbesondere mittels interessengerechter Werbung Erträge zu erwirtschaften.173 Anbieter sozialer Netzwerke haben daher einerseits ein Interesse daran, ihr Netzwerkangebot möglichst interessant, vielseitig und insgesamt konkurrenzfähig zu gestalten;174 andererseits soll ein möglichst effektives Werbemodell Erträge sichern. aa) Dienstleistung und Angebotsoptimierung Die Dienstleistung ‚soziales Online-Netzwerk‘ beruht auf dem Prinzip, dass viele Einzelne sich selbst über ein Profil darstellen und mit anderen verbinden und dabei persönliche Informationen preisgeben.175 Um seine Funktionen und Leistungen anbieten zu können, ist der Netzwerkbetreiber also darauf angewiesen, dass die Nutzer ihm Daten überlassen. Bis zu einem gewissen Grad ist hiervon das Funktionieren des Netzwerkes abhängig – z. B. ist eine Profilerstellung ohne Angabe eines Nutzernamens schon gar nicht möglich –, ansonsten sorgt das Engagement der Nutzer und damit die Preisgabe ihrer Daten für die Attraktivität und Verbreitung des Netzwerks. Das Nutzerverhalten, die Beliebtheit von Themen, Anwendungen, etc. interessieren den Anbieter außerdem zum Zwecke der Verbesserung seines Angebots.176 Die Netzwerk-Software und neue Anwendungen können am effektivsten optimiert werden, wenn der Nutzer durch sein Verhalten Stärken und Schwachstellen darin aufzeigt. Die Auswertung der persönlichen Vorlieben, Freundschaften und beliebter Themen ermöglicht zudem ein personalisiertes Nutzungserlebnis; dabei werden jedem Nutzer nach dem Login die Informationen angezeigt, die einer Auswertung seiner Daten zufolge für ihn besonders interessant sind.177 Es erscheinen dann z. B. primär Neuigkeiten und Postings der-

172

Beispiel bei Göpfert/Wilke, NZA 2010, 1329 (1330). Dazu unter D. I. 4. a). 174 Karg, HFR 2012, 120 (129). 175 Bauer, MMR 2008, 435 (435). 176 Kein solches Eigeninteresse des Netzwerkanbieters sehen aber offenbar Jandt/Roßnagel, ZD 2011, 160 (166). 177 Zur Erstellung von Nutzungsprofilen zum Zwecke des Angebots personalisierter Dienste allgemein Bauer, MMR 2008, 435 (435). 173

168

D. Interessenausgleich im Umfeld sozialer Netzwerke

jenigen Kontakte, mit denen ein Nutzer besonders häufig interagiert oder mit denen ihn gemeinsame Interessen oder Verwandtschaftsverhältnisse verbinden. bb) Werbung Für die Werbung im sozialen Netzwerk erstellt der Werbetreibende eine Anzeige mit einem Budgetrahmen und gibt Anweisungen, welchem Publikum diese zugänglich gemacht werden soll (Zielgruppe). Der Netzwerk-Anbieter zeigt dann die Werbung denjenigen Nutzern an, die auf die Anforderungen des Werbetreibenden passen.178 Zielgruppenkategorien, die ein Werbetreibender selektieren kann, um nur den passenden Mitgliedern seine Werbung zu zeigen, decken sich großteils mit den aus der Werbeforschung bekannten soziodemographischen und psychographischen Zielgruppenmerkmalen (z. B. Geschlecht, Alter, Bildung, Beruf, Wohnort, politische, religiöse und gesellschaftliche Ansichten und Einstellungen179), wobei die sozialen Netzwerken zur Verfügung stehenden umfangreichen Datensätze eine sehr exakte Zielgruppendefinition ermöglichen180 (z. B. bei Facebook: Standort, Alter, Geschlecht, Aktivitäten, Familienstatus und Interessen181). Dabei sind Werbeanzeigen umso effektiver, je gezielter die zum Nutzer passenden Produkte beworben werden, was wiederum angebotene Werbeflächen lukrativer macht.182 Um Werbeanzeigen strategisch günstig und effektiv platzieren zu können, sind die Anbieter sozialer Online-Netzwerke daher explizit an all jenen Daten interessiert, die einen Rückschluss auf das (mögliche) Konsumverhalten der Nutzer zulassen und ein möglichst vollständiges Bild der Nutzer schaffen.183 Diese Daten sind aber zugleich das relevante Gut, das es erlaubt, verhaltensbezogene Werbung überhaupt anzubieten; Netzwerkanbieter haben deswegen regelmäßig kein Interesse daran, solche Daten an werbetreibende Drittunternehmen weiterzugeben.184 178

Dazu Bender, K&R 2013, 218 (220). Kloss, Werbung, S. 195–201. 180 Erd, NVwZ 2011, 19 (19). Facebook etwa verwendet mindestens 98 Kategorien, um Werbung auf Zielgruppen anzupassen: Dewey, 98 personal data points that Facebook uses to­ target ads to you, Artikel v. 10.08.2016, The Washington Post [Online]. 181 Facebook, Webseite ‚Werbeanzeigenmanager‘. 182 Kühnl, Persönlichkeitsschutz 2.0, S. 44. 183 Schütz/Karaboga, Akteure, Interessenlagen und Regulierungspraxis im Datenschutz, S. 23. 184 Zu diesem Modell allgemein: Jöns, Daten als Handelsware, S. 17. Facebook sehr deutlich: „Wir geben ohne deine Erlaubnis keine Informationen an Werbe-, Mess- oder Analyse­ partner weiter, die dich persönlich identifizieren […]. Wir können diesen Partnern Informationen über die Reichweite und Wirksamkeit ihrer Werbung zur Verfügung stellen, ohne Informationen bereitzustellen, mit denen du persönlich identifiziert werden kannst[…]. Beispielsweise können wir Werbetreibenden sagen, wie erfolgreich ihre Werbeanzeigen sind oder wie viele Personen ihre Werbeanzeigen aufgerufen oder eine App installiert haben, nachdem sie eine Werbeanzeige gesehen haben, oder wir können diesen Partnern nichtpersonenbezogene demografische Informationen (wie z. B. eine 25 Jahre alte Frau in Madrid, die sich für Software Engineering interessiert) bereitstellen, damit sie ihre Zielgruppe bzw. ihre Kunden besser verstehen“, Facebook, Datenrichtlinie v. 29.09.2016, Nr. III, sechster Unterpunkt. 179

II. Interessengefüge und besondere Voraussetzungen 

169

cc) Konzernstrukturen Große Anbieter sozialer Online-Netzwerke sind regelmäßig als Unternehmensgruppe organisiert. Unternehmen, die zum Konzern gehören, stehen miteinander vertraglich und geschäftlich in Verbindung und sind dementsprechend wechselseitig an den Daten der anderen Konzernunternehmen interessiert. Dies kann einerseits aus einer Aufgabenteilung und Spezialisierung im Konzern herrühren oder aber technischen185 oder rechtlichen186 Gegebenheiten geschuldet sein. Um also Aufgaben effizient aufzuteilen und durchzuführen und nicht mit den gesetzlichen Vorgaben in Konflikt zu geraten, haben sämtliche als Konzerne organisierten Netzwerkbetreiber ein Interesse daran, im Bedarfsfall Daten von anderen Konzernmitgliedern beziehen und nutzen zu können. dd) Don’t be evil? Unbekannte, verschleierte und vorgeschobene Interessen Facebook bekennt in den Datenschutz-Richtlinien: „Uns liegt es am Herzen, interessante und benutzerdefinierte Erfahrungen für Menschen zu schaffen.“187 Google hat sich mit dem Unternehmensslogan „Don’t be evil!“188, der auch das zur Unternehmensgruppe gehörige soziale Netzwerk Google+ betrifft, noch deutlicher eine gemeinnützige Gesinnung auf die Fahne geschrieben. Der Facebook-Konzern ging sogar so weit, in Indien einen kostenlosen Internetzugang (‚Free Basics‘) bereitzustellen – angeblich, um völlig uneigennützig der Bevölkerung freien Zugang zu den grundlegendsten Inhalten des World Wide Web zu verschaffen.189 Die massive Monetarisierung sämtlicher Aspekte sozialer Netzwerke190 deutet indes darauf hin, dass die Bereitstellung nützlicher, praktischer, benutzerfreundlicher Netzwerkdienstleistungen eher Mittel zum Zweck als eine Art der Wohltätigkeit darstellt. So geriet auch der indische ‚Free Basics‘-Zugang alsbald unter den Verdacht, die Netzneutralität zugunsten der Vormacht von Facebook auf dem indischen Online-Markt zu untergraben und wurde deshalb von den dortigen Behörden verboten191. Die Zusammenschau von Datenschutz-Skandalen dreier großer ITAnbieter in Europa (u. a. die Datensammlung durch Facebooks Tracking-­Cookie 185

Z. B. können Serverstandorte unabhängig vom Unternehmenssitz gewählt werden. Insbesondere Vorschriften zur Terrorbekämpfung und Strafverfolgung, welche Konzern­ mitglieder zwingen, die bei anderen Konzernmitgliedern vorgehaltenen und verarbeiteten Daten zu beschaffen und an Ermittlungsbehörden oder Geheimdienste herauszugeben. 187 Facebook, Datenrichtlinie v. 29.09.2016, Nr. II. 188 Alphabet Investor Relations, Webseite ‚Google Code of Conduct‘. 189 Zuckerberg, Free Basics protects net neutrality, Artikel v. 28.12.2015, Times of India [Online]. 190 Zu den Geschäftsmodellen siehe unter D. I. 4. 191 Hartmann, Angebot „Free Basics“ von Facebook in Ägypten und Indien eingestellt, MMR-aktuell 2016, 374894. 186

170

D. Interessenausgleich im Umfeld sozialer Netzwerke

‚datr‘, der auch bei dem Netzwerk nicht registrierte Nutzer externer, mit einem Plugin von Facebook versehener Homepages verfolgte) scheint sogar den Schluss nahezulegen, dass hinter angeblichen Versehen und Pannen, die zu den Skandalen geführt hatten, jeweils gezielte Strategien oder zumindest bewusste Ignoranz gegenüber Datenschutzbelangen standen.192 Nicht von der Hand zu weisen ist jedenfalls, dass die Anbieter sozialer Netzwerke zumindest nicht ausschließlich gemeinnützige Interessen, sondern daneben eine ganze Reihe wirtschaftlicher193 und möglicherweise auch gesellschaftspolitischer194 Ziele verfolgen. Angesichts der Vielfalt ihrer Dienstleistungen und Einnahmequellen195 und der Vielfalt der sich daraus ergebenden Möglichkeiten ist allerdings völlig unklar, welche sonstigen Interessen von den Anbietern sozialer Netzwerke derzeit verfolgt werden. Forschungsprojekte beispielsweise zur Gefühlsansteckung in sozialen Medien196 oder zur Wählerbeeinflussung durch die Inhalte sozialer Netzwerke197, die Kooperation mit U. S.-amerikanischen Geheimdiensten im Rahmen des ‚PRISM‘-Programms198, die öffentliche Diskussion um den Verdacht der Nachrichtenunterdrückung199 und die massenhafte Verbreitung politisch motivierter Falschmeldungen im Laufe des US-Wahlkampfes 2016200 lassen nur im Ansatz vermuten, in welche Richtungen die Anbieter eine Interessenverfolgung planen könnten – letztlich bleiben ihre konkreten Absichten jedoch zumindest teilweise undurchsichtig.

192 Roosendaal, in: Camenisch/Crispo/Fischer-Hübner et al. (Hrsg.), Privacy and Identity Management for Life, S. 274 (279–281). 193 Insbesondere: Werbung, siehe unter D. II. 1. c) bb). 194 Darauf deutet zumindest der Vorwurf, die Anbieter hätten auf der Plattform von Facebook anderen Themen Vorrang vor konservativen Nachrichten gegeben: Nunez, Former Facebook Workers: We Routinely Suppressed Conservative News, Blogbeitrag v. 09.05.2016. 195 Siehe unter D. I. 4. 196 Kramer/Guillory/Hancock, PNAS-USA 2014, 8788. 197 Messing/Westwood, Friends that Matter. Allgemein zur Bedeutung sozialer Medien für Wahlkampagnen sowie zu den verschiedenen Möglichkeiten der Einflussnahme auf Wähler: Highfield, Social Media and Everyday Politics, S. 137–151. 198 Für Details vergleiche etwa: Unbekannter Autor, NSA slides explain the PRISM datacollection program, Artikel v. 06.06.2013, The Washington Post [Online]. 199 Nunez, Former Facebook Workers: We Routinely Suppressed Conservative News, Blogbeitrag v. 09.05.2016. 200 Facebook-Begründer Mark Zuckerberg hatte die Untätigkeit Facebooks angesichts der zahlreichen, jeglicher Faktengrundlage entbehrenden und häufig rechtspopulistisch gefärbten Falschmeldungen zunächst mit der Neutralität Facebooks gerechtfertigt, räumte jedoch nachträglich ein, dass es sich um ein ernstes Problem handle: Fuest/Heuteroth/Doll/Wilton, Kann Facebook Populisten mehrheitsfähig machen?, Artikel v. 21.11.2016, Welt N24 [Online]. Die als erste Gegenmaßnahme durchgeführte vorwarnungslose Abschaltung ganzer Seiten im Netzwerk wirft jedoch neue Fragen nach den Kriterien und Verfahren auf, die solchen redaktionellen Entscheidungen zugrunde liegen.

II. Interessengefüge und besondere Voraussetzungen 

171

d) Interessen im Rahmen von wirtschaftlichen Kooperationen Daneben haben solche Unternehmen spezielle Interessen, die mit den Anbietern der sozialen Online-Netzwerke wirtschaftlich kooperieren. Wer einen kommerziellen Auftritt in einem sozialen Netzwerk betreibt, ist sowohl an den auf der eigenen Seite im Netzwerk entstehenden Inhalten als auch an Informationen über die Nutzung der Seite interessiert. Facebook bietet hierfür verschiedene Funktionen an, die dem Seitenbetreiber die exakte Auswertung seines Auftritts im Netzwerk ermöglichen. Seitenbetreiber können etwa die Statistik der Likes und Seitenbesuche sowie Reaktionen auf ihre Beiträge sehen.201 Twitter bietet ebenfalls ein Tool namens ‚Analytics‘ an, das es ermöglicht, die Reichweite der eigenen Beiträge zu messen und zu optimieren.202 Genau wie die Verwender von Social Plugins haben Seitenbetreiber darüber hinaus ein Interesse an den Eigenschaften der Besucher ihrer Seite und an durchgeführten Interaktionen mit der Seite oder dem Plugin, u. a. um Webauftritte innerhalb oder außerhalb des sozialen Netzwerks zu optimieren, Werbe- und Marketingstrategien bedarfsgerecht zu entwickeln und den Erfolg von Kampagnen zu messen.203 Die Entwickler und Betreiber von Apps oder Spielen innerhalb eines sozialen Netzwerks benötigen zunächst die für den reibungslosen Betrieb der Anwendung jeweils erforderlichen Daten. Zu Zwecken der Optimierung ihres Dienstes sind sie an den Daten zur Nutzung ihrer App und den Eigenschaften ihrer Nutzer interessiert. Je nach Ausrichtung der App lassen sich die entstehenden Daten auch teuer verkaufen. Ein solches Vorgehen kollidiert zwar mit den Entwickler-Richtlinien204 der Netzwerke, dies konnte App-Betreiber jedoch schon in der Vergangenheit nicht davon abhalten, Daten zu Geld zu machen.205 e) Branchenspezifische Interessen aa) Externe Anbieter für Statistik und Monitoring Weil die Nachfrage nach Software zur Erfassung und Auswertung von Nutzerdaten enorm groß ist, ist der Markt von Web-Analyse-Dienstleistern bevölkert.206 Zum Zwecke der Erstellung einer Statistik oder eines Monitoringberichts müssen

201

Facebook, Webseite ‚Grundlagen zu Seitenstatistiken‘. Twitter, Webseite ‚Analytics‘. 203 Vgl. dazu auch die Analyse der allgemeinen Unternehmensinteressen unter D. II. 1. b). 204 Vgl. z. B. Punkt II. Nr. 6 der Facebook, Platform Policies. 205 Unterreiner, Facebook-Entwickler verkaufen Daten weiter, Artikel v. 01.11.2010, Die Welt [Online]. 206 Eine Übersicht über bekannte Dienstleister für Analyse und Monitoring sowie ihrer Anwendungsmöglichkeiten in Verbindung mit sozialen Online-Netzwerken findet sich bei Werner, Social Media. 202

172

D. Interessenausgleich im Umfeld sozialer Netzwerke

Dienstleister die Seitennutzungsdaten und Inhalte sozialer Medien, soweit sie ihnen jeweils zugänglich sind, erfassen und aufbereiten. bb) Kreditwirtschaft Der persönliche Teil einer Bonitätsprüfung (letztere enthält immer auch einen monetären Teil, also die Beurteilung der finanziellen Sicherheiten des Kreditnehmers)207 entstand in der Offline-Welt aus der persönlichen Einschätzung eines Sachbearbeiters des Kreditinstituts. Ein seriöses Auftreten beim Gespräch oder langjährige Kontakte zu dem Kreditinstitut spielten hier eine Rolle.208 Auch Unternehmen wie die SCHUFA, die Aussagen über die Kreditwürdigkeit – meist in Form sogenannter Scores209 – treffen, gibt es schon lange.210 Deren Informationen beruhten jedoch noch bis vor wenigen Jahren überwiegend darauf, ob der Betroffene zuvor aufgenommene Kredite und andere Rechnungen zuverlässig bezahlt hatte.211 Dies waren Tatsachen, die der Betroffene selbst schaffte; seine Kreditwürdigkeit hing also zu einem sehr großen Teil von Verhaltensweisen ab, die der Betroffene bewusst steuern konnte und die jeweiligen Zusammenhänge blieben erkennbar und überschaubar. Möglicherweise könnten sich aber auch bestimmte in sozialen Netzwerken preisgegebene Vorlieben oder Eigenschaften einer Person wie Musikgeschmack, Sportlichkeit, Lesefreude oder ihr Kontaktkreis statistisch mit gesteigerter oder verminderter Kreditwürdigkeit verbinden lassen und so die herkömmliche Bonitätsprüfung ergänzen oder sogar ersetzen. Aufsehen erregt hatte Mitte des Jahres 2012 ein Forschungsprojekt des HPI (Hasso-Plattner-Institut) in Kooperation 207

Brock/Ehlenz, Alles über Kredite, S. 41–44; Beyer/Heinz/Krabbe/Lehnhoff, Das Kreditgeschäft, S. 137–138. 208 Brock/Ehlenz, Alles über Kredite, S. 41. 209 Scores sind Punktewerte, die die Bonität einer natürlichen Person bezeichnen. Die SCHUFA vergibt Punkte von 1 bis 1.000 aufgrund der Auswertung der ihr zur Verfügung stehenden Informationen. Näheres zu Grundlagen, Zielen, Praktiken und Methoden des ScoringVerfahrens bei Urbatsch, in: Sokol (Hrsg.), Living by Numbers, S. 68; Ingerling, Das CreditScoring-System im Konsumentenkreditgeschäft. 210 Bei der SCHUFA handelt es sich um eine Gemeinschaftsorganisation im Kreditgewerbe, deren Aufgabe es ist, Kreditausfälle bei Konsumentenkrediten zu reduzieren, vgl. Wiemeler/ Goebel/Frenzel, in: SCHUFA Holding AG (Hrsg.), Die SCHUFA – seit jeher im Dienste auch des Verbrauchers, S. 3 (4); Brock/Ehlenz, Alles über Kredite, S. 41. Daneben gibt es noch andere Auskunfteien, die kreditrelevante Informationen bereithalten, sie spielen jedoch neben der SCHUFA, die nach eigenen Angaben Datensätze von etwa 63 Mio. deutschen Bürgern besitzt (vgl. Wiemeler/Goebel/Frenzel, in: SCHUFA Holding AG (Hrsg.), Die SCHUFA – seit jeher im Dienste auch des Verbrauchers, S. 3 (4)), eine lediglich untergeordnete Rolle. 211 Die SCHUFA erfasst neben Namen, Geburtsdatum und Anschrift sogenannte „Positivdaten“ (darunter fallen z. B. die Aufnahme eines Kredits oder die Gewährung einer Bürgschaft) und „Negativdaten“ (Mahnungen und Mahnbescheide, Kündigung von Krediten/Konten, Zwangsvollstreckungsmaßnahmen etc.), vgl. Brock/Ehlenz, Alles über Kredite, S. 42–44; Beyer/Heinz/Krabbe/Lehnhoff, Das Kreditgeschäft, S. 158–159.

II. Interessengefüge und besondere Voraussetzungen 

173

mit der SCHUFA, bei dem offenbar erarbeitet werden sollte, wie im Web verfügbare Informationen, u. a. auch aus sozialen Online-Netzwerken, zur Beurteilung der Kreditwürdigkeit einer Person ausgewertet werden könnten.212 Und nicht nur die Bonität könnte überprüft werden; auch eine Verifizierung der Angaben zur geplanten Verwendung des Kredites ist denkbar. Zwar kündigte das Institut – auch wegen vermeintlicher Missverständnisse in der Öffentlichkeit – die Zusammenarbeit schon nach kurzer Zeit wieder auf213, es verbleibt jedoch das Wissen um die Interessen der Kreditwirtschaft an den Daten sozialer Netzwerke. IT-Unternehmer haben das Potenzial des ‚Social Scoring‘ bereits erkannt und verdienen Geld mit der Bonitätsprüfung im sozialen Online-Netzwerk.214 cc) Versicherungen Eine Versicherung dient im Grundsatz dem „Schutz gegen die nachteiligen Folgen bestimmter Ereignisse“215. Eine Vielzahl von Personen leistet Versicherungsprämien, woraus jene unter ihnen einen Ausgleich erhalten, bei denen das versicherte Ereignis tatsächlich eintrifft.216 Versichert werden können etwa Personen, Sachen oder die wirtschaftliche Situation (Ereignisse z. B.: Arbeitslosigkeit, Schadensersatzforderungen).217 Die Wahrscheinlichkeit, mit der das Ereignis und damit ein Schaden in bestimmter Höhe eintritt, auf das sich die Versicherung jeweils bezieht, wird als (Versicherungs-)Risiko bezeichnet;218 Versicherungen profitieren wesentlich davon, wenn die einem sozialen Netzwerk entnommenen Daten die Berechnung des Versicherungsrisikos exakter werden lassen. Der britische Versicherer Admiral Insurance etwa hat ein Konzept namens ‚firstcarquote‘ entwickelt, welches aus den einer Auswertung des Facebook-Auftritts eines Nutzers entnommenen Daten Persönlichkeitseigenschaften ableitet, welche wiederum mit der Sicherheit des Fahrverhaltens dieses Nutzers und damit mit dem individuell bestehenden Unfallrisiko verknüpft werden können.219 Allgemein können so zum einen Prämien wirtschaftlich gestaltet werden, zum anderen ermöglicht die Berechnung des Versicherungsrisikos auch die Ablehnung von Versicherungsverträgen, für die

212

HPI, Schufa-Forschungsprojekt gekündigt, Pressemitteilung v. 02.10.2013; dazu auch Heckmann, in: Leible (Hrsg.), Der Schutz der Persönlichkeit im Internet, S. 17 (17–19). 213 HPI, Schufa-Forschungsprojekt gekündigt, Pressemitteilung v. 02.10.2013. 214 Leber, Can a Credit Score be Crowdsourced?, Artikel v. 07.06.2012, MIT Technology Review [Online]; Alvarez, Schufa für die Welt?, Artikel v. 19.03.2013, Die Zeit [Online]. 215 Koch, Versicherungswirtschaft, S. 1. Vgl. hierzu auch die grundlegend prägenden Definitionen von Farny, Produktions- und Kostentheorie der Versicherung, S. 8; Hax, Grundlagen des Versicherungswesens, S. 22. 216 Koch, Versicherungswirtschaft, S. 25–26. 217 Vgl. das Schaubild bei Koch, Versicherungswirtschaft, S. 2. 218 Koch, Versicherungswirtschaft, S. 2; Zweifel/Eisen, Versicherungsökonomie, S. 34. 219 Ruddick, Admiral to price car insurance based on Facebook posts, Artikel v. 02.11.2016, The Guardian [Online].

174

D. Interessenausgleich im Umfeld sozialer Netzwerke

ein zu hohes Risiko besteht.220 Mit dem Konzept ‚firstcarquote‘ der Admiral Insurance sollte es jungen Fahrern ermöglicht werden, Versicherungsverträge mit niederigeren Prämien abzuschließen, wenn die Auswertung ihrer Postings bei Facebook für sie ein geringeres Unfallrisiko ergab – Facebook verhinderte jedoch die Auswertung der Daten mit dem Hinweis, das Vorgehen des Versicherers verstoße gegen Facebooks Datenschutzregeln.221 Melden Versicherte den Eintritt des Versicherungsfalls, so wird im Regelfall die Ausgleichszahlung der Versicherung fällig. Um Missbrauch zu vermeiden, setzen Versicherungsgesellschaften Ermittler und Gutachter ein, die Unregelmäßigkeiten aufdecken sollen. Auch hier sind die Daten sozialer Online-Netzwerke für Versicherer von Interesse, wenn zusätzliche Informationen Aufschluss über Einzelheiten im Zusammenhang mit dem Versicherungsfall geben können. dd) Datenhändler Datenhandel ist – ob er nun innerhalb gesetzlicher Grenzen oder darüber hinaus betrieben wird – ein einträgliches Geschäft.222 Datenhändler, in erster Linie Auskunfteien und Adresshändler,223 interessieren sich daher für sämtliche erreichbaren Daten und Datensätze. Bedeutende Datenhändler in Deutschland sind z. B. Otto Group, Deutsche Post AG und Bertelsmann AG mit den jeweils zugehörigen Tochterunternehmen.224 Während deren Informationsgewinnung soziale OnlineNetzwerke noch nicht ausdrücklich mit einbezieht, haben sich US-amerikanische Datenhändler wie etwa die Firma DataSift Inc.225 bereits auf den Verkauf von Daten aus sozialen Online-Netzwerken spezialisiert. ee) Forschung Im Rahmen der Medienforschung oder Soziologie interessieren sich Forscher häufig vorrangig nicht für bestimmte Daten oder Datensätze, sondern eher für die Funktionsweise sozialer Online-Netzwerke im Ganzen, ihre Struktur und ihren Einfluss auf die Kommunikation.226 Die enthaltenen Daten selbst sind jedoch 220 Diese Fälle sind in der Versicherungsbranche als ‚nicht versicherbar‘ bekannt, vgl. auch die Definition zur ‚Versicherbarkeit‘ bei Koch/Weiss (Hrsg.), Gabler Versicherungslexikon, S. 913. 221 Ruddick, Facebook forces Admiral to pull plan to price car insurance based on posts, Artikel v. 02.11.2016, The Guardian [Online]. 222 Unseld spricht von einem „lukrativen Markt“, Unseld, Die Kommerzialisierung personenbezogener Daten, S. 4. 223 Unseld, Die Kommerzialisierung personenbezogener Daten, S. 4–5. 224 Safe Address, Webseite ‚Adress- und Datenhandel – Einführung‘. 225 DataSift, Webseite ‚Homepage‘. 226 Vgl. z. B. verschiedene im Zusammenhang mit sozialen Netzwerken diskutierte Theorien: Die Beschreibungsmerkmale sozialer Netzwerke bei Wellman, AJS 1979, 1201; das

II. Interessengefüge und besondere Voraussetzungen 

175

von Bedeutung, wenn es etwa um die Entwicklung von Frühwarnsystemen geht, z. B. im Bereich der Epidemie-Bekämpfung oder Warnung vor gefährlichen Sekten. Kommunikationsinhalte der Netzwerke lassen sich auf typische Reizwörter hin untersuchen, die geografisch zuordenbar sind. Häufen sich Inhalte, die beispielsweise auf eine Grippewelle hindeuten, in einem Gebiet, so ermöglicht dies eine rechtzeitige Warnung der Bevölkerung zu erhöhter Vorsicht und Impfungen gefährdeter Bevölkerungsgruppen können vorangetrieben werden.227 2. Spezifische äußere Umstände Um die Zusammenhänge rund um das Interessengefüge im Netzwerkumfeld und deren Auswirkungen auf die Funktion der Abwägungsinstrumente zu verstehen, ist es von grundlegender Bedeutung, die externen Faktoren zu berücksichtigen, unter deren Einfluss die Netzwerkumgebung steht. Neben den sehr prominenten technischen und ökonomischen Gegebenheiten spielen dabei auch gesellschaftliche und mediensoziologische Elemente eine entscheidende Rolle. a) Technologische Faktoren aa) Interaktive und integrative Nutzung Diverse technologische Errungenschaften eröffnen eine interaktive, anwenderfreundliche und einfache Nutzung sozialer Netzwerkdienste. So ermöglicht z. B. Ajax (Asynchronous Javascript And XML228) durch eine Zusammenführung bereits bekannter Konzepte, dass der Browser bei Anfragen nicht mehr jedes Mal die ganze Seite neu laden muss, sondern stattdessen laufend Anfragen von geringem Datenumfang an den Server senden und je nach Erforderlichkeit bestimmte Teile der Seite neu laden kann.229 Auf einer bereits aufgerufenen Website kann der Nutzer so z. B. Eingaben machen, auf die noch während des Eingabeprozesses beKleine-Welt-Phänomen nach Milgram, das auf der Erkenntnis basiert, dass innerhalb eines sozialen Netzwerkes jedes Individuum mit jedem beliebigen anderen Individuum über eine bestimmte Zahl an Kontakten bekannt ist: Milgram/Travers, Sociometry 1969, 425; die Theorie der sozialen Präsenz, welche Medien nach der Intensität des Kontaktes, den diese zulassen, und zwar auf visueller, akustischer und physischer Kommunikationsebene, unterscheidet: in Anlehnung an Short/Williams/Christie, The Social Psychology of Telecommunications:­ Kaplan/Haenlein, BH 2010, 59 (61); oder die Medienreichhaltigkeitstheorie, die Medien nach der Menge an Informationen, die innerhalb eines bestimmten Zeitraums über das Medium übermittelt werden können, bewertet: Daft/Lengel, MS 1986, 554. 227 Ein derartiges Projekt betreiben derzeit auf interdisziplinärer Basis mehrere Universitäten gemeinsam unter der Bezeichnung ‚M-Eco‘. Siehe M-Eco, Webseite ‚Homepage‘. 228 Alby, Web 2.0, S. 145; Ebersbach/Glaser/Heigl, Social Web, S. 146; Klappert, Web 2.0 mit ASP.NET und Ajax, S. 21. 229 Alby, Web 2.0, S. 147; Ebersbach/Glaser/Heigl, Social Web, S. 150–151.

176

D. Interessenausgleich im Umfeld sozialer Netzwerke

reits vom Server eine Antwort gegeben wird.230 Dadurch wird eine schnellere und interaktivere Nutzung ermöglicht, die die Attraktivität von Netzwerkoberflächen maßgeblich steigert. Webdienste (im Web verfügbare, auf Servern abgelegte Anwendungen) können mithilfe einer Beschreibung, wie sie im Web erreichbar sind,231 angesteuert, genutzt oder – sofern eine standardisierte Schnittstelle offengelegt wurde – in neue Anwendungen eingebettet werden. In Bezug auf soziale Online-Netzwerke erlauben von den Netzwerken bereitgestellte Webdienste232 u. a. die Extraktion von Roh­daten aus dem Netzwerk, die Integration von Inhalten (z. B. Tweets, LoginFenster, Chat-Fenster) in eigene Anwendungen und Websites; umgekehrt können Entwickler ihre Apps und Spiele auf der Plattform sozialer Online-Netzwerke und mit den dort befindlichen Daten arbeiten lassen. Dies trägt ganz wesentlich zur Verbreitung, Beliebtheit und Ubiquität sozialer Netzwerke bei und steigert somit einerseits die Datenproduktion, ermöglicht aber andererseits eine effiziente Verarbeitung der Netzwerkdaten durch eine breite Palette von Akteuren. Die Einbindung smarter Gegenstände in den Alltag233 und ihre Verknüpfung mit der Netzwerkplattform erlaubt dabei eine noch stärkere Integration der Netzwerkfunktionen in den Alltag der Nutzer. Sämtliche von vernetzten Gegenständen erfasste Daten können unmittelbar von Anwendungen im Zusammenhang mit dem Netzwerk verarbeitet, im Netzwerk kommuniziert und mit Kontakten geteilt werden.234 bb) Dynamische Entwicklung und Betaversionen Das Konzept sozialer Netzwerke ist für Neuerungen technologischer Art offen und passt sich dadurch stets den veränderten Anforderungen der Beteiligten an. Die Betreiber nehmen laufend Optimierungen der Hard- und Software vor und entwickeln die Funktionalitäten und das Design weiter.235 Ein wichtiger Aspekt dieser Entwicklung neuer Technologien ist der Einsatz von Beta-Versionen. Dies sind neue Versionen bestehender Software, die entweder einer abgegrenzten 230

Alby, Web 2.0, S. 145; Ebersbach/Glaser/Heigl, Social Web, S. 146. Meyer, Web-Services, S. 2; Burghardt, Web Services, S. 12. 232 Erforderlich für die Integration ist die Bereitstellung einer standardisierten Schnittstelle, (API, Application Programming Interface), Ebersbach/Glaser/Heigl, Social Web, S.  160. Manche APIs stehen jedermann zur Verfügung, andere geben die Netzwerke nur vorbehaltlich einer Registrierung als Entwickler heraus. 233 Beispiele bei Heckmann, K&R 2011, 1 (1–2); Heckmann, NJW 2012, 2631 (2631); eine besondere Gefährdung entsteht dabei zusätzlich durch den Einsatz von Sensoren, Hornung/ Hofmann, in: Sprenger/Engemann (Hrsg.), Internet der Dinge, S. 181 (194). 234 Z. B. durch eine mit sozialen Medien vernetzte Anwendung, die den Schlaf des Nutzers dokumentiert und diese Dokumentation für Kontakte in sozialen Medien zugänglich macht: Heckmann, K&R 2011, 1 (1). 235 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 102. 231

II. Interessengefüge und besondere Voraussetzungen 

177

Gruppe von Nutzern oder aber allen Nutzern – in der Regel zunächst auf freiwilliger Basis und unter Hinweis auf das Entwicklungsstadium – zur Verfügung gestellt werden. Anstatt ‚unter Laborbedingungen‘ getestet zu werden, finden neue Software-Versionen direkt Anwendung und entwickeln sich durch Auswertung des Nutzerverhaltens, Kritik und Verbesserungsvorschläge weiter.236 Neue Funktionen werden hinzugefügt, obwohl sie noch nicht vollständig ausgereift sind; der Reifeprozess selbst und die Entwicklung gewinnen jedoch an Qualität und Kreativität, indem die Nutzer in den Prozess mit einbezogen werden. cc) Cloud-Strukturen Die hinter sozialen Netzwerkoberflächen stehende Infrastruktur ist regelmäßig wie eine Cloud organisiert, d. h. es handelt sich um Rechenressourcen, auf die bedarfsgemäß vernetzt Zugriff genommen werden kann.237 Der webbasierte Zugriff ermöglicht dabei eine zeit- und ortsunabhängige Verfügbarkeit238 von in der Netzwerkoberfläche abgelegten Daten und Anwendungen. Die Bereitstellung großer Rechenressourcen schafft die Möglichkeit, nahezu unbegrenzt Daten im Netzwerk zu produzieren und vorzuhalten oder zu verarbeiten;239 ihre Vernetzung innerhalb der Cloudstruktur bedingt zusätzliche Spiegelungen von Daten und verursacht Datenströme über Landesgrenzen und Kontinente hinweg240. dd) Big Data Big Data befasst sich – ohne eine vollständige Definition des schillernden Begriffes versuchen zu wollen – mit den besonderen Methoden der Bearbeitung von Datensätzen, die zu groß sind, um herkömmliche Verfahren der Auswertung anzuwenden.241 Was Big Data also von herkömmlicher Datenverarbeitung unterscheidet, ist zum einen die Masse und Vielfalt der aus unterschiedlichen Quellen 236 O’Reilly nennt dies „End of the Software Release Cycle“ und gibt dem neuen Phänomen den Namen „perpetual beta“, vgl. O’Reilly, What Is Web 2.0, Artikel v. 30.09.2005 237 „Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources […] that can be rapidly provisioned and released with minimal management effort or service provider interaction“, Mell/ Grance, The NIST Definition of Cloud Computing, S. 2. Ganz ähnlich die Definition des BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S.  15–16: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von ITDienstleistungen über ein Netz. […]“ Zu den technischen Details und zu unterscheidenden Service Modellen bei Hennrich, Cloud Computing, S. 46–56 und 63–83; Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 101–106. 238 Allgemein Hennrich, Cloud Computing, S. 40. 239 Allgemein Hennrich, Cloud Computing, S. 84. 240 Hennrich, Cloud Computing, S. 147–148. 241 Ähnlich: Sha/Carotti-Sha, AI & Soc 2016, 1 (1).

178

D. Interessenausgleich im Umfeld sozialer Netzwerke

zusammenführbaren Datensätze, zum anderen die neuen Methoden zu deren Verarbeitung, bei denen in Echtzeit zuvor nicht ermittelbare Zusammenhänge und Muster erkennbar werden.242 Im Hinblick auf soziale Netzwerke können die Datenbanken großer Anbieter selbst bezüglich Umfang und Vielfalt bereits als Big Data-Datenbanken gelten. Sowohl Anbietern als auch weiteren Akteuren ist sodann die Bearbeitung dieser Datensätze, soweit ihnen jeweils ein Zugriff darauf gewährt wird, mit Big Data-Anwendungen möglich. Die daraus entstehenden Möglichkeiten der Datenanalyse sind enorm: Es ergeben sich ungeahnte Zusammenhänge und Verwendungsmöglichkeiten. Die Homepage von Facebooks Analysewerkstatt ‚Facebook Data Science‘ etwa veröffentlicht regelmäßig AnalyseErgebnisse im Zusammenhang mit den Möglichkeiten von Big Data.243 b) Ökonomische Faktoren Anbieter sozialer Netzwerke sind mit weltweit verzweigten Konzernen verbunden, die große Umsätze und Nutzerzuwächse vorweisen können. Facebook verzeichnete 2015 einen Umsatz von 17,928 Mrd. US-Dollar244 und hatte 1,04 Mrd. täglich aktive Nutzer245. XING erwirtschaftete einen Umsatz von 122,9 Mio. Euro und hatte 10,13 Mio. Nutzer.246 Aus den Zahlen geht bereits hervor, dass hinter den Aktivitäten der Netzwerkanbieter einerseits massive monetäre Interessen stehen, dass diese jedoch auch ganz bedeutende finanzielle Ressourcen und wirtschaftliche Macht besitzen, was unter anderem darauf zurückzuführen ist, dass die großen Anbieter auf dem jeweils von ihnen bedienten Markt einen großen Markt­ anteil für sich beanspruchen können.247 Das Geschäftsmodell248 der Netzwerkanbieter beruht zum großen Teil auf einer besonders umfassenden und effizienten Verarbeitung von Daten und der Monetarisierung der Verarbeitungsergebnisse. Sowohl hinsichtlich der Sammlung ver 242 Helbing, K&R 2015, 145 (145); Jandt, K&R 2015, 6 (6); Schefzig, K&R 2014, 772 (774). Big Data-Analysen ergaben etwa, dass ein Zusammenhang zwischen der Körbchengröße einer Frau und ihrer Bereitschaft, beim Einkaufen Geld auszugeben, besteht, dass Pendler, die den Zug benutzen, insgesamt glücklicher sind als Pendler, die auf andere Verkehrsmittel zurückgreifen, und dass die Einwohner Tokyos am wenigsten schlafen (im Durchschnitt nur etwa knapp sechs Stunden), die Einwohner Dubais hingegen Spätaufsteher sind: Raymundo, 10 Surprising Big Data Insights from 2014, Artikel v. 07.01.2015, Inc. [Online]. 243 Facebook, Webseite ‚Data Science‘. Beispielsweise entdeckte Facebook Data Science, dass die durchschnittliche Zahl von Kontakten, über die ein jedes Mitglied bei Facebook mit einem beliebigen anderen Mitglied verbunden ist, bei lediglich 3,57 liegt: Edunov/Diuk/Filiz/ Bhagat/Burke, Three and a half degrees of separation, Blogbeitrag v. 04.02.2016. 244 Facebook Inc, Annual Report 2015, S. 42. 245 Facebook Inc, Annual Report 2015, S. 5. 246 Kennzahlen vor S. 1: XING AG, Geschäftsbericht 2015. 247 Z. B. hat Facebook weltweit nach Seitenabrufen einen Marktanteil von 85,23 Prozent: StatCounter, Top 7 Social Media Sites on Aug 2016. 248 Oben unter D. I. 4.

II. Interessengefüge und besondere Voraussetzungen 

179

wertbarer Daten als auch bezüglich der finanziellen Ausbeutung von Verarbeitungsergebnissen ist der Netzwerkanbieter jedoch maßgeblich davon abhängig, dass noch weitere Beteiligte im Umfeld des Netzwerks aktiv sind: Nutzer und kommerzielle Akteure (Betreiber kommerzieller Seiten, von Plugins, Anwendungen etc.) erzeugen durch ihre Mitgliedschaft und Aktivitäten im Netzwerk und darüber hinaus die zu verwertenden Daten, welche nur unter der Voraussetzung einer entsprechenden Nachfrage durch Werbetreibende ertragreich im Rahmen des Behavioral Targeting eingesetzt werden können. Bei einer rein wirtschaftlichen Betrachtung scheinen die gegenseitige Abhängigkeit und das Zusammenwirken vorteilhaft für alle Beteiligten zu sein: Netzwerkbetreiber können Ertrag erwirtschaften, während zugleich für Werbetreibende eine effektivere Werbemöglichkeit und für die Nutzer eine kostenlose, hochfunktionale Kommunikationsplattform zur Verfügung steht. c) Gesellschaftliche Faktoren Die Nutzung sozialer Netzwerke ist weit verbreitet;249 sie haben sich zu einer Plattform für soziale Interaktion, wirtschaftliche Transaktionen, aber auch gesellschaftliche Teilhabe und politische Aktivität250 entwickelt. Ob dabei aus Sicht der Nutzer bereits von einem gesellschaftlichen Bedürfnis der Teilhabe251 oder sogar faktischem Zwang252 gesprochen werden muss, kann vorerst dahingestellt bleiben.253 249

Siehe unter D. I. 3. WD, Social Media und politische Teilhabe, S. 6–9. 251 „Digitale Teilhabe [ist] gleichzeitig auch soziale Teilhabe“: DIVSI, Internet-Milieus, S. 76. In diese Richtung auch Roßnagel, DuD 2016, 561 (563): Betroffene müssten „in Umgebungen alltäglicher Datenverarbeitung […] digitale Infrastrukturen nutzen […], um am gesellschaftlichen Leben teilzunehmen“. 252 So allgemein hinsichtlich der sog. „take it or leave it“-Situation, in welcher sich Verbraucher gegenüber Datenverarbeitern häufig, die Nutzer sozialer Netzwerke gegenüber dem Betreiber jedenfalls regelmäßig, befinden: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 107–108; 117. 253 Inwieweit soziale Online-Netzwerke bereits einen unverzichtbaren Bestandteil der Medien der gesellschaftlichen Kommunikation darstellen, so dass ihre Inanspruchnahme ebenso zwangsläufig notwendig ist wie das Anmieten von Wohnraum oder die Eröffnung eines Bankkontos, ist fragwürdig. Buchner hatte dies im Jahr 2010 noch verneint: Buchner, DuD 2010, 39 (41). Allerdings weist auch bereits die Art. 29-Datenschutzgruppe, WP 187, S. 22, darauf hin, dass die Freiwilligkeit gefährdet ist, wenn der Nutzer befürchten muss, von Interaktionsvorgängen aufgrund einer Verweigerung ausgeschlossen zu werden. Dagegen ging das OLG Brandenburg, Urt. v. 11.01.2006 – 7 U 52/05, MMR 2006, 405 (406–407) bei einem Marktanteil eBays von 73 Prozent noch davon aus, dass ein Zugang zu „diesen“ Telediensten in zumutbarer Weise auch bei der Konkurrenz noch möglich sei, ohne aber zu erkennen, dass die von den Mitbewerbern gebotenen Dienste einer Online-Versteigerungsplattform bei einem viel kleineren Marktanteil und damit weit weniger potenziellen Käufern, die durch ihre Gebote den Endpreis bestimmen, kaum mehr gleichwertig sein können. Spiecker gen. Döhmann, K&R 2012, 717 (720) argumentiert demgegenüber, dass ein sozialer Druck entstehe und dass sich gerade Jüngere der Nutzung sozialer Netzwerke nicht mehr entziehen könnten. 250

180

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fest steht, dass die kostenlose Inanspruchnahme hochfunktionaler, vielseitiger Kommunikationsplattformen und der zugehörigen Anwendungen, für welche die Preisgabe der persönlichen Daten der Nutzer eine mittelbare Gegenleistung darstellt,254 von den Nutzern als integraler Bestandteil der Online-Kommunikation verstanden wird und aus der gesellschaftlichen Praxis ebenso wenig wegzudenken ist wie aus den ökonomischen Konzepten. d) Mediensoziologische Faktoren Vielfach besprochen, jedoch noch nicht vollständig durchleuchtet, ist das Phänomen des sogenannten ‚Privacy Paradox‘. Es beschreibt den scheinbar widersprüchlichen Zusammenhang zwischen der freiwilligen Preisgabe von Daten durch die Nutzer webbasierter Anwendungen einerseits und der Tatsache, dass ihnen andererseits die kommerzielle Verwertung ihrer Daten durch deren Anbieter255 und auch die dabei bestehenden Risiken des Missbrauchs256 und des Kontroll­verlusts257 bekannt sind oder zumindest bekannt sein müssten, Bedenken verursachen und Datenschutz bzw. Datensicherheit von Nutzern sogar dementsprechend als bedeut 254 Allgemein befanden 71 Prozent der Befragten im Rahmen einer im Auftrag der Europäischen Kommission durchgeführten Studie, die Preisgabe persönlicher Informationen sei ein an Bedeutung gewinnender Bestandteil des modernen Lebens. 58 Prozent der Befragten hielten es sogar für unumgänglich, persönliche Daten preiszugeben, um im Gegenzug bestimmte Produkte und Dienstleistungen erhalten zu können: Europäische Kommission, Special Eurobarometer 431, S. 28 und 34. Bräutigam/Sonnleithner, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch Social Media, S. 35 (43 und 45), sprechen von einem „einheit­ liche[n] Lebensvorgang“ bei „lebensnahe[r] und wirtschaftliche[r] Betrachtungsweise“; Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, S. 51–52, kritisieren: Die „bisherige Betrachtungsweise als kostenlose Dienstleistung wird der Lebenswirklichkeit nicht gerecht, in der sich die Datennutzung als Preis für die IT-Leistung darstellt“. 255 75 Prozent der Befragten Internetnutzer ist laut DIVSI die Möglichkeit der kommerziellen Verwertung ihrer Daten bekannt, DIVSI, Internet-Milieus, S. 102. 256 Ganze 69 Prozent der Befragten einer im Auftrag der Europäischen Kommission durchgeführten Studie waren besorgt über einen möglichen Missbrauch ihrer Daten, Europäische Kommission, Special Eurobarometer 431, S. 68. Nur etwa ein Viertel der Befragten gab in einer Studie des DIVSI jedoch an, auf das Einstellen eigener Beiträge in sozialen Netzwerken und auf ähnliche Anwendungen aufgrund eines erkannten Risikos tatsächlich zu verzichten; zusammenfassend gilt das Paradoxon: „Wer mehr Chancen als Gefahren im Internet sieht, schützt sich; wer mehr Gefahren wahrnimmt, schützt sich weniger“, DIVSI, Internet-Milieus, S. 92; 96. 257 Insgesamt waren 75 Prozent der Befragten einer im Auftrag der Europäischen Kommission durchgeführten Studie allgemein der Ansicht, zumindest keine volle Kontrolle über ihre Daten zu haben, ganze 31 Prozent gingen von einem vollständigen Kontrollverlust über die eigenen Daten aus. Von denjenigen, die einen kompletten oder teilweisen Kontrollverlust annahmen, waren 49 Prozent über diesen Zustand besorgt, 18 Prozent sogar sehr besorgt. Speziell hinsichtlich der Erfassung ihrer Daten bei der Nutzung des Internets äußerten 45 Prozent der Befragten Besorgnis. 53 Prozent fühlten sich unwohl mit dem Wissen, dass Unternehmen ihre Daten für Behavioral Targeted Advertising verwenden: Europäische Kommission, Special Eurobarometer 431, S. 9; 12; 15; 39.

II. Interessengefüge und besondere Voraussetzungen 

181

sam eingestuft258 werden.259 Unter den Faktoren mit möglichem Einfluss auf das Preisgabeverhalten der Nutzer rangieren u. a. die besondere soziale Relevanz von Online-Netzwerken (d. h. die positive Bewertung und Nutzung durch andere Nutzer), Geschlecht und Alter der Nutzer sowie das Ausmaß der Nutzung sozialer Medien.260 Nicht zuletzt soll auch die mangelnde Fähigkeit zur Verarbeitung von Informationen und Zusammenhängen seitens des Nutzers die Entstehung des Privacy Paradox begünstigen.261 Die Art und Weise, in der Datenverarbeitungstätigkeiten sozialer Medien dem Nutzer präsentiert werden (positive oder negative Darstellung, „framing“), das mangelnde Bewusstsein für Abweichungen zwischen gewolltem und tatsächlichem Kontext der Preisgabe von Informationen („Kontextverlust“) die fälschliche Annahme der umfassenden Kontrolle über eigene Daten, die von einem Angebot vielfältiger Optionen der Privacy-Einstellungen in der Netzwerkoberfläche hervorgerufen wird („Kontrollillusion“), die zeitliche Entkoppelung des Informationseingriffs von realen Konsequenzen („hyperbolic discounting“) und generell mangelnde Vorstellungskraft bezüglich der Komplexität und Effizienz der anderen Beteiligten zur Verfügung stehenden Datenverarbeitungsmethoden („availability bias“) tragen ebenfalls dazu bei, dass die Handlungen der Netzwerknutzer nicht mit ihren Überzeugungen und Vorstellungen von der eigenen Privatsphäre und deren Schutz korrelieren.262 Ungeachtet der Ursachen steht jedenfalls fest, dass Nutzer bekannten Risiken und möglichen Zweifeln zum Trotz die Angebote sozialer Medien umfangreich nutzen und die massenhafte Preisgabe ihrer Daten im Gegenzug für die Inanspruchnahme des Netzwerkdienstes zumindest in Kauf nehmen. Soziale Online-Netzwerke sind eine – wenn auch nicht spiegelbildlich exakte – digitale Abbildung der realen sozialen, beruflichen und wirtschaftlichen Bezie 258

Dazu oben unter D. II. 1. a). Für eine ausführlichere Beschreibung des Phänomens vgl. Barnes, A privacy paradox, First Monday [Online]. Möglichen Ursachen und Zusammenhängen wurde bereits in zahlreichen empirischen Studien nachgegangen (vgl. etwa Taddicken, JCMC 2014, 248; Boyd/Hargittai, Facebook privacy settings, First Monday [Online]; Debatin/Lovejoy/Horn/Hughes, JCMC 2009, 83), jedoch ohne dass dabei die Entwicklung eines umfassenden Erklärungsmodells gelungen wäre (ein solches versuchen jedoch zumindest im Ansatz: Niemann/Schenk, in: Schenk/ Niemann/Reinmann et al. [Hrsg.], Digitale Privatsphäre, S. 13 [53–56]). In wirtschaftswissenschaftlicher Terminologie drückt sich das Privacy Paradox darüber aus, dass Betroffene, obwohl sie Privatsphäreaspekten generell große Bedeutung zuschreiben, dennoch nicht bereit sind, für eine Optimierung ihrer Privatsphäre Kompromisse einzugehen (sog. „willingness to accept“, WTA) oder Aufwendungen zu tätigen (sog. „willingness to pay“, WTP): Maxwell, IDPL 2015, 205 (211); mit Rückbezug auf das Experiment der ENISA, Study on monetising privacy. 260 Taddicken, JCMC 2014, 248; Boyd/Hargittai, Facebook privacy settings, First Monday [Online]. 261 Sandfuchs, Privatheit wider Willen?, S. 217–221, fasst dies unter dem Begriff der „Vorhersehbare[n] Rationalitätsdefizite“; Kühnl, Persönlichkeitsschutz 2.0, S. 57, erfasst das Phänomen als „Begrenzte Rationalität“. 262 Kühnl, Persönlichkeitsschutz 2.0, S. 57–59 – unter Rückbezug insbesondere auf Studien zur kontextuellen Integrität von Privatheit (Nissenbaum, Privacy in Context) und zu verhaltensökonomischen Privatheitsaspekten (Solove, HLR 2013, 1880; Acquisti/Grossklags, in: Acquisti/Gritzalis/Lambrinoudakis et al. [Hrsg.], Digital Privacy, S. 363 ff.). 259

182

D. Interessenausgleich im Umfeld sozialer Netzwerke

hungen der darin vertretenen Akteure.263 Sie spiegeln demnach auch die Handlun­ gen, Beziehungen, Eigenschaften, Interessen und Ziele dieser Akteure wider. Dabei gibt es gegenüber analogen Sozialgeflechten und Kommunikationssituationen jedoch wesentliche Unterschiede: Der Interaktion im sozialen Netzwerk fehlen gegenüber direkter, unvermittelter Kommunikation weitgehend Mimik, Gestik, und Stimme.264 Kommunikationshandlungen sind im Netzwerk nicht flüchtig, sondern dauerhaft speicherbar und nachweisbar, ihre Inhalte können gezielt gesucht, beliebig repliziert und skaliert werden, und das angesprochene Publikum ist nicht in jedem Fall sichtbar oder auch nur überschaubar.265 Intimität und Intensität von Beziehungen (auch als ‚Bindungsstärke‘ bezeichnet)266 weisen gegenüber nicht-digitalen sozialen Netzwerken eine abweichende Verteilung auf: Bei einer kaum veränderten Zahl intensiver Bindungen existiert eine größere Zahl schwacher Bindungen.267 Auch soziale Kontrolle268 entfaltet sich in Online-Netzwerken bei Möglichkeiten der anonymen oder pseudonymen Nutzung ganz anders als in Netzwerken mit Klarnamenpflicht und wird im Online-Netzwerk zudem durch netzwerkspezifische Werkzeuge (Kommentare, geteilte Inhalte, Likes etc.) ausgeübt. Soziale Netzwerke schaffen eine besonders hohe Kontaktdichte (d. h. Anzahl der Kontakte, die einzelne Mitglieder eines sozialen Netzwerkes durchschnittlich zu anderen haben)269 und eine herausragende Reichweite (Größe des Netzwerks, Anzahl der Mitglieder)270, verkürzen über steigende Kontaktzahlen die Verbindungswege zwischen den Mitgliedern und verringern so auf messbare Art und Weise die durchschnittliche Anzahl von Kontakten, über die Netzwerkmitglieder miteinander verbunden sind.271 Soziale Netzwerke gestatten eine nahezu unmittelbare, synchrone Kommunikation und die Einbindung vielfältiger 263

Allgemein für große online angehäufte Datenmengen: Zanfir, IDPL 2012, 149 (151). Niemann/Schenk, in: Schenk/Niemann/Reinmann et al. (Hrsg.), Digitale Privatsphäre, S. 13 (43). 265 Niemann/Schenk, in: Schenk/Niemann/Reinmann et al. (Hrsg.), Digitale Privatsphäre, S. 13 (44). 266 Der Theorie der starken und schwachen Bindungen (Granovetter, AJS 1973, 1360) zufolge besitzt jeder Mensch eine begrenzte Anzahl starker Bindungen und eine meist weitaus größere Anzahl schwacher Bindungen zu seinen Mitmenschen. Das soziale Kapital wächst bei Ersteren mit der Tiefe der Bindung, bei Letzteren mit ihrer Anzahl. 267 Thiedeke, in: Thiedeke (Hrsg.), Virtuelle Gruppen, S. 7 (12) (Sozialbindungen in virtuellen Gruppen seien „lockerer und offener“.) Wellman, in: Thiedeke (Hrsg.), Virtuelle Gruppen, S. 126 (150), differenziert stärker und bezeichnet die spezifisch durch elektronische Kommunikation bedingten, „mäßig starke[n], informelle[n] Bindungen“ als „intime Sekundärbeziehungen“. Zur großzügigen Praxis der Annahme von ‚Freundschaftsanfragen‘ bei Facebook: Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 172–173. 268 Renz, Praktiken des Social Networking, S. 20. 269 Wellman, AJS 1979, 1201 (1215). 270 Renz, Praktiken des Social Networking, S. 19–20. Vgl. zur gesteigerten Reichweite bei elektronischer Kommunikation allgemein: Wellman, in: Thiedeke (Hrsg.), Virtuelle Gruppen, S. 126 (141). 271 Sog. ‚Kleine-Welt-Phänomen‘, Milgram/Travers, Sociometry 1969, 425. Gemessen wurden zuletzt durchschnittlich 3,57 Verbindungsschritte bei Facebook: Edunov/Diuk/Filiz/Bhagat/ Burke, Three and a half degrees of separation, Blogbeitrag v. 04.02.2016. 264

II. Interessengefüge und besondere Voraussetzungen 

183

Inhalte, was ihnen sowohl gesteigerte Medienpräsenz272 als auch Medienreichhaltigkeit273 verleiht und sie zu einem besonders effektiven und attraktiven Kommunikationsmedium macht. 3. Besonderheiten des Interessengefüges Im Folgenden soll, unter Einbeziehung der bereits erörterten Interessenlagen und äußeren Faktoren, erarbeitet werden, welche besonderen Eigenschaften das Interessengefüge im Umfeld sozialer Netzwerke aufweist. a) Strukturelles Ungleichgewicht Auffällig ist für das Interessengefüge im Umfeld sozialer Netzwerke zunächst das übermäßig stark ausgeprägte274 strukturelle Ungleichgewicht, das zwischen den Beteiligten herrscht. Anbieter sozialer Netzwerke sind große, börsennotierte Konzerne,275 die häufig auch auf dem jeweiligen Markt eine herausragende Stellung einnehmen276. Nutzer im hier definierten Sinne277 sind dagegen natürliche Personen, die keine vergleichbaren finanziellen oder personellen Mittel besitzen, nicht kollektiv organisiert sind278 und damit auch keinen oder wenig gezielten Einfluss auf den Markt im Allgemeinen oder die Aushandlung von Rechts­ gestaltungsakten gegenüber dem Anbieter im Besonderen279 ausüben können. Hinzu kommt noch, dass einige wenige Netzwerke bereits derart viele Mitglieder haben, dass sie für ihre Nutzer einen ungleich größeren Mehrwert erzeugen als andere.280 Eine echte Wahl zwischen unterschiedlichen Anbietern haben Nutzer daher, sofern die Netzwerkeffekte bei konkurrierenden Diensten ungleich schwächer ausgeprägt sind, nicht mehr. Der Anbieter hat zwar generell ein Interesse daran, das Netzwerk für die Nutzer attraktiv zu gestalten,281 es verbleibt ihm dabei aber dennoch ein großer Handlungsspielraum. Nutzer können folglich nicht „auf

272

Vgl. dazu: Kaplan/Haenlein, BH 2010, 59 (61). Bereits mit Verweis auf die dadurch gesteigerte datenschutzrechtliche Relevanz: Stock-Homburg/Groß, DuD 2016, 446 (448). 273 Zum Begriff: Daft/Lengel, MS 1986, 554. 274 Weichert, in: Bäumler (Hrsg.), E-Privacy, S. 158 (174), beschreibt allgemein eine „[ö]konomische und organisatorische Macht“ des Datenverarbeiters gegenüber dem Betroffenen. 275 Dazu unter D. I. 4. 276 Vgl. insbesondere zur herausragenden Stellung von Facebook unter D. I. 3. 277 D. I. 2. 278 Spiecker gen. Döhmann, K&R 2012, 717 (718). 279 Als „Verhandlungsdisparität“ bezeichnet diesen Zustand Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S. 123 (136). 280 Zur sog. ‚kritischen Masse‘ sozialer Netzwerke bereits unter D. I. 4. Spiecker gen. Döhmann, K&R 2012, 717 (718) bezeichnet das Phänomen als „natürliches Monopol“. 281 Spiecker gen. Döhmann, K&R 2012, 717 (718).

184

D. Interessenausgleich im Umfeld sozialer Netzwerke

Augenhöhe“282 mit dem Anbieter verhandeln und müssen in Kauf nehmen, dass dieser seine Netzwerkdienste in einer von ihm bestimmten Form und zu von ihm festgelegten Bedingungen bereitstellt. In ähnlicher Weise ist auch das Verhältnis des Netzwerkanbieters zu anderen Akteuren geprägt. Werbetreibende, Spielebetreiber, die Verwender von Social Plugins und andere können im Unterschied zum Nutzer zwar ebenfalls Unternehmen oder gar Konzerne sein, sie begegnen dem sozialen Netzwerk jedoch nicht auf Augenhöhe. Stattdessen sind sie vielmehr genau wie der Nutzer davon abhängig, Leistungen des Anbieters in Anspruch zu nehmen oder Kooperationen mit ihm einzugehen. So können z. B. die Betreiber von Spielen die Plattform von Facebook ausschließlich nach den von Facebook vorgegebenen Regeln nutzen, und auch die Werbung bei Facebook kann nur nach den dortigen Vorgaben erfolgen. Weil gerade die großen Netzwerke aufgrund ihrer Nutzerzahlen für Werbung und Marketing einen unvergleichbar großen Effekt versprechen, existiert auch für Unternehmer keine echte Alternative zu diesen Angeboten. Wirtschaftswissenschaftlich und rechtlich drückt sich dieser strukturelle Unterschied in einer „marktbeherrschenden“283 Stellung oder „relativen Marktmacht“284 der Netzwerkanbieter gegenüber Nutzern und anderen Akteuren aus.285 Das Einnehmen und Nutzen einer solchen Stellung ist nicht per se untersagt,286 allerdings sind den betreffenden Unternehmen der Missbrauch und bestimmte Verhaltensweisen gegenüber Mitbewerbern verboten (vgl. §§ 19 und 20 GWB). Dass ein gesetzeswidriges Ausnutzen einer marktbeherrschenden Stellung auch durch die Begehung von Datenschutzverstößen durch die Betreiber sozialer Netzwerke geschehen kann, indiziert bereits das laufende Verfahren des Bundeskartellamtes gegen die Facebook Inc. und ihre Tochtergesellschaften in Deutschland und

282

Jöns, Daten als Handelsware, S. 69. Nach der Definition des § 18 Abs. 1 GWB liegt eine marktbeherrschende Stellung vor, wenn ein Unternehmen als Anbieter oder Nachfrager einer bestimmten Art von Waren oder gewerblichen Leistungen auf dem sachlich und räumlich relevanten Markt ohne Wettbewerber ist, keinem wesentlichen Wettbewerb ausgesetzt ist oder eine im Verhältnis zu seinen Wettbewerbern überragende Marktstellung hat. Darüber hinaus wird nach Abs. 4 eine marktbeherrschende Stellung jedenfalls vermutet, wenn ein Unternehmen einen Marktanteil von mindestens 40 Prozent hat. 284 Relative Marktmacht besitzen nach der Definition des § 20 Abs. 1 GWB Unternehmen und Vereinigungen von Unternehmen, soweit von ihnen kleine oder mittlere Unternehmen als Anbieter oder Nachfrager einer bestimmten Art von Waren oder gewerblichen Leistungen in der Weise abhängig sind, dass ausreichende und zumutbare Möglichkeiten, auf andere Unternehmen auszuweichen, nicht bestehen. 285 Zu den spezifischen kartellrechtlichen Problemen bei der Abgrenzung des relevanten Marktes, der Feststellung einer marktbeherrschenden Stellung und zu den verschiedenen Szenarien des Missbrauchs, insbesondere durch einen umfangreichen Zugriff auf Nutzerdaten für Online-Plattformen, vgl. Bundeskartellamt, Digitale Ökonomie  – Internetplattformen zwischen Wettbewerbsrecht, Privatsphäre und Verbraucherschutz. 286 Paal, in: Gersdorf/Paal (Hrsg.), BeckOK Info- und MedienR, Art. 102 AEUV, Rdnr. 1. 283

II. Interessengefüge und besondere Voraussetzungen 

185

Irland.287 Auch bei der rechtlichen Beurteilung des Interessengefüges selbst muss dieser strukturelle Unterschied jedoch Berücksichtigung finden. b) Informationelles Ungleichgewicht Es besteht außerdem ein außergewöhnlich starkes288 informationelles Ungleichgewicht zwischen den Beteiligten schon allein deshalb, weil dem Netzwerkbetreiber sämtliche Daten aus dem Betrieb des Netzwerks zur Verfügung stehen,289 während Nutzer und andere Akteure lediglich auf solche Daten Zugriff haben, auf die ihnen der Anbieter den Zugriff gewährt. Weil der Anbieter Ertrag aus der Verwertung der Nutzerdaten erwirtschaftet, gewährt er jedoch regelmäßig Dritten gerade keinen unmittelbaren Zugriff auf personenbezogene Daten, sondern führt stattdessen selbst in ihrem Interesse oder Auftrag Datenverarbeitungen durch.290 Das Ungleichgewicht hinsichtlich der Informationsverteilung wird maßgeblich durch die Ausgestaltung von Technik und Software des Netzwerks getragen. Beides wird nicht nur vom Netzwerkbetreiber allein gesteuert, sondern auch derart gestaltet, dass die Benutzeroberfläche möglichst einfach und benutzerfreundlich erscheint, während komplexe Datenverarbeitungsprozesse ausschließlich im Hintergrund ablaufen.291 Während der Nutzer also lediglich eine einladende Ober­ fläche handhabt, laufen im Hintergrund komplexe Prozesse ab, die weder der Nutzer noch die übrigen Akteure in der Regel einsehen können292 und die dem Nut-

287 Bundeskartellamt, Bundeskartellamt eröffnet Verfahren gegen Facebook wegen Verdachts auf Marktmissbrauch durch Datenschutzverstöße, Pressemeldung v. 02.03.2016. Allerdings halten Vertreter des Bundeskartellamts es für problematisch, dass für Plattformen, die ohne finanzielle Gegenleistung angeboten werden, derzeit kein relevanter Markt bestimmbar ist: Bundeskartellamt, Antworten des Bundeskartellamtes auf die Fragen für das Fachgespräch „Kartellrecht und Plattformen“ des Ausschusses Digitale Agenda am 13.04.2016, S. 1–2. 288 Allgemein zur Problematik der „informationelle[n] Asymmetrie“ oder „Datenmacht“ bei Lewinski, Die Matrix des Datenschutzes, S. 56. Pelopidas, Datenschutz – Prinzipien und Ziele, S. 120, spricht von „informationelle[r] Überlegenheit der verarbeitenden Stelle“. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 64, weist demgegenüber darauf hin, dass das „Potential privater Datenmacht“ zwar groß, dennoch aber mit dem von staatlicher Seite ausübbaren „Druckpotential“ nicht vergleichbar sei, weil nur der Staat unmittelbaren Zwang zur Erlangung von Informationen einsetzen könne. 289 Spiecker gen. Döhmann, K&R 2012, 717 (722). 290 Zu den Geschäftsmodellen unter D. I. 4.; zu den entsprechenden Interessen des Netzwerkanbieters unter D. II. 1. c). Den Ausgleich von Informationsungleichgewichten als originäre Zielsetzung des Datenschutzrechts beschreibt Di Martino, Datenschutz im europäischen Recht, S. 23. Zu den wirtschaftlichen Implikationen von Informationsasymmetrien (insbesondere zu den möglichen Folgen der Beeinträchtigung oder des Versagens eines Marktes) bei Cooter/Ulen, Law and Economics, S. 48–49. 291 Kühnl, Persönlichkeitsschutz 2.0, S. 45. 292 Spiecker gen. Döhmann, K&R 2012, 717 (721).

186

D. Interessenausgleich im Umfeld sozialer Netzwerke

zer häufig gar nicht bewusst293 sind.294 Nach dem auch als „Plug and Play-Falle“295 bekannten Prinzip ist die Gestaltung der Benutzeroberflächen sozialer Netzwerke also gezielt darauf ausgerichtet, dem Nutzer, welcher „vielfach nur an einer einfachen und komfortablen Nutzung interessiert“296 ist, die finanziell zu verwertenden Informationen zu entlocken. Wichtige Faktoren hierbei sind Preis und Nutzen der Software, Verbreitung, Nutzerfreundlichkeit und eine besondere Attraktivität einzelner Kult- oder Lifestyle-Produkte.297 Netzwerkoberflächen sind möglichst einfach und ansprechend gestaltet, meist kostenlos nutzbar298 und entsprechend nützlich im Alltag. Große Netzwerke wie Facebook sind zudem weit verbreitet,299 spiegeln dem Nutzer eine Vereinfachung der Aufnahme und Pflege sozialer Kontakte durch die möglichst weitgehende Preisgabe seiner Daten vor300 und laden gezielt zur sorglosen301 extensiven Benutzung des Netzwerks und der damit einhergehenden Informationspreisgabe ein302. Dies führt unter anderem dazu, dass der Nutzer regelmäßig die technischen Möglichkeiten und daraus resultierende Risiken deutlich unterschätzt303 und bereitwillig Informationen preisgibt304. Mit der zunehmenden Einbindung sozialer Netzwerkdienste in den Alltag des Nutzers über diverse Anwendungen, Endgeräte und vernetzte Gegenstände ist sich der Nutzer einzelner Vernetzungen und Datenübertragungsvorgänge häufig nicht mehr bewusst.305 Nutzer haben zudem nicht im gleichen Maße Expertenwissen306 zur Verfügung wie Betreiber, bzw. müssten dieses Expertenwissen erst unter erheblichem Aufwand erwerben – ihnen fehlt es daher häufig schlicht am nötigen 293 Jedenfalls kritisch: Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap.  9, Rdnr. 76. 294 Zur vom Nutzer weitgehend unbemerkten Entwicklung von ausdifferenzierter Social Media Monitoring Software: Venzke-Caprarese, DuD 2013, 775 (775). 295 Heckmann, NJW 2012, 2631 (2633); Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap.  9, Rdnr.  76; Heckmann, in: Hruschka/Joerden (Hrsg.), Recht und Ethik im Internet, S. 17 (25–26). 296 Niemann/Scholz, in: Peters/Kersten/Wolfenstetter (Hrsg.), Innovativer Datenschutz, S. 109 (112). Dazu auch oben unter D. II. 1. a). 297 Heckmann, NJW 2012, 2631 (2633). 298 Buchner, DuD 2010, 39 (39); Erd, NVwZ 2011, 19 (19). 299 Dazu unter D. I. 3. 300 Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 169. 301 Wo die Benutzeroberfläche vom Anbieter gezielt ausgenutzt wird, um bestimmte Absichten der Datenverarbeitung zu verschleiern, kommt zur „Sorglosigkeit“ des Nutzer noch der „Vertrauensmissbrauch“ durch den Anbieter, Heckmann, K&R 2010, 770 (772). 302 Maisch, Informationelle Selbstbestimmung in Netzwerken, S.  169, meint speziell für Facebook, die Datenpreisgabe werde dort nicht lediglich „begünstigt“, sondern Nutzer würden sogar „gedrängt“. 303 Spiecker gen. Döhmann, K&R 2012, 717 (721). 304 Heckmann, K&R 2010, 770 (772). 305 Heckmann, NJW 2012, 2631 (2631); speziell zur Datenproduktion im Internet der Dinge: Hornung/Hofmann, in: Sprenger/Engemann (Hrsg.), Internet der Dinge, S. 181 (196). 306 Es fehle dem Betroffenen allgemein an „technische[m] […] Know-how“: Weichert, in: Bäumler (Hrsg.), E-Privacy, S. 158 (174).

II. Interessengefüge und besondere Voraussetzungen 

187

technischen Verständnis307 und Überblick308, um das informationelle Ungleichgewicht zumindest teilweise ausgleichen zu können. c) Vernetzung, Auflösung von Grenzen, normativen Rollen und analogen Zusammenhängen Soziale Netzwerke bringen eine große Anzahl von Mitgliedern und Akteure aus den verschiedensten Bereichen von Wirtschaft und Gesellschaft zusammen, die im Netzwerk unterschiedlichste Rollen mit teilweise nur schwer abgrenzbaren und zuweisbaren Funktionen erfüllen309. Das Interessengefüge kennzeichnet sich deshalb durch eine Überschneidung und Verschränkung verschiedener Bereiche und Interessen und eine teilweise Auflösung der Grenzen der analogen Welt, wodurch auch die rechtlichen Wertungen beeinflusst werden310. Die von Mitgliedern häufig aus privatem Interesse genutzte311 Oberfläche des sozialen Netzwerks erreicht, je nach Privatsphäreeinstellungen, eine große Öffentlichkeit312, und auch die von Nutzern als ‚Kontakte‘ oder ‚Freunde‘ gekennzeichneten Gruppen sind mitunter sehr groß,313 sodass Informationen regelmäßig mit mehr Nutzern geteilt werden, als dies in der analogen Welt der Fall wäre. Das Teilen und die Vernetzung von Informationen bringt es außerdem mit sich, dass die für Datenverarbeitungen relevanten Beziehungen nicht mehr bilateral gestaltet, sondern regelmäßig mehrseitig sind und diverse Beteiligte aufweisen: Nutzer haben die Möglichkeit, Inhalte zu teilen, deren Daten sich nicht nur auf sie selbst, sondern auch auf andere Nutzer beziehen,314 und können die Profile dieser Nutzer im Netzwerk sogar mit den zugehörigen Inhalten verlinken315. Auf diese Weise kommt ihnen neben ihrer Rolle als von Datenverarbeitungen Betroffene zugleich auch eine Position zu, die es ihnen gestattet, selbst umfangreiche Daten 307 Spiecker gen. Döhmann, K&R 2012, 717 (722); ausdrücklich bemängelten Befragte, dass Datenschutzerklärungen zu komplex seien: Europäische Kommission, Special Eurobarometer 431, S. 87. 308 Niemann/Scholz, in: Peters/Kersten/Wolfenstetter (Hrsg.), Innovativer Datenschutz, S. 109 (112). 309 Spiecker gen. Döhmann, K&R 2012, 717 (718, 720). 310 Spiecker gen. Döhmann, K&R 2012, 717 (718). 311 Siehe oben, D. II. 1. a). 312 Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 471. 313 Heckmann, K&R 2010, 1 (2). 314 „The data that a person produces concerns both herself and others“: Fairfield/Engel, DLJ 2015, 385 (387). Speziell mit Bezug zur Situation in sozialen Medien: Heckmann, K&R 2010, 770 (772); Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 473; Jandt/ Roßnagel, in: Schenk/Niemann/Reinmann et al. (Hrsg.), Digitale Privatsphäre, S. 309 (367); zum Beispiel der Funktion ‚Freunde Finden‘ auf Facebook, bei der der Nutzer dem Netzwerk Zugriff auf E-Mail-, Adress- und Telefonlisten seiner Endgeräte gewährt: Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 500. 315 Dazu: Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 501.

188

D. Interessenausgleich im Umfeld sozialer Netzwerke

verarbeitungsprozesse durchzuführen.316 Auch auf der Seite der potenziellen Datenverarbeiter stehen gleich mehrere Akteure, welche an den Daten ideelle oder wirtschaftliche Interessen besitzen und miteinander Kooperationen eingehen oder faktisch zusammenwirken, um Datenverarbeitungsprozesse zu bewerkstelligen. Dieser größeren Verschränkung und Vernetzung der Beteiligten steht eine Entkoppelung des Informationseingriffs von den (möglicherweise negativen) Folgen gegenüber: Die Erfassung ihrer Daten hat für die Nutzer regelmäßig keine unmittelbaren Konsequenzen.317 Mögliche Zusammenhänge zwischen der weiteren Verarbeitung dieser Daten und den ideellen, materiellen, beruflichen oder privaten Auswirkungen, die künftig von diesen Verarbeitungen ausgehen können, werden den Nutzern, anders als in der analogen Welt, wo der Zusammenhang zwischen Ursache und Wirkung regelmäßig auch hinsichtlich möglicher Spätfolgen einigermaßen überschaubar bleibt, zum Zeitpunkt des Informationseingriffs nicht aus­ reichend bewusst.318 Trotz der noch immer überwiegend privaten Nutzung ist auch die Nutzung für berufliche Zwecke durchaus gebräuchlich.319 Werden Netzwerke gleichzeitig zur Verfolgung privater und beruflicher Interessen genutzt, so sind auch die vom Nutzer gepflegten Kontakte sowie die geteilten und konsumierten Inhalte sowohl privater als auch beruflicher Natur.320 Dies kann zur Folge haben, dass die Preisgabe privater Daten Auswirkungen im beruflichen Umfeld nach sich zieht321 und umgekehrt. Immer stärker wird der scheinbar private Raum sozialer Netzwerke von geschäftlichen Inhalten und Interessen durchdrungen.322 Private Vorlieben und Interessen der Nutzer werden umfangreich für die Geschäftszwecke des Anbieters und anderer Akteure ausgewertet,323 die private Identifizierung mit einer Marke dient der geschäftlichen Imagepflege des Markeninhabers und gesponserte Werbetexte mischen sich unter private Postings324. Das gesamte Geschäftskonzept des Netzwerkanbieters beruht auf dem Prinzip, die persönlichen Informationen, die der 316 Nutzer verfügten heutzutage „selbst über größere Datenverarbeitungskapazitäten als Großrechner in der Frühzeit des Datenschutzes“: Lewinski/Herrmann, ZD 2016, 467 (469). 317 Pohl, PinG 2017, 85 (87). 318 Ähnlich Heckmann, in: Leible (Hrsg.), Der Schutz der Persönlichkeit im Internet, S. 17 (28); allgemein zu Ursächlichkeits- und Beweisproblemen bei Datenschutzverstößen: Weichert, in: Bäumler (Hrsg.), E-Privacy, S. 158 (172 und 182). 319 Siehe oben, D. II. 1. a). 320 Bissels/Lützeler, ArbAktuell 2011, 499 (499) sprechen vom „ineinander über[gehen]“. 321 Bissels/Lützeler, ArbAktuell 2011, 499 (499). 322 Bissels/Ziegelmayer/Kiehn, BB 2013, 2869 (2869–2870); Spiecker gen. Döhmann, K&R 2012, 717 (717–718): das „private und das öffentliche bis hin zum professionellen Umfeld der verschiedenen Nutzer und Nutzergruppen verschwimmt“. 323 Zu den geschäftlichen Interessen der Akteure siehe unter D. II. 1. b), D. II. 1. c), D. II. 1. d) und D. II. 1. e). Soweit Daten in die Auswertung einfließen, deren Einbeziehung in des Geschäftsmodell des Anbieters für den Nutzer nicht unmittelbar erkennbar war, bezeichnet Heckmann, K&R 2010, 770 (772), dies treffend als „Vertrauensmissbrauch“. 324 D. I. 4.; D. II. 3. c).

II. Interessengefüge und besondere Voraussetzungen 

189

Nutzer im Netzwerk preisgibt, zu monetarisieren325 und auch andere Akteure verfolgen eindeutig Gewinnerzielungsabsichten326. Die Akteure instrumentalisieren so die überwiegend privaten und teilweise beruflichen Interessen der Nutzer zur Erreichung ihrer eigenen Interessen geschäftlicher, wirtschaftlicher oder finanzieller Art. Da sich das Netzwerk aber gerade über diesen Zusammenhang und die Ausbeutung der Nutzerinteressen finanziert, wäre eine Verfolgung privater oder beruflicher Nutzerinteressen ohne diese Verwertung gar nicht möglich. Datenverarbeitungen des Netzwerkanbieters sind auch regelmäßig überhaupt erst möglich oder finanziell rentabel, weil sie von den übrigen Akteuren ermöglicht, angestoßen oder nachgefragt werden.327 Weil sich das Netzwerk aber über die Monetarisierung der Nutzerinteressen selbst trägt und nur so die kostenlose Bereitstellung der Netzwerkoberfläche überhaupt möglich ist, können die Ertragsgewinnung des Anbieters im Rahmen seines Geschäftsmodells und sein Zusammenwirken mit anderen Akteuren letztlich sogar im Interesse der Nutzer selbst liegen. Private, berufliche, geschäftliche, wirtschaftliche und monetäre Interessen der Beteiligten sind im sozialen Netzwerk also unauflösbar miteinander verknüpft und voneinander abhängig. Diese Auflösung der Grenzziehungen und klaren Rollenzuweisungen führt dazu, dass mitunter nicht mehr mit letzter Sicherheit feststellbar ist, welche Interessen einzelne Akteure verfolgen, von welchen Akteuren Datenverarbeitungen durchgeführt werden, welche Akteure davon profitieren, von welchen Akteuren Risiken ausgehen und welche Akteure sie jeweils betreffen.328 Hinzu kommt noch, dass aufgrund des unauflösbaren Zusammenhangs sozialer Netzwerke mit den die Globalisierung vorantreibenden Technologien des Cloud Computings329 und der zunehmend komplexen, weltumspannenden Konzernstrukturen,330 die Rollen und Interessen der Akteure nicht mehr lokal gebunden sind331 und sich über nationale Grenzen hinwegsetzen. Und auch die Grenzen zwischen analoger und virtueller Welt verschwimmen zunehmend – so ist es z. B. mithilfe der GPS-Ortung möglich, Werbung im sozialen Netzwerk gezielt auf Personen mit bestimmten demographischen Eigenschaften auszurichten, die sich häufiger in der Umgebung einer Offline-Filiale des Werbetreibenden aufhalten,332 oder einen Zu 325

Zu den Anbieterinteressen ausführlich unter D. II. 1. c). Spiecker gen. Döhmann, K&R 2012, 717 (718). 327 Z. B. ermöglicht der Betreiber einer Fanpage die Erzeugung von Daten durch die Fanpagenutzer; der Verwender eines Social Plugins stößt durch das Einbinden die Entstehung von Daten aus dem Plugin an; die Verarbeitung von Daten zu Werbezwecken ist lediglich sinnvoll und rentabel, wenn Werbekunden das Ausspielen personalisierter Werbung anhand bestimmter Merkmale oder Vorlieben der Nutzer nachfragen. 328 Spiecker gen. Döhmann, K&R 2012, 717 (722). 329 D. II. 2. a) cc). 330 Niemann/Scholz, in: Peters/Kersten/Wolfenstetter (Hrsg.), Innovativer Datenschutz, S. 109 (112). 331 Spiecker gen. Döhmann, K&R 2012, 717 (722). 332 Swant, Facebook’s New Tools Let Merchants Tailor Ads for Nearby Consumers, Artikel v. 05.11.2015, Adweek [Online]. 326

190

D. Interessenausgleich im Umfeld sozialer Netzwerke

sammenhang zwischen Werbung im Netzwerk und dem Offline-Aufenthalt der beworbenen Nutzer im Laden oder offline getätigten Verkäufen herzustellen333. Dies erschwert jedoch nicht nur die Übersicht über die in der virtuellen Welt verfolgten realen Interessen der Beteiligten, sondern erweitert auch deutlich die Möglichkeiten der Interessenverfolgung und -kommerzialisierung. d) Kollision privater Interessen Im Gegensatz zu den zahlreichen rechts- und gesellschaftspolitisch relevanten Konstellationen im Datenschutz (vgl. nur die Rechtsprechung zur Volkszählung, Vorratsdatenspeicherung und Online-Durchsuchung sowie die den gesellschaftspolitischen Diskurs noch immer prägende NSA-Affäre)334 treffen hinsichtlich der untersuchten Beteiligten im Umfeld des sozialen Netzwerks hauptsächlich private, nicht-staatliche Interessen aufeinander. Ob es sich nun um die wirtschaftlichen Belange von Unternehmen oder um die beruflichen oder privaten Interessen betroffener Nutzer an der Verwendung sozialer Medien handelt – staatliche Belange spielen zunächst keine Rolle. Erst wenn gleichgerichtete Belange vieler Beteiligter zu einer überindividuellen Einheit verschmelzen, können letztere als zumindest nicht mehr rein private Interessen erscheinen, soweit der Staat diese ‚Interessenhäufung‘ als überindividuelles Ziel verfolgt. Weil die Beteiligten in der Netzwerkumgebung aber regelmäßig nicht wie der Staat als eine in sich strukturierte (Interessen-)Einheit auftreten, sondern sich vielfältig zersplittern und unterscheiden (es existiert nicht ‚die Wirtschaft‘, die ‚das eine Interesse‘ verfolgt), können ihre Inte­ ressen gegenüber staatlichen Interessen grundsätzlich als weniger voreingenommen und weniger final betrachtet werden.335 Die Vielfalt des Interessengefüges bedingt, dass einzelne Akteure ihre Interessen nicht in einer mit staatlicher Macht vergleichbaren Weise unmittelbar durchsetzen können.336 Soweit aber speziell dem Anbieter gegenüber anderen Akteuren eine besondere informelle und strukturelle Vormachtstellung zukommt, kann er dadurch die Durchsetzung seiner privaten Interessen sehr viel effektiver betreiben, was ihm, wenn auch keine direkte Vergleichbarkeit besteht, doch eine staatlicher Vormachtstellung zumindest in einigen Aspekten ähnliche Position für die Interessenverfolgung verschafft. 333 Swant, Facebook Will Track Whether Ads Lead to Store Visits and Offline Purchases, Artikel v. 14.06.2016, Adweek [Online]. 334 Zur Volkszählung, Vorratsdatenspeicherung und Online-Durchsuchung vgl. die jeweils ergangenen höchstrichterlichen Urteile: BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE, 65, 1 ff.; BVerfG, Urt. v. 02.03.2010  – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, BVerfGE, 125, 260 ff.; BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE, 120, 274 ff. Ausführlich zur NSA-Affäre und den datenschutzrechtlichen Aspekten bei Golan, Die NSA-Affäre. 335 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 66–67. 336 Zu Unterschieden in der Interessensdurchsetzung auch Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 64.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

191

4. Zusammenfassung Die Analyse des Interessengefüges offenbart, dass für die Beteiligten im Netzwerkumfeld vielfältige und teilweise gegenläufige, dennoch aber eng verschränkte und voneinander existenziell abhängige berufliche oder wirtschaftliche wie private oder soziale Interessen eine Rolle spielen können. Das Interessengefüge kennzeichnet sich in verschiedener Hinsicht durch äußerst stark ausgeprägte strukturelle und informationelle Ungleichheiten sowie durch eine Auflösung der räumlichen Grenzen, normativen Rollen und analogen Zusammenhänge. Zusätzlich geformt wird das Interessengefüge durch von außen wirkende technologische, ökonomische, gesellschaftliche und mediensoziologische Faktoren. Alles zusammen bedingt, dass die Interessenlage im Umfeld sozialer Online-Netzwerke nicht nur hochgradig komplex, sondern auch weitreichend einzigartig, das heißt, mit den Interessenlagen in anderen Datenverarbeitungszusammenhängen kaum vergleichbar, ist.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩ im Umfeld sozialer Online-Netzwerke Nachdem die Interessenlage im Umfeld sozialer Netzwerke näher betrachtet und entsprechende Besonderheiten erörtert wurden, sollen im Folgenden die Instrumente des datenschutzrechtlichen Interessenausgleichs nochmals aufgegriffen und ihre zuvor erarbeitete Funktionsweisen (Gliederungspunkt C) auf mögliche Besonderheiten unter den Voraussetzungen in der Netzwerkumgebung hin untersucht werden. Zunächst sollen hierfür die für einen Interessenausgleich im Netzwerkkontext relevanten Belange (□) ausgemacht, anschließend hinsichtlich ausgewählter Mechanismen (△) und Kriterien (○) deren spezifische Relevanz im Netzwerkumfeld sowie mögliche Konflikte oder Inkompatibilitäten, die die Funktionsweise dieser Instrumente für den Interessenausgleich im Zusammenhang mit sozialen Netzwerken jeweils beeinträchtigen können, erarbeitet werden. 1. Datenschutzrechtliche Abwägungsbelange im Umfeld sozialer Netzwerke □ Abwägungsbelange werden sowohl von der DS-GVO als auch auf Primärrechtsebene in Bezug genommenen.337 Für das Umfeld sozialer Netzwerke gilt es demnach zu klären, welche Grundrechte und Grundfreiheiten die Beteiligten hinsichtlich ihrer faktischen Interessen für sich geltend machen können, inwiefern überindividuelle Belange in der Netzwerkumgebung eine besondere Rolle spielen,

337

Dazu unter C. I.

192

D. Interessenausgleich im Umfeld sozialer Netzwerke

und in welchem Umfang sonstige Belange unterhalb der Primärrechts- und Verfassungsebene einbezogen werden können. a) Verfassungsrechtliche Belange □ Auf Seiten der Nutzer sozialer Netzwerke ist regelmäßig Art. 7 GRC338 von besonderer Bedeutung, da gerade bei der von Nutzern häufig bevorzugten privaten Nutzung sozialer Netzwerke im Rahmen der Beziehungspflege und Selbstdarstellung339 Aspekte der privaten Lebensgestaltung, d. h. Tätigkeiten oder Räume, die von der Öffentlichkeit in einer Weise abgeschirmt sind, die die vernünftige Annahme eines Privatsphärenschutzes rechtfertigen, die Pflege privater Beziehungen (bis zu einem gewissen Grad auch im öffentlichen Raum), die Selbstbestimmung über die eigene Person, die sexuelle Orientierung und identitätsbildende Aspekte340 eine wichtige Rolle spielen.341 Das Grundrecht auf den Schutz personenbezogener Daten aus Art. 8 GRC342 kommt dagegen immer dort zur Geltung, wo personenbezogene Daten verarbeitet werden. Soziale Netzwerke liefern mit ihrer riesigen Speicherkapazität343 und zahlreichen Schnittstellen und Verknüpfungsmöglichkeiten344 besonders vielfältige und besonders umfassende Möglichkeiten, die entstehenden Daten zu verarbeiten. Da soziale Netzwerke verschiedenste Lebensbereiche durchdringen,345 können für den Nutzer aber – abhängig von seinen Aktivitäten und der Ausrichtung des sozialen Netzwerks – fast unbegrenzt weitere Grundrechte relevant sein. Treffen sie mit den Grundrechten aus Art. 7 und 8 GRC zusammen, können sie deren Schutzwirkung um zusätzliche Aspekte ergänzen oder ihre Wirkung hinsichtlich spezieller Aspekte verstärken346. Beispielsweise bewirkt der besondere Schutzgehalt von Art. 10 Abs. 1 GRC im Zusammenspiel mit Art. 7 und 8 GRC eine besonders herausragende Stellung privater Informationen und personenbezogener Daten, die sich auf die religiöse Überzeugung beziehen (diese äußert sich sekundärrechtlich etwa in der Anerkennung dieser Datenkategorie als besonders sensibel nach Art. 9 Abs. 1 DS-GVO). 338

Zum Schutzbereich unter B. II. 2. Zu den Nutzungsarten und -gewohnheiten unter D. II. 1. a). 340 Jarass, in: Jarass (Hrsg.), Charta, Art. 7 GRC, Rdnr. 13–15. 341 Zumindest im Hinblick auf das deutsche allgemeine Persönlichkeitsrecht wird diskutiert, ob auch Aspekte der anonymen Nutzung von Online-Diensten im Rahmen der persönlichen Entfaltung erfasst sind. Dazu: Heckmann, NJW 2012, 2631 (2632). 342 Zum Schutzbereich unter B. II. 2. 343 D. II. 2. a) cc). 344 D. II. 3. c); D. II. 2. a) aa). 345 Dazu D. II. 2. d) und D. II. 3. c). 346 Die schutzbereichsverstärkenden Effekte sind im deutschen Verfassungsrecht bereits fest etabliert (dazu etwa ausführlich und mit Rechtsprechungsverweisen Spranger, NJW 2002, 2074), eine entsprechende Wechselwirkung ist auf europäischer Ebene zumindest angedeutet durch EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 (Rdnr. 53): Die Garantien des Art. 8 GRC seien „von besonderer Bedeutung“ für die Rechte aus Art. 7 GRC. 339

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

193

Ebenso wie die jeweils betroffenen Nutzer können auch andere Nutzer und dritte Akteure im Zusammenhang mit ihren Tätigkeiten in der Netzwerkumgebung Grundrechte geltend machen. Die Gedanken-, Gewissens- und Religionsfreiheit (Art. 10 Abs. 1 GRC) umfasst auch das Recht, die eigenen Überzeugungen öffentlich oder privat in sozialen Netzwerken zu bekennen. Art. 11 Abs. 1 GRC verbürgt das Recht der freien Meinungsäußerung347 und des Empfangs und der Verbreitung von Meinungen und Ideen sowie die Medienfreiheit und erstreckt sich damit auch auf den Meinungs- und Informationsaustausch in sozialen Netzwerken.348 Die Aktivitäten von Künstlern sind in sozialen Netzwerken ebenso geschützt wie die Freiheit der Wissenschaft349 (Art. 13 GRC). Nutzer haben das Recht, sich im Rahmen ihrer Berufsausübung350 (Art 15 Abs. 1 GRC) in sozialen Netzwerken zu bewegen, können Rechte an geistigem Eigentum (Art. 17 Abs. 2 GRC) innerhalb dieser Netzwerke geltend machen, Gleichheit vor dem Gesetz (Art. 20 GRC) und einen wirksamen Rechtsschutz (Art.  47  GRC) einfordern. Art.  21  GRC untersagt die Diskriminierung aufgrund bestimmter Merkmale – die Aufzählung bleibt jedoch ergänzungsoffen („insbesondere“). Sämtliche Merkmale, die Nutzer in einem sozialen Netzwerk über sich preisgeben, dürfen also grundsätzlich nicht zu ihrer Diskriminierung führen. In Extremfällen ist sogar die Verletzung der Menschenwürde (Art.  1  GRC) von Nutzern sozialer Netzwerke nicht auszuschließen. Ob die Nutzer sozialer Netzwerke auch die Versammlungsfreiheit nach Art. 12 GRC für sich geltend machen können, wenn sie sich virtuell im Netzwerk zu Gruppen ‚versammeln‘, ist dagegen noch umstritten.351 Natürliche Personen, juristische Personen und Personenvereinigungen sind zudem in ihrer unternehmerischen Betätigung (durch eine von Rechtsform und Finanzierungsweise unabhängige Einheit durchgeführte wirtschaftliche Tätigkeit des Anbietens von Gütern auf einem Markt) durch Art. 16 GRC geschützt.352 Parallel sind bestimmte Aspekte unternehmerischer Tätigkeiten auch von den europäischen Grundfreiheiten erfasst.353 Soweit Unternehmen oder Unternehmer also im Rahmen ihrer unternehmerischen Tätigkeit auf soziale Netzwerke und damit im Zusammenhang stehende Daten zurückgreifen, etwa um Werbung354 oder Marketing355 im sozialen Netzwerk zu betreiben, durch das Netzwerk mit Kunden

347

Zu den entsprechenden faktischen Interessen unter D. II. 1. a). Kühnl, Persönlichkeitsschutz 2.0, S. 76. 349 Zu den entsprechenden faktischen Interessen unter D. II. 1. e) ee). 350 Zu den entsprechenden faktischen Interessen unter D. II. 1. a). 351 Ablehnend mit Bezug auf das deutsche Grundrecht aus Art. 11 GG: Deutscher Bundestag, BT-Drs. 17/10379, S. 11; zur internationalen Rechtslage: Rutzen/Zenn, IJNPL 2011, 53. 352 Jarass, in: Jarass (Hrsg.), Charta, Art. 16 GRC, Rdnr. 7–11; zur Abgrenzung insbesondere gegen Art. 15 Abs. 1 GRC: Jarass, in: Jarass (Hrsg.), Charta, Art. 16 GRC, 4–4a. Zu den faktischen Interessen von Unternehmern allgemein unter D. II. 1. b). 353 Jarass, in: Jarass (Hrsg.), Charta, Art. 16 GRC, Rdnr. 6. 354 Zu den entsprechenden faktischen Interessen unter D. II. 1. b) bb) und D. II. 1. c) bb). 355 Zu den entsprechenden faktischen Interessen unter D. II. 1. b) aa). 348

194

D. Interessenausgleich im Umfeld sozialer Netzwerke

in Kontakt zu treten,356 sich in der Öffentlichkeit darzustellen,357 oder – im Falle des Netzwerkanbieters  – um das Netzwerk selbst zu betreiben und damit Ertrag zu erwirtschaften358, so können sie das Grundrecht aus Art. 16 GRC und die europäischen Grundfreiheiten, etwa Art.  49 ff. AEUV (Niederlassungsfreiheit) und Art. 56 ff. AEUV (Dienstleistungsfreiheit), für sich geltend machen. Auch stark differenzierte und branchenspezifische Unternehmerinteressen359 sind dabei regelmäßig durch diese Garantien abgedeckt und es greifen keine spezielleren Rechte, z. B. für die Vertrags- und Kooperationspartner des Netzwerkanbieters, für Versicherer, Kreditinstitute und Datenhändler oder für Unternehmer in ihrer Rolle als Arbeitgeber. Bewegt sich die unternehmerische Tätigkeit jedoch im wissenschaftlichen, künstlerischen oder akademischen Bereich, so greifen die Garantien des Art. 13 GRC.360 Beziehen sich unternehmerische Tätigkeiten auf die Rezeption, Bildung oder Verbreitung von Meinungen und Informationen, so greift Art.  11  Abs.  1 GRC. Letzteres gilt insbesondere für Monitoring361 und Werbung,362 wobei Behavioral Targeting als Form des Direktmarketings363 und Online­ Marketing im Allgemeinen dennoch auch dem Schutzbereich der unternehmerischen Freiheit zugeordnet werden.364 Neben den Rechten und Interessen einzelner Beteiligter können auch überindividuelle Belange für den Interessenausgleich im Umfeld sozialer Netzwerke eine Rolle spielen. Das gesetzgeberische Anliegen, den Binnenmarkt und den freien Verkehr personenbezogener Daten zu fördern und den wirtschaftlichen und sozialen Fortschritt zu stärken, ist insofern von besonderer Bedeutung, als sich der Markt für soziale Netzwerkdienstleistungen selbst, aber auch für die damit in Verbindung stehenden Dienstleistungen (Werbung, Apps, Spiele) und die unter Zuhilfenahme der Dienste und Strukturen des Netzwerks vertriebenen Produkte und Dienstleistungen (z. B. Produkte von Unternehmen, die sich im sozialen Netzwerk präsentieren) als Bestandteile in den gesamteuropäischen Binnenmarkt ein­ gliedern und deren Hersteller und Anbieter jeweils auf den freien Verkehr der für die Herstellung und den Vertrieb der jeweiligen Produkte und Dienstleistungen erforderlichen Daten angewiesen sind. Auch der Betroffenenschutz selbst kann aber im Kontext der Herstellung und des Angebots von Produkten und Dienstleistungen im Umfeld sozialer Netzwerke als vertrauensbildendes Element auf dem Binnenmarkt und im Rahmen der Herstellung gleicher Marktbedingungen für die Teilnehmer allgemeine Bedeutung entfalten. 356

Zu den entsprechenden faktischen Interessen unter D. II. 1. b) dd). Zu den entsprechenden faktischen Interessen unter D. II. 1. b) cc). 358 Zu den entsprechenden faktischen Interessen unter D. II. 1. c) aa). 359 Zu den entsprechenden faktischen Interessen unter D. II. 1. e). 360 Jarass, in: Jarass (Hrsg.), Charta, Art. 13 GRC, Rdnr. 4–10. 361 Bzgl. des deutschen Grundrechts auf Informationsfreiheit, Art.  5 Abs.  1 Satz 1 GG: Jung, PinG 2015, 170 (172). 362 Jarass, in: Jarass (Hrsg.), Charta, Art. 11 GRC, Rdnr. 11. 363 Zuiderveen Borgesius, IDPL 2015, 163 (169). 364 Zuiderveen Borgesius, IDPL 2015, 163 (167); Art. 29-Datenschutzgruppe, WP 217, S. 25. 357

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

195

b) Interessen und Belange unterhalb der Verfassungsebene □ Soweit sich einzelne Ausgleichsmechanismen allgemein auf die Interessen der Beteiligten beziehen, können auch Interessen und Belange, die nicht unmittelbar auf Verfassungsebene festgeschrieben sind, eine Rolle spielen. Sämtliche der vorgefundenen Interessen  – etwa wirtschaftliche Interessen des Anbieters, spezifische Interessen bestimmter Branchen oder auch die privaten und beruflichen Interessen der Nutzer  – können dann grundsätzlich als Belange in den Abwägungsprozess eingestellt werden. 2. Ausgewählte Mechanismen des Interessenausgleichs im Umfeld sozialer Online-Netzwerke △ Im Folgenden wird weiterhin untersucht, welche spezielle Rolle ausgewählte Mechanismen (△) des Interessenausgleichs im Zusammenhang mit sozialen Netzwerken spielen und ob sich bei ihrer Anwendung spezifische Probleme ergeben. a) Verhältnismäßigkeitsgrundsatz △ Die vorangehende Analyse hat gezeigt, dass sich dem Rechtsanwender u. a. dort Abwägungsspielräume eröffnen, wo aufgrund eines Verweises oder im Wege einer grundrechtskonformen Auslegung in der Argumentation auf Grundrechte zurückgegriffen wird und ihr Ausgleich unter Berücksichtigung des allgemeinen Verhältnismäßigkeitsgrundsatzes stattzufinden hat.365 Soll der grundrechtliche Abwägungsmechanismus des Verhältnismäßigkeitsgrundsatzes allerdings auf soziale Online-Netzwerke Anwendung finden, so ist scheinbar zunächst die Anwendbarkeit der Grundrechte und ihres Ausgleichs im Rahmen der Verhältnismäßigkeit auf die Kollision rein privater Interessen im Rahmen der Netzwerkumgebung problematisch. Der Mechanismus der Verhältnismäßigkeit entfaltet jedoch über das Konstrukt der mittelbaren366 Drittwirkung auch beim Ausgleich von Grundrechtspositionen zwischen Privaten seine Wirkung. Eine solche mittelbare Wirkung auf Rechtsverhältnisse zwischen Privaten im Rahmen einer grundrechtskonformen Auslegung ist für die europäischen Grundrechte generell aner-

365

C. II. 1. a). Soweit eine unmittelbare Drittwirkung für die deutschen Grundrechte diskutiert wird (vgl. dazu etwa Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 46–48), ist sie jedenfalls für die europäischen Grundrechte aus der GRC ausgeschlossen, weil Art. 51 Abs. 1 GRC die unmittelbare Geltung der Grundrechte ausdrücklich auf die Organe und Einrichtungen der Union und der Mitgliedstaaten begrenzt, dazu etwa Folz, in: Vedder/­Heintschel von Heinegg (Hrsg.), EU-Recht, Art. 51 GRC, Rdnr. 11; anderer Ansicht aber Hijmans, The European Union as Guardian of Internet Privacy, S. 36–38. 366

196

D. Interessenausgleich im Umfeld sozialer Netzwerke

kannt.367 Für das Datenschutzrecht liegt eine zumindest mittelbare Drittwirkung zudem besonders nahe – wird doch bereits aus Art. 1 Abs. 1 und Abs. 2 sowie Erwgr. 2 und 4 i. V. m. Art. 2 Abs. 1 DS-GVO deutlich, dass das europäische Datenschutzrecht gerade dem Zweck dient, Grundrechte auch zwischen Privaten zur Geltung und zum Ausgleich zu bringen. Auch der EuGH hat zur Auslegung von zwischen privaten Beteiligten wirkenden datenschutzrechtlichen Sekundärrechtsakten bereits die europäischen Grundrechte herangezogen368 und somit der Figur der mittelbaren Wirkung dieser Rechte im Datenschutzrecht zur weiteren Festigung verholfen. Auch im Zusammenhang mit sozialen Netzwerken wirken also die europäischen Grundrechte mittelbar zwischen den beteiligten Akteuren und ihr Ausgleich findet durch eine mittelbare Anwendung des Mechanismus der Verhältnismäßigkeit im Rahmen der Auslegung der Vorschriften des sekundären europäischen Datenschutzrechts statt.369 Der Verhältnismäßigkeitsgrundsatz ist als ein besonders offener Mechanismus des Interessenausgleichs dabei grundsätzlich hervorragend geeignet, die vielfältigen Interessen und Besonderheiten des Interessengefüges im Kontext sozialer Netzwerke umfangreich zu berücksichtigen. Aufgrund seiner großen Flexibilität eröffnet dieser Mechanismus jedoch gleichzeitig auch weitreichend Spielraum für den Missbrauch der in der Netzwerkumgebung deutlich ausgeprägten informationellen und strukturellen Vormachtstellungen370 der übrigen Akteure gegenüber dem Nutzer. b) Ausdrücklich angeordnete Interessenabwägung △ Wo immer im Zusammenhang mit sozialen Online-Netzwerken der besonders flexible Mechanismus der allgemeinen Interessenabwägung (insbesondere die Generalklausel aus Art. 6 Abs. 1 Satz 1 lit. f DS-GVO) eine Rolle spielt, ist eine umfassende Abwägung unter Berücksichtigung aller relevanten Interessen im Zusammenhang mit sozialen Netzwerken auch unter Einbeziehung der Besonderheiten 367

Zustimmende Erwähnung findet die mittelbare Drittwirkung dementsprechend z. B. bei Witte, in: Dupuy/Petersmann/Francioni (Hrsg.), Human Rights in International Investment Law and Arbitration, S. 197 (204); Jarass, in: Jarass (Hrsg.), Charta, Art. 51 GRC, Rdnr. 31–32; Borowsky, in: Meyer (Hrsg.), Charta, Art. 51 GRC, Rdnr. 31; direkt mit Bezug zum Grundrecht auf den Schutz personenbezogener Daten auch: Folz, in: Vedder/Heintschel von Heinegg (Hrsg.), EU-Recht, Art. 8 GRC, Rdnr. 3; Sobotta, in: Grabitz/Hilf/Nettesheim (Hrsg.), Recht der EU, Art. 16 AEUV, Rdnr. 11. Explizit im Zusammenhang mit sozialen Netzwerken, in Bezug auf die Schutzpflichtendimension: Hornung, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch Social Media, S. 79 (83–84). 368 EuGH, Urt. v. 14.05.2014 – C-131/12 (74). 369 Zur Relevanz von Grundrechten speziell im Kontext sozialer Medien bei Hoffmann/ Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, S. 67–69. 370 Zum informationellen Ungleichgewicht unter D. II. 3. b), zum strukturellen Ungleich­ gewicht unter D. II. 3. a).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

197

des Interessengefüges371 und der besonderen äußeren Einflüsse auf dieses372 möglich. Einfließen können dabei – abhängig vom jeweiligen Sachverhalt – sämtliche der erarbeiteten Kriterien und die zugehörigen Wertungen,373 jeweils unter Berücksichtigung ihrer Besonderheiten und Relevanz im speziellen Umfeld sozialer Netzwerke374. Praktische Bedeutung erlangt die Interessenabwägung als ein vielfältige Verarbeitungsprozesse rechtfertigender Erlaubnistatbestand im Kontext sozialer Netzwerke deswegen, weil für die Ausübung der Selbstbestimmung der Nutzer und damit auch für den Tatbestand der Einwilligung erhebliche Vorbehalte bestehen,375 was einen Rückgriff auf andere Erlaubnisnormen erforderlich macht. Die ohnehin im Rahmen des weiten Mechanismus bereits unscharfe376 Ermittlung, Zuweisung und Gegenüberstellung von Interessen wird durch die Auflösung normativer Rollen im Netzwerk377 jedoch zusätzlich erschwert. Soweit zwischen den relevanten Akteuren, insbesondere zwischen Nutzer und Anbieter, ein informationelles und strukturelles Ungleichgewicht herrscht,378 können außerdem die im Vorteil befindlichen Akteure den in großem Maße flexiblen379 Mechanismus durch das gezielte Vorenthalten von Informationen oder Ausnutzen einer Machtposition zu ihren Gunsten strapazieren. Die Berücksichtigung von Interessen im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO ist zudem nicht auf die Interessen des datenverarbeitenden Akteurs beschränkt: Die einzubeziehenden Belange müssen nicht einmal im Zusammenhang mit einem solchen Dritten stehen, dem die Daten im weiteren Verlauf der Verarbeitung offengelegt werden (so noch Art. 7 lit. f DS-RL), sondern können sich aus den Interessen beliebiger Dritter ergeben (sehr eindeutig dazu Erwgr.  47 DS-GVO). Dies kommt der Gestaltung der Geschäftsmodelle im Netzwerkkontext sehr entgegen – können auf diese Weise doch die verschiedensten Interessen im Zusam 371

Siehe unter D. II. 3. Siehe unter D. II. 2. 373 Siehe unter C. III. 374 Siehe unter D. III. 3. 375 Siehe unter C. II. 1. e) und C. III. 1. d) aa). 376 Dazu oben unter C. II. 1. b). Kritisch zur Weite und Unschärfe des Abwägungstatbestandes aus Art. 6 Abs. 1 Satz 1 lit. f DS-GVO sowohl allgemein als auch gerade im Hinblick auf neue datenverarbeitungszentrierte Geschäftsmodelle äußert sich Roßnagel, Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24.  Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages, S. 14. Auch Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 159, meint (mit Bezug auf die in § 29 BDSG angeordneten allgemeinen Interessenabwägungen): „Die geforderte Abwägung kann der Betreiber nicht leisten, sodass sich die Zulässigkeit der jeweiligen Datenverarbeitung allenfalls bei einer ex post Kontrolle als gewissermaßen ‚zufälliges‘ Ergebnis einstellt.“ 377 Siehe unter D. II. 3. c). 378 Dazu unter D. II. 3. a); D. II. 3. b). 379 Dazu allgemein kritisch: Roßnagel, Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24.  Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages, S. 14. 372

198

D. Interessenausgleich im Umfeld sozialer Netzwerke

menhang mit informellen und faktischen Kooperationen der Beteiligten380 direkt in den Interessenausgleich einfließen. Dies führt allerdings zu einem Ausufern der zu berücksichtigen Interessenlagen aufseiten der Datenverarbeiter im Netzwerkumfeld und schwächt dadurch die Position des betroffenen Nutzers beim Ausgleich der Interessen. Große Flexibilität verhilft außerdem nicht nur zu der Möglichkeit, alle relevanten Interessen situationsgerecht berücksichtigen zu können, sondern bringt auch Rechtsunsicherheit in der Anwendung mit sich: Gerade weil der Mechanismus der allgemeinen Interessenabwägungsklausel so großen Spielraum für die Abwägung bietet und weil es dadurch möglich wird, Besonderheiten des jeweiligen Sachverhalts einzubeziehen, sind die vielen unterschiedlichen Interessenlagen im Umfeld des Netzwerks jeweils einer eigenständigen Abwägung zu unterziehen und können nur sehr eingeschränkt im Rahmen von behördlichen Auslegungsempfehlungen oder von der Rechtsprechung entwickelte Kriterien abstrahiert und vergleichbar gemacht werden. Die allgemeine Interessenabwägungsklausel ist daher ein Mechanismus, der einerseits theoretisch in besonderem Maße geeignet ist, einen Ausgleich für spezifische Interessenlagen im Umfeld sozialer Online-Netzwerke herbeizuführen, der andererseits aber in der Rechtsanwendung in besonderem Maße den gerechten Interessenausgleich durch die Schaffung von Missbrauchsgefahren und Rechtsunsicherheit381 gefährdet. c) Erforderlichkeitsklauseln △ Ähnliches gilt auch für die Anwendung von Erforderlichkeitsklauseln im Umfeld sozialer Netzwerke: Die Vielfalt der Interessenlagen und Beteiligten, die im Kontext sozialer Netzwerke eine Rolle spielen, bedingen eine erhöhte Komplexität des Sachverhalts, welcher die große Flexibilität dieses Ausgleichsmechanismus gegenübersteht. Von eingeschränkter Funktion für den Interessenausgleich sind Erforderlichkeitstatbestände zusätzlich deswegen, weil die Vermischung oder Überschneidung von Zwecken und Interessen382 im Netzwerkkontext dazu führt, dass sich eine Erforderlichkeit für nahezu jede Datenverarbeitung mit dem Interesse eines oder mehrerer Akteure begründen ließe. Dies führt im Ergebnis dazu, dass der Mechanismus der Erforderlichkeit im Umfeld sozialer Netzwerke jegliche Kontur zu ver 380

Dazu unter D. II. 2. b) und D. II. 3. c). Mit dem Vorschlag der Konkretisierung durch Typisierung bestimmter Interessenlagen und Abwägungsentscheidungen: Roßnagel, Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24. Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages, S. 14–15; kritisch gegenüber einer Präzisierung datenschutzrechtlicher Generalklauseln (allerdings noch mit Bezug auf die Regelungen des BDSG): Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 96–101. 382 D. II. 3. c). 381

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

199

lieren droht und viel zu weit gerät. Teilweise Abhilfe schaffen können hinsichtlich der daraus entstehenden Risiken des Missbrauchs und der Rechtsunsicherheit besonders strenge Anforderungen an die Erforderlichkeit, insbesondere die besonders enge Verknüpfung von Überlegungen zur Erforderlichkeit mit den durch den Gesetzgeber mit ihnen verbundenen Kriterien (z. B. die Anbahnung oder Durchführung eines Vertrags nach Art. 6 Abs. 1 Satz 1 lit. b DS-GVO oder die Beschränkung von Verarbeitungen im Rahmen der Voreinstellungen auf das erforderliche Maß nach Art. 25 Abs. 2 Satz 1 DS-GVO). d) Unbestimmte Begriffe Auch unbestimmte Begriffe wurden als Mechanismen identifiziert, die im Rahmen einer Auslegung für den Interessenausgleich Raum schaffen. Exemplarisch sollen daher Funktionen und Tauglichkeit einiger der zuvor bereits allgemein beleuchteten Begriffe für die Herstellung eines Interessenausgleichs im Netzwerkkontext untersucht werden: aa) „[P]ersönliche[…] oder familiäre[…] Tätigkeiten“ △ Von besonderer Bedeutung ist im Umfeld sozialer Online-Netzwerke der Begriff der ausschließlich persönlichen oder familiären Tätigkeiten nach Art.  2 Abs. 2 lit. c DS-GVO, welcher es im Rahmen eines Ausschlusstatbestandes grundsätzlich ermöglicht, den Interessen von Netzwerknutzern, im Falle privater Tätigkeiten nicht den weitreichenden Pflichten der DS-GVO zu unterfallen, Rechnung zu tragen. Die private Verwendung steht für die Nutzer sozialer Netzwerke auch regelmäßig im Vordergrund.383 Im Netzwerkkontext besteht durch die starke Erweiterung der Anzahl privater Kontakte, die Durchsetzung des privat genutzten Raumes mit kommerziellen Inhalten und die uneingeschränkte kommerzielle Nutzung auch im privaten Umfeld geteilter Daten zumindest durch den Anbieter384 jedoch eine besondere Konstellation der Vermischung privater und familiärer Tätigkeiten mit kommerziellen Aktivitäten: Der vom kommerziell tätigen Anbieter zur Verfügungen gestellte technische Rahmen ermöglicht eine Nutzung zu privaten Zwecken, die den bislang bekannten Umfang sprengt: Cloudstrukturen gestatten das Verarbeiten und Speichern besonders großer Datenmengen im Netzwerk. Die Oberfläche des Netzwerks ist darauf ausgerichtet, Daten zu strukturieren und in eine für den Nutzer sinnvolle Anordnung zu bringen. Inhalte können mithilfe der Werkzeuge, die der Anbieter dem Nutzer an die Hand gibt (im Rahmen der Netzwerkoberfläche etwa eine strukturierte Suchfunktion, Tagging-Funktionen für Fotos etc. oder in die Plattformoberfläche integrierte Apps, die etwa das 383 384

D. II. 1. a). Zur Grenzauflösung in dieser Hinsicht unter D. II. 3. c).

200

D. Interessenausgleich im Umfeld sozialer Netzwerke

Sammeln von Geburtsdaten in einem Geburtstagskalender oder das Sortieren von Fotos nach getaggten Personen oder erkannten Gesichtern ermöglichen), nahezu unbegrenzt und sehr effizient verbreitet und zeit- und ortsunabhängig abgerufen werden. Das Netzwerk eröffnet somit auch Nutzern die Möglichkeit, Daten in ähnlich umfangreicher und effizienter Weise zu verarbeiten wie kommerziell tätige Akteure. Die Ausübung privater Tätigkeiten, namentlich das Benutzen der sozialen Netzwerkoberfläche zur Pflege eines privaten Profils und privater Kontakte unter Benutzung der erwähnten Werkzeuge ermöglicht wiederum unmittelbar eine kommerzielle Auswertung der dabei entstehenden Daten.385 Ein genereller Ausschluss sämtlicher den Nutzern zuzuordnender Verarbeitungstätigkeiten im Umfeld sozialer Netzwerke von der Geltung der DS-GVO aufgrund von Art. 2 Abs. 2 lit. c DS-GVO könnte daher die Berücksichtigung der Interessen von Nutzern in ihrer Rolle als von den Verarbeitungen anderer Nutzer Betroffene empfindlich beeinträchtigen. Besonders wichtig ist es mithin, dass auch unter Art. 2 Abs. 2 lit. c DS-GVO ein Spielraum verbleibt, diese besonderen Interessenlagen unter Einbeziehung von Kriterien und Wertungen im Einzelfall zu berücksichtigen. Wo für private Nutzer die Grenze zur persönlichen oder familiären Tätigkeit zu ziehen ist, war unter der DS-RL bezüglich sozialer Netzwerke noch großenteils ungeklärt.386 Aus Erwgr. 18 DS-GVO geht nun hervor, dass künftig die Nutzung sozialer Netzwerke als persönliche oder familiäre Tätigkeit qualifiziert werden „könnte[…]“. Eine de 385

Zur gegenseitigen Abhängigkeit und Verschmelzung von Interessen unter D. II. 2. b) und D. II. 3. c). 386 Der EuGH stellte zur Auslegung der ‚persönlichen oder familiären Tätigkeit‘ aber jedenfalls fest, dass eine solche nicht mehr besteht, wenn Daten im Internet einem nicht eingrenz­ baren Kreis von Personen einsehbar gemacht werden, vgl. EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 47). Nicht pauschal als Anhaltspunkt gelten sollen das Ausmaß der Datenverarbeitung und die Anzahl der Personen, denen die Daten zugänglich gemacht werden (Freunde, Kontakte, Gruppenmitglieder im Netzwerk etc.): Piltz, Soziale Netzwerke im Internet, S. 94–95. Die unbeschränkte Zugänglichkeit von Daten in der Netzwerkoberfläche wird allgemein aber als Argument gegen die Qualifikation der Nutzertätigkeiten als rein privat gewertet: Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 502–503. Ein Anzeichen für eine private Datenverarbeitung kann dagegen die Verbrauchereigenschaft des Nutzers (diese legt grundsätzlich eine private Zweckrichtung bei der Netzwerknutzung nahe) darstellen; ob der Nutzer bewusst und gezielt einen bestimmten, zugriffsberechtigten Personenkreis ausgewählt hat oder willkürlich allen Internetnutzern oder sogar Suchmaschinen den Zugriff auf Inhalte erlaubt, und ob die Benutzung eines Profils für Geschäftszwecke (Werbung, Marketing, PR etc.) oder zur beruflichen Vernetzung dient, wird ebenfalls als Entscheidungshilfe herangezogen, Art. 29-Datenschutzgruppe, WP 163, S. 6–7. Die Datenschutzbeauftragten des Bundes und der Länder wollen eine persönliche oder familiäre Tätigkeit sogar schon dann ausschließen, wenn sich der Netzwerkbetreiber an vom Nutzer eingespeisten Daten selbst Rechte für eigene Zwecke sichert, vgl. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, S. 12. Eine derartige pauschale Ausweitung der Verantwortlichkeit des Nutzers geht aber wohl zu weit. Stattdessen muss im Einzelfall mithilfe der oben genannten Kriterien festgestellt werden, ob eine persönliche oder familiäre Tätigkeit noch vorliegt, dazu auch ausführlich bei Piltz, Soziale Netzwerke im Internet, S. 97–101.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

201

finitive Entscheidung hat der Verordnungsgeber hinsichtlich dieses Begriffes also zwar nicht getroffen,387 er versieht den Begriff jedoch mit einem Beiklang, der einen Ausschluss des Nutzers aus der Rolle des Datenverarbeiters nahelegt. Eine konsequente Umsetzung dieser Vorgabe führt jedoch dazu, dass ein Interessenausgleich, wie er von der DS-GVO vorgesehen ist, zwischen Nutzern, die Daten anderer Nutzer im Rahmen der Netzwerknutzung verarbeiten, und den von diesen Verarbeitungen betroffenen Nutzern überhaupt nicht mehr stattfinden kann.388 Der Ausgleichsmechanismus, der dem auslegungsfähigen Begriff der persönlichen oder familiären Tätigkeiten innewohnt, droht damit für eine Verwendung im Netzwerkkontext einen unzureichenden Ausgleichsspielraum bereitzustellen. bb) Personenbeziehbarkeit: „identifizierbare natürliche Person“ △ Die Feststellung einer Personenbeziehbarkeit von Daten (nach Art.  4 Abs.  1­ DS-GVO sind personenbezogene Daten auch solche „Informationen, die sich auf eine […] identifizierbare natürliche Person […] beziehen“, sog. indirekter Personenbezug: der Personenbezug ist mithilfe von zusätzlichen Informationen herstellbar389) bereitet im Umfeld sozialer Netzwerke u. a. dann einige Schwierigkeiten, wenn es zu Situationen kommt, in denen ein Personenbezug aus der Perspektive dritter Akteure erst durch Zusatzinformationen hergestellt werden müsste, die nicht die Akteure selbst, sondern regelmäßig nur der Netzwerkanbieter besitzt (z. B. kennt regelmäßig nur der Netzwerkanbieter den richtigen Namen eines bei ihm registrierten Nutzers und hat so die Möglichkeit, des Nutzers Inhalte und Verhalten ihm zuzuordnen; die übrigen Akteure im Umfeld des sozialen Netzwerks erhalten Zugang zu Klarnamen oder zu anderen Informationen, die eine Identi­ fizierung des Nutzers ermöglichen, nur in Ausnahmefällen390). Der in der Literatur bislang vorherrschenden Ansicht einer relativen, perspektivenabhängigen Auslegung des Personenbeziehbarkeitsbegriffes zu folgen, welche einen Personenbezug nur anerkennt, soweit der jeweils betrachtete Akteur selbst in der Lage ist, mit einem angemessenen Aufwand den Personenbezug herzustellen, hätte im Umfeld sozialer Online-Netzwerke daher unmittelbar zur Folge, dass datenschutzrechtliche Bestimmungen fast ausschließlich auf den Netzwerkbetreiber selbst, nicht aber auf dritte Akteure Anwendung finden könnten. Eine weitläufige Nicht­erfassung verschiedener Akteure wäre einem Interessenausgleich im Sinne der DS-GVO jedoch keinesfalls dienlich, weil der jeweils relevante Sachverhalt 387 Von einer definitiven Entscheidung auszugehen scheint aber Härting, Datenschutz-Grundverordnung, S. 312. 388 Eine unzureichende Berücksichtigung bemängelt hinsichtlich der deutschen Rechtslage bereits Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 204. Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 86, sieht dagegen grundsätzlich Raum für „interessengerechte Ergebnisse“. 389 Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 135. 390 D. II. 3. b).

202

D. Interessenausgleich im Umfeld sozialer Netzwerke

in seiner Gesamtheit sodann bereits nicht datenschutzrechtlich erfasst werden könnte. Von außerordentlicher Wichtigkeit ist daher die Frage, ob der Personenbeziehbarkeitsbegriff einen ausreichenden Spielraum eröffnet, über eine entsprechend weite Auslegung auch andere Akteure neben dem Netzwerkanbieter datenschutzrechtlich zu erfassen und sie auf diese Weise in den datenschutzrechtlichen Interessenausgleich einzubeziehen. Der Wortlaut von Art. 4 Abs. 1 DS-GVO enthält kein eindeutiges Bekenntnis zur relativen Beurteilung der Personenbeziehbarkeit, sondern ist – im Gegenteil – offen formuliert.391 Aus Erwgr. 26 DS-GVO („[…] sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“; „[…] sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“) geht zunächst hervor, dass auch das Zusatzwissen Dritter bei der Herstellung des Personenbezugs eine Rolle spielen kann, und dass es für die Beurteilung maßgeblich auf objektive Faktoren ankommen soll. Ihm lässt sich jedoch auch entnehmen, dass eine völlig abstrakte und nur theoretisch bestehende Möglichkeit der Herstellung des Personenbezugs durch einen Dritten nicht genügt, um eine Personenbeziehbarkeit zu begründen. Entscheidend soll stattdessen sein, ob vernünftigerweise damit zu rechnen ist, dass im jeweils konkreten Zusammenhang, auch unter Einbeziehung denkbarer Mitwirkungen Dritter, ein Personenbezug herstellbar ist, ob also eine hinreichend konkrete Persönlichkeitsrechtsgefährdung392 besteht. Der EuGH hielt eine ausreichende Wahrscheinlichkeit der Identifizierbarkeit und damit eine für die Annahme eines Persönlichkeitsbezugs ausreichende Gefährdungslage bereits dann für gegeben, wenn ein Seitenbetreiber theoretisch mithilfe von Strafverfolgungsvorschriften („rechtliche Mittel“) Zusatzinformationen vom Internetzugangsanbieter eines Betroffenen erlangen kann, welche eine Zuordnung der Identität des Betroffenen zu bei der Seitennutzung verwendeten dynamischen IP-Adressen gestatten.393 Damit steht fest, dass der Verantwortliche das für eine Identifikation erforderliche Zusatzwissen nicht selbst besitzen muss, sondern dass es stattdessen genügt, wenn es ihm auch nur theoretisch möglich ist, die Identifikation unter Heranziehung eines Dritten zu bewerkstelligen und diese Kooperation nicht von Anfang an (etwa aufgrund zu hoher Kosten oder anderer Hindernisse) praktisch ausgeschlossen ist. Diese Persönlichkeitsrechtsgefährdung kann gerade im Umfeld sozialer Netzwerke aber nicht nur dadurch entstehen, dass ein Akteur vom Anbieter die eine Personenbeziehbarkeit begründenden Zusatz 391 So zum im Wortlaut ähnlichen Erwgr.  26 der DS-RL auch Schmidt-Holtmann, Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht, S. 105–106. 392 So wohl auch Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 56–57. 393 EuGH, Urt. v. 19.10.2016 – C-582/14 (Rn. 49).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

203

informationen unmittelbar erhält; sie kann vielmehr auch bereits durch ein Zusammenwirken des Anbieters mit dritten Akteuren im Rahmen von Datenverarbeitungsvorgängen begründet sein: Gerade im Umfeld des sozialen Netzwerks entstehen konkrete Gefährdungen für Persönlichkeitsrechte der Nutzer regelmäßig nicht, weil ein einzelner Akteur sie identifizieren kann, sondern weil das Zusammenwirken dieser Akteure mit dem Anbieter im Rahmen des spezifischen Geschäftsmodells394 umfassende Datenverarbeitungsprozesse ermöglicht, hinsicht­lich derer Nutzer mithilfe von Zusatzinformationen des Anbieters identifizierbar sind. Diese Zusatzinformationen müssen vom Anbieter jedoch gar nicht an andere Akteure weitergegeben werden, um eine konkrete Gefährdung zu verursachen, denn eine Kooperation zwischen dem Anbieter und anderen Akteuren dient regelmäßig unmittelbar dazu, Nutzern individualisierte Inhalte im Rahmen des Plattformbetriebs zur Verfügung zu stellen und zugleich die Nutzerdaten über die Ausspielung von Werbung zu monetarisieren.395 Die Akteure und der Anbieter kooperieren in zahlreichen Konstellationen daher unmittelbar zum Zweck der Herstellung eines Personenbezugs zwischen den jeweils verarbeiteten Daten und Nutzern des Netzwerks. In dieser Konstellation wäre „[d]as Argument, dass Personen nicht bestimmbar sind, wenn der eigentliche Zweck der Verarbeitung in der Identifizierung von Personen besteht, […] ein Widerspruch in sich.“396 Ein zu weites Ausufern des Begriffsinhalts397 und die Schaffung eines zu weiten Anwendungsbereichs für die DS-GVO steht dabei nicht zu befürchten, soweit im Einklang mit dem Ziel der DS-GVO, die Grundrechte der Betroffenen zu schützen (vgl. dazu Art. 1 Abs. 2 DS-GVO), eine weite Auslegung ausschließlich dort betrieben wird, wo die Rechte von Nutzern durch die beschriebenen Kooperationen konkret gefährdet sind,398 was regelmäßig von der Art und Weise der Zusammenarbeit der Akteure und dem jeweils angestrebten Zweck abhängen wird. Festzuhalten bleibt aber, dass konkrete Gefahren für die Persönlichkeitsrechte betroffener Nutzer, die aus den speziellen technischen und wirtschaftlichen Gegebenheiten im sozialen Netzwerk resultieren, im Rahmen des Mechanismus des Personenbeziehbarkeitsbegriffs durch eine entsprechend weite Auslegung399 weitreichend berücksichtigt werden können. 394

Zum Geschäftsmodell unter D. I. 4.; zum Zusammenwirken der Akteure unter D. II. 3. c). Dazu unter D. II. 1. c) aa) und D. II. 1. c) bb) sowie ausführlicher zum Zusammenhang der Interessen unter D. II. 3. c). Argumentation hinsichtlich der Kooperation im Rahmen eines Social Plugins: Beyvers, RDV 2016, 154 (156). 396 Art. 29-Datenschutzgruppe, WP 136, S. 19. 397 Spindler/Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 11 TMG, Rdnr. 8. 398 Dazu Beyvers, RDV 2016, 154 (156–157). 399 Zugunsten eines umfassenden Schutzes der Grundrechte und Grundfreiheiten, wie ihn die DS-RL ausweislich ihres Art. 1 Abs. 1 vorsah (jetzt: Art. 1 Abs. 2 DS-GVO), insbesondere zur Gewährleistung des Grundrechts auf Datenschutz aus Art.  8 GRC und zur Stärkung des freien Verkehrs von Daten (Art.  1 Abs.  2 DS-RL) innerhalb des Binnenmarktes (Art.  26 f. AEUV) im Sinne der Waren- und Dienstleistungsfreiheit gemäß Art.  28 ff. und Art. 54 AEUV, wurden auch andere Begriffe in der DS-RL vom EuGH bereits einer weiten 395

204

D. Interessenausgleich im Umfeld sozialer Netzwerke

cc) Verantwortlichkeit mehrerer: „gemeinsam“ Verantwortliche △ Ähnlich wie im Fall des Personenbezugs gilt es auch beim Verantwortlichkeitsbegriff (verantwortlich für eine Datenverarbeitung ist nach Art. 4 Abs. 7 DS-GVO, wer „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“) im Kontext sozialer Netzwerke eine besondere Sach- und Interessenlage zu bewältigen: Angesichts der vielfältigen Möglichkeiten der Arbeitsteilung und Kooperation zwischen den Akteuren im Umfeld des sozialen Netzwerks, die sowohl von den Akteuren beabsichtigt als auch schlicht der technischen und faktischen Ausgestaltung der Netzwerkoberfläche und des Geschäftsmodells geschuldet sein kann,400 ist die Frage nach der Aufteilung der datenschutzrechtlichen Verantwortlichkeit von besonderer Relevanz und Komplexität. Art. 4 Abs. 7 DS-GVO sieht ausdrücklich vor, dass der Verantwortliche „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Datenverarbeitung entscheiden kann. Mehrfachzuweisungen sind in der Praxis von Netzwerkumgebungen darauf zurückzuführen, dass Datenverarbeitungen kaum mehr auf gerader Linie zwischen einem Betroffenen und einem Verantwortlichen, sondern vielfach vernetzt und verzweigt zwischen mehreren Beteiligten, die jeweils unterschiedliche Rollen einnehmen können, stattfinden401  – ein für das Interessengefüge im Umfeld sozialer Netzwerke geradezu kennzeichnendes Merkmal402. Ermittelt werden muss also, ob der Begriff der gemeinsamen Verantwortlichkeit einer Auslegung zugänglich ist, die diese speziellen Konstellationen im sozialen Netzwerk berücksichtigen und damit die jeweils relevanten Interessen zum Ausgleich bringen kann. Art. 4 Abs. 7 und Art. 26 Abs. 1 Satz 1 DS-GVO erlauben an dieser Stelle die Berücksichtigung von Konstellationen, in denen Zwecke und Mittel hinsichtlich eines Datenverarbeitungsvorganges nicht gemeinsam festgelegt werden, sondern die Entscheidungsmacht stattdessen lediglich aufgrund technischer, wirtschaftlicher oder rechtlicher Gegebenheiten im Netzwerk aufgespalten ist, ohne dass es zu einer Zusammenarbeit der Akteure im Sinne von Art. 26 Abs. 1 Satz 1­ DS-GVO kommt, nach Bedarf auf verschiede Weise: Im Rahmen einer erweiAuslegung unterzogen, soweit ihr Wortlaut dies zuließ: Vgl. bezüglich des Begriffes der Datenverarbeitung EuGH, Urt. v. 06.11.2003 – C-101/01 (Rdnr. 24–27); EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 25–31); EuGH, Urt. v. 16.12.2008 – C-73/07 (Rdnr. 48–49); bezüglich des Begriffes der Verantwortlichkeit EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 32–41); bezüglich des Begriffes der Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung EuGH, Urt. v. 14.05.2014 – C-131/12 (Rndr. 42–61). 400 Z. B. findet ein Zusammenwirken beim Betrieb von Social Plugins auf externen Webseiten oder bei der Erstellung von personalisierter Werbung statt: Nur die Kooperation des Anbieters mit den jeweils beteiligten Akteuren ermöglicht das reibungslose Funktionieren dieser Dienste. Zur Überschneidung der Interessen unter D. II. 3. c), zum Zusammenwirken im Rahmen der Geschäftsmodelle als wirtschaftlicher Faktor, der sich auf das Interessengefüge maßgeblich auswirkt, unter: D. II. 2. b). 401 Vgl. Moos, ITRB 2012, 226 (227); Art. 29-Datenschutzgruppe, WP 169, S. 22. 402 D. II. 3. c).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

205

ternden Auslegung der Voraussetzung der gemeinsamen Festlegung von Zwecken und Mitteln könnte „gemeinsam“ im Sinne eines umfassenden Grundrechtsschutzes und der Stärkung von Betroffenenrechten als loses Zusammenwirken ohne wirkliche Absprache verstanden werden;403 in der Folge müssten auch Verantwortungsaufspaltungen, die nicht auf einem explizit finalen oder vertraglich vereinbarten Zusammenwirken der Akteure beruhen, die Rechtsfolgen von Art. 26 Abs.  1 Satz  1 DS-GVO auslösen. Über einen Umkehrschluss (es greifen nicht die von Art. 26 vorgesehenen Rechtsfolgen der gemeinsamen Verantwortlichkeit, sondern es kommt e contrario zu einer Aufteilung der Verantwortlichkeit in Teilverantwortlichkeiten zwischen den beteiligten Datenverarbeitern) wäre eine Berücksichtigung solcher Sachverhalte ebenfalls denkbar, wobei entsprechende Betroffenenrechte dann nur gegenüber dem jeweils für den in Rede stehenden Aspekt der Verarbeitung Verantwortlichen geltend gemacht werden könnten. Der auslegungsfähige Begriff der gemeinsamen Verantwortlichkeit schafft damit in seiner Funktion als Ausgleichsmechansimus zwar ausreichend Raum, die besonderen Situationen im Zusammenhang mit der Netzwerkumgebung durch eine entsprechende Auslegung interessengerecht zu berücksichtigen, lässt es jedoch bei mehreren Auslegungsoptionen mit unterschiedlichen Rechtsfolgen an Eindeutigkeit und Transparenz404 mangeln. dd) Verantwortlichkeit: „über Zwecke und Mittel […] entscheide[n]“ △ Gehäuft kommt es in Netzwerkumgebungen zu Fällen, in denen vorrangig der Netzwerkanbieter die tatsächliche Entscheidungsgewalt über Zwecke und Mittel in sich vereint, während dennoch andere Akteure von den jeweiligen Datenverarbeitungen finanziell oder wirtschaftlich profitieren, enge Verflechtungen zwischen den wirtschaftlichen Tätigkeiten der Akteure und des Anbieters Datenverarbeitungen erst rentabel werden lassen oder eine faktische Kooperation der Akteure mit dem Anbieter die Datenverarbeitung erst anstößt oder ermöglicht.405 Die Definition der Verantwortlichkeit zielt demgegenüber dem Wortlaut („entscheidet“) und bisherigen Meinungsstand zufolge406 hauptsächlich auf eine faktische Entscheidungsgewalt ab. Im Zusammenhang mit sozialen Netzwerken hätte dies zur Folge, dass Kooperationspartner des Anbieters, die keine eigene tatsächliche Entscheidungsmacht besitzen, sondern lediglich normativ, wirtschaftlich oder finan­ ziell mit dessen Datenverarbeitungen in Verbindung stehen, nicht als Verantwortliche qualifiziert werden könnten und damit aus der datenschutzrechtlichen Regulierung ausgenommen wären; dies stünde einem umfassenden datenschutzrechtlichen Interessenausgleich zwischen allen Beteiligten im Weg. Von großer 403

Dagegen aber: Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 26 DS-GVO, Rdnr. 21. Ähnlich: Dammann, ZD 2016, 307 (312). 405 Dazu unter D. II. 3. c) und D. II. 2. b). 406 Dazu unter C. II. 1. d) cc). 404

206

D. Interessenausgleich im Umfeld sozialer Netzwerke

Relevanz ist daher die Frage, ob der Verantwortlichkeitsbegriff des Art. 4 Abs. 7 DS-GVO grundsätzlich Raum dafür bietet, eine (Mit-)Verantwortlichkeit für Datenverarbeitungen eines jeweils anderen Akteurs neben dem Anbieter unter der Begriffsdefinition des Art. 4 Abs. 7 DS-GVO auch allein aufgrund einer normativen Wertung,407 durch wirtschaftliche Verflechtung der Aktivitäten oder deswegen, weil einem Akteur aus einer Datenverarbeitung finanzielle Vorteile erwachsen, zu begründen. Eine Argumentation für die Begründung der Verantwortlichkeit anhand solcher Kriterien begünstigt scheinbar die neue Rechtsprechung des EuGH zum Niederlassungsbegriff,408 weil das Gericht dort eine Beurteilung anhand ökonomischer Verflechtungen einer faktischen Betrachtung vorzieht.409 Dennoch stellte das Gericht bezüglich der Zuteilung datenschutzrechtlicher Verantwortlichkeit, auch im Falle der Google Suche, ausschließlich auf die faktische Bestimmungsmacht Googles über die Zwecke der Datenverarbeitung im Rahmen der Google-Suche ab.410 Der Wortlaut von Art. 4 Abs. 7 DS-GVO eröffnet für den Begriff der Verantwortlichkeit nämlich bereits nicht den nötigen Spielraum für eine weite Auslegung: Im Gegensatz zu der Formulierung „im Rahmen der Tätigkeiten einer Niederlassung“ (Art. 4 Abs. 1 lit. a DS-RL – die Gerichtsentscheidung bezog sich noch auf die DSRL; die entsprechende Regelung befindet sich nun in Art. 3 Abs. 1 DS-GVO), mit der sich der EuGH zu befassen hatte und die eine sehr weite Auslegung problemlos zuließ, zielt der Wortlaut „entscheidet“ (Art. 4 Abs. 7 DS-GVO) unzweideutig auf eine faktische Beurteilung der Verantwortlichkeit. Eine erweiternde Auslegung unter Einbeziehung normativer, wirtschaftlicher oder finanzieller Aspekte wäre hier also mit dem Wortlaut nicht mehr vereinbar. Verantwortlich sein können die Akteure folglich auch im Umfeld sozialer Netzwerke immer nur für diejenigen Datenverarbeitungen, auf deren Mittel und Zwecke sie tatsächlich in ausreichendem Maße Einfluss haben. Dem Erfordernis eines auch besondere Konstellationen im Netzwerk berücksichtigenden weiten411 Verständnisses der Verantwortlichkeit kann folglich ausschließlich und nur sehr begrenzt dadurch Rechnung getragen werden, dass auch bereits geringfügige tatsächliche Entscheidungsmöglichkeiten eines Akteurs bezüglich der Zwecke oder nicht lediglich technisch-organisatorischen Mittel der Datenverarbeitung zu einer entsprechenden (Teil-)Verantwortung führen. Im Fall des Einsatzes von Social Plugins wäre im Rahmen dieser Argumentation etwa eine entsprechend geringe (Mit-)Verantwortlichkeit des externen Seitenbetreibers hinsichtlich der vom Plugin verursachten Datenübertragung an 407 Ernst, NJOZ 2010, 1917 (1918), scheint dem externen Seitenbetreiber eine solche normative Verantwortlichkeit zuzuschreiben, weil dieser die Datenverarbeitung „erst ermöglicht“ habe. 408 EuGH, Urt. v. 14.05.2014 – C-131/12. 409 So auch Weichert, ZD 2014, 605 (608). 410 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 33–34; 40). 411 Die Definition der verantwortlichen Stelle ist im Sinne eines lückenlosen Grundrechtsschutzes allgemein weit zu verstehen, EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 34).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

207

den Netzwerkbetreiber beispielsweise bereits deswegen begründbar, weil der externe Seitenbetreiber darüber entscheiden kann, ob und wie ein Plugin eingebunden wird, bzw. welche Plugins eingebunden werden, welche Funktionen sie also erfüllen.412 Zugleich würde aber die Zuschreibung einer reinen „Auswahlverantwortung“413 das vom Verordnungsgeber geschaffene Konstrukt der Verantwortlichkeit überstrapazieren, weil die Inanspruchnahme einer datenverarbeitenden Dienstleistung gerade nicht voraussetzt, dass der Akteur über Mittel und Zwecke der vom Netzwerkanbieter zum Zwecke der Erbringung dieser Dienstleistung durchgeführten Datenverarbeitungen bestimmen kann. Ganz im Gegenteil kann den Akteuren eine Pflicht zur Beurteilung datenschutzrechtlicher Sachverhalte, welche sich beim Betreiber abspielen, kaum auferlegt werden, weil ihnen bereits die notwendige Nähe zum Sachverhalt fehlt.414 Damit sind aber spezifische Geschäftsmodelle im Umfeld sozialer Netzwerke, welche darauf beruhen, dass Akteure von den Datenverarbeitungen finanziell oder wirtschaftlich profitieren bzw. diese nachfragen, ermöglichen oder anstoßen, datenschutzrechtlich vom Mechanismus des auslegungsfähigen Verantwortlichkeitsbegriffs zumindest nicht vollständig erfasst415 – er ist mithin zu eng, um die spezifische Interessenlage im Netzwerkkontext umfassend zu berücksichtigen. ee) Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung“ △ Die Umgebung sozialer Netzwerke ist durch komplexe Konzernstrukturen und wirtschaftliche Verflechtungen, weitverzweigte technische Infrastruktur und umfangreiche Datenverarbeitungsprozesse gekennzeichnet, die sich über die Grenzen einzelner Mitgliedstaaten und der Union hinaus erstrecken.416 Die Feststellung des anwendbaren Datenschutzrechts auf der Grundlage von Datenverarbeitungen im Rahmen der Tätigkeiten einer Niederlassung in der Union417 (Art. 3 Abs. 1 DS-GVO) 412

Ausführlich: Beyvers, RDV 2016, 154 (157–158). Lewinski/Herrmann, ZD 2016, 467 (471). 414 Mit ähnlicher Kritik: Lewinski/Herrmann, ZD 2016, 467 (471). Inwieweit eine solche Auswahlverantwortlichkeit in den europäischen Verantwortlichkeitsbegriff hineingelesen werden kann, wird letztlich der EuGH zu klären haben. Entsprechende Fragen wurden ihm bereits vorgelegt: BVerwG, Beschl. v. 25.02.2016 – 1 C 28/14, BeckRS 2016, 44371. 415 Rechtsunsicherheit bemängelt diesbezüglich entsprechend Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 219. 416 Dazu D. II. 3. c), D. II. 2. b) und D. II. 2. a) cc). 417 Das europäische Datenschutzrecht greift in räumlicher Hinsicht u. a. dann, wenn die verantwortliche Stelle in der EU eine Niederlassung besitzt, soweit im Rahmen der Tätigkeit dieser Niederlassung personenbezogene Daten verarbeitet werden (Art. 3 Abs. 1 DS-GVO). ‚Niederlassung‘ meint, dass die verantwortliche Stelle eine Tätigkeit im Hoheitsgebiet eines Mitgliedstaates effektiv und tatsächlich mittels einer festen Einrichtung ohne Rücksicht auf die Rechtsform ausübt, vgl. Erwgr. 22 DS-GVO. Im Zusammenhang mit sozialen Netzwerken hat sich allerdings auch die Frage nach der Möglichkeit einer Rechtswahl als essentiell herausgestellt. Das KG Berlin führte noch zur deutschen Regelung in § 1 Abs. 5 BDSG aus, dass eine abweichende Rechtswahl grundsätzlich stattfinden dürfe, und dass eine Rechtswahl in 413

208

D. Interessenausgleich im Umfeld sozialer Netzwerke

hat daher insbesondere hinsichtlich der durch die Anbieter sozialer Netzwerke durchgeführten Datenverarbeitungen kontroverse Ergebnisse hervorgebracht: Deutsche Gerichte hatten das Merkmal der „Datenverarbeitung im Rahmen der Tätigkeit“ zunächst eng ausgelegt und verlangt, dass die betreffende Datenverarbeitung von der Niederlassung des Netzwerkanbieters selbst unmittelbar durchgeführt wird,418 was im Schrifttum sowohl zustimmende als auch kritische Reaktionen auslöste.419 Eine Übertragbarkeit der Argumentation des EuGH, der eine weite Begriffsauslegung im Urteil ‚Google und Google Spain‘ zur Anwendung brachte,420 auf Akteure im Umfeld des sozialen Netzwerks, insbesondere auf den Anbieter, liegt nahe, weil die Sachverhalte in weiten Teilen vergleichbar sind: Auch die Anbieter sozialer Netzwerke besitzen vielfach kleinere Zweigstellen, die den Verkauf von Werbeflächen organisieren, Marketing betreiben, oder andere untergeordnete Verwaltungstätigkeiten ausüben, deren Tätigkeiten jedoch unmittelbar der Finanzierung des Netzwerk-Konzerns dienen und mit dessen Geschäftskonzept, welches ähnlich wie bei Google auf einer umfangreichen Datenverarbeitung beruht, eng verflochten sind.421 Der auslegungsfähige Begriff der Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung bietet mithin genügend Spielraum, um im nerhalb der Nutzungsbedingungen der sozialen Netzwerke sich auch auf das anwendbare Datenschutzrecht erstrecke, wenn die Nutzungsbedingungen zumindest (wenn auch nur lediglich in Form einer Verlinkung) auf die Datenschutz-Richtlinien verweisen. Das bereits in erster Instanz von der Facebook Ireland Ltd. vorgebrachte Argument, es handle sich bei den deutschen Datenschutzvorschriften um öffentliches Recht, für das eine Rechtswahl, wie sie in der Rom-I-VO geregelt ist, gar nicht möglich sei, entkräftet das Gericht mit dem Hinweis, das BDSG richte sich ausdrücklich auch an nicht-öffentliche Stellen und unterliege somit der Rom-I-VO, KG Berlin, Urt. v. 24.01.2014 – 5 U 42/12, ZD 2014, 412 (416). Zu lösen sind die Konkurrenzen der Kollisionsvorschriften mit den allgemeinen Werkzeugen des internationalen Rechts: Gute Argumente sprachen demnach bereits unter der DS-RL dafür, den datenschutzrechtlichen Kollisionsnormen weitreichenden Vorrang im Rahmen einer selbstständigen Vorfragen­anknüpfung oder Sonderanknüpfung einzuräumen. Mit Art. 3 DS-GVO liegt nun jedoch eine spezielle Kollisionsnorm einer Verordnung vor, die eindeutig Vorrang vor den allgemeineren Kollisionsnormen des gleichrangigen internationalen Privatrechts hat. Vgl. zum Ganzen: Herbrich/Beyvers, RDV 2016, 3. 418 Es bestand allerdings Uneinigkeit darüber, wie die eigene Durchführung der Daten­ verarbeitung zu beweisen sei. Das KG Berlin urteilte, es komme auf die tatsächlichen Verhältnisse an, also darauf, ob die Niederlassung selbst Datenverarbeitungsanlagen betreibt und hierfür Personal beschäftigt, das Daten und Programme auf Server „aufspielt“: KG Berlin, Urt. v. 24.01.2014 – 5 U 42/12, ZD 2014, 412 (414–415). Das OVG Schleswig bezog an dieser Stelle den Report of Audit des irischen Data Protection Commissioners ein: OVG Schleswig, Beschl. v. 22.04.2013 – 4 MB 11/13, NJW 2013, 1977 (1978). Diesem Bericht zufolge sind innerhalb der Organisation der irischen Facebook Ltd. insbesondere die in Irland beheimateten Teams ‚Developer Relations‘, ‚Site Reliability Relations‘, ‚Network Operations‘ und ‚Database Operations‘ unmittelbar mit der Programmierung, dem Betrieb und der Verwaltung der Datenverarbeitungsanlagen befasst, vgl. hierzu: Irish DPC, Report of Audit, 24–29 und Appendix 3, S. 206–211. 419 Vgl. die strukturierte Darstellung bei Beyvers/Herbrich, ZD 2014, 558 (559–560 m. w. N.). 420 EuGH, Urt. v. 14.05.2014 – C-131/12 (Rdnr. 48–60). 421 Bezüglich Facebook: Beyvers/Herbrich, ZD 2014, 558 (560–561).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

209

Bedarfsfall durch eine weite Auslegung komplexe und grenzüberschreitende Sachverhalte im Umfeld sozialer Netzwerke zu berücksichtigen und in die Anwendung des europäischen Datenschutzrechts einzuschließen. Da diesbezüglich auch bereits eine Rechtsprechungslinie des EuGH erkennbar ist, sind eventuell durch den weiten Auslegungsspielraum geschaffene Rechtsunsicherheiten zumindest deutlich eingedämmt. Die praktische Relevanz dieses Mechanismus wird allerdings gerade für das Umfeld sozialer Netzwerke dadurch relativiert, dass eine räumliche Anwendbarkeit des europäischen Datenschutzrechts unter der DS-GVO nun auch über einen Zusammenhang mit dem (auch unentgeltlichen) Angebot von Waren oder Dienstleistungen oder der Verhaltensbeobachtung in der Union begründbar ist (Art.  3 Abs. 2 DS-GVO).422 ff) Zweckbindungsgrundsatz △ Der Zweckbindungsgrundsatz entfaltet seine volle Wirkung dort, wo Daten zu vielfältigen und variablen Zwecken verarbeitet werden sollen. Gerade in sozialen Netzwerken besteht durch die Konstruktion des Geschäftsmodells, die darauf abzielt, zunächst möglichst viele Daten anzusammeln, um sie dann auf vielfältigen und flexiblen Wegen zu monetarisieren, eine Konstellation vielfältiger Zwecke. Im Zusammenhang mit sozialen Netzwerken existieren jedoch einige Besonderheiten, die die Funktion des Zweckbindungsgrundsatzes als Ausgleichmechanismus negativ beeinflussen: Die Interessen des Netzwerkanbieters und anderer in seinem Umfeld wirtschaftlich tätiger Akteure zielen darauf ab, die Daten der Nutzer möglichst gewinnbringend zu kommerzialisieren.423 Dies bedingt, dass die vom Anbieter einmal gesammelten Daten für jeden Zweck verwendet werden sollen, der eine rentable Nutzung der Daten verspricht. Weil eine große Datenmenge zentral beim Netzwerkanbieter vorgehalten und verarbeitet wird424 und dessen Geschäftsmodell425 von der Mitwirkung anderer Akteure und der Nutzer abhängig ist,426 spielen mittelbar die von diesen Akteuren und von den Nutzern verfolgten 422 Ausdrückich erwähnt sind soziale Netzwerke im Anwendungsbereich dieser Vorschriften bei Ernst, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 3 DS-GVO, Rn. 17; 20. Der Tatbestand des Rückgriffs auf in der Union belegene Mittel (Art. 4 Abs. 1 lit. c DS-RL) ist dagegen nicht in die DS-GVO übernommen worden. Auch dessen Auslegung hatte im Zusammenhang mit den Anbietern sozialer Netzwerke für Komplikationen gesorgt – für eine Übersicht vergleiche Jotzo, MMR 2009, 232. Die nun dem Anwendungsbereich des europäischen Datenschutzrechts innewohnende Extraterritorialität wird allgmein als wertvolle Errungenschaft betrachtet, hat aber aufgrund möglicher Reibungen mit drittstaatlichen Rechtsordnungen bereits Kritik erfahren: Hert/Czerniawski, IDPL 2016, 230 (238; 241). 423 D. II. 1. c). 424 D. II. 3. b). 425 Dazu unter D. I. 4. 426 D. II. 3. c); D. II. 2. b).

210

D. Interessenausgleich im Umfeld sozialer Netzwerke

Zwecke auch eine Rolle für die Verarbeitungen des Anbieters. Beispielsweise ist die Platzierung personalisierter Werbung davon abhängig, dass entsprechend viele Nutzer im Netzwerk aktiv sind, deren Verhalten und Vorlieben einerseits aus­ gewertet werden können, denen andererseits aber auch die Werbeanzeigen ausgespielt werden können. Mittelbar ist hierfür die Gestaltung einer attraktiven sozialen Plattform zweckmäßig, auf der sich genügend aktive Nutzer aufhalten. Zugleich sind Datenverarbeitungen zu Werbezwecken aber nur dann für den Anbieter interessant, wenn Werbetreibende diese Art der Werbung auch nachfragen; mittelbar sind also auch die Zwecke der Werbetreibenden für den Netzwerkanbieter relevant. Auf diese Weise kommt es zu einer kaum eingrenzbaren Anreicherung, Erweiterung, Überschneidung und Vermischung von Zwecken der Beteiligten,427 die die Wirkungsweise des Zweckbindungsgrundsatzes zu untergraben droht. Besonders akut ist diese Gefahr im Zusammenhang mit der Öffnungsklausel des Art. 6 Abs. 4 DS-GVO, welche die Verarbeitung zu neuen Zwecken gestattet, soweit eine Vereinbarkeit nach den dortigen Voraussetzungen (zu berücksichtigen sind u. a. Verbindungen zwischen Zwecken, Erhebungszusammenhang, Verhältnisse zwischen den Beteiligten und die Sensibilität von Daten) begründet werden kann. Hinzu kommt noch, dass die technischen Eigenschaften sozialer Netzwerkumgebungen (Cloud-Strukturen,428 die große Datenmengen vorhalten und ortsunabhängig zugänglich machen, Möglichkeit des Einsatzes von Big Data429-Analysen) eine vielfältige, nicht mehr streng zweckgebundene, sondern im Gegenteil an extrem vielfältigen Zwecken orientierte Datenverarbeitung ohne Weiteres gestatten. Kurz gefasst steht der Zweckbindungsgrundsatz daher im Zusammenhang mit sozialen Netzwerken noch stärker als sonst in Kontrast zu der technischen und wirtschaftlichen Konstruktion, die der Netzwerkumgebung zugrunde liegt. Auffallend ist außerdem, dass eine Beschränkung der Zwecke – üblicherweise ein Mechanismus zum Schutze der Betroffeneninteressen – im Umfeld sozialer Netzwerke die Interessen der Nutzer an der Nutzung einer dynamischen, entwicklungsoffenen, leistungsfähigen und vielseitigen Netzwerkplattform430 sogar torpedieren kann. Die Vielzahl und Vielfalt der im Netzwerk von den Akteuren verfolgten Zwecke und die technischen Möglichkeiten, die die Netzwerkumgebung eröffnet, bringen daher den Mechanismus der Zweckbindung weitreichend in die Gefahr, an Bedeutung zu verlieren, ins Gegenteil verkehrt oder sogar gänzlich untergraben zu werden. Er eignet sich folglich nur sehr eingeschränkt dazu, die Interessen der Akteure im Umfeld sozialer Online-Netzwerke zum Ausgleich zu bringen. 427

D. II. 3. c). D. II. 2. a) cc). 429 D. II. 2. a) dd). Zum grundsätzlichen Widerspruch zwischen dem Konzept von Big Data und dem Zweckbindungsgrundsatz: Schütz/Karaboga, Akteure, Interessenlagen und Regulierungspraxis im Datenschutz, S. 24. 430 Zu den faktischen Interessen der Nutzer unter D. II. 1. a); zur diesbezüglichen Besonderheit des Interessengefüges unter D. II. 3. c). 428

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

211

e) Selbstbestimmungselemente △ Auf den Mechanismus der Einwilligung wird von den Interessenträgern im Umfeld sozialer Netzwerke umfangreich und häufig rekurriert – sämtliche bekannten Netzwerkanbieter verlangen schon bei der Registrierung im Netzwerk eine Einwilligungserklärung der Nutzer hinsichtlich verschiedenster Datenverarbeitungsvorgänge431 und auch andere Akteure, die an den Nutzerdaten interessiert sind, sichern sich per Einwilligung das Recht, diese zu verarbeiten. Schon aus seiner umfangreichen praktischen Verwendung heraus ergibt sich daher eine herausragende Bedeutung dieses Mediums des Interessenausgleichs im Umfeld sozialer Netzwerke. Dem steht aber gegenüber, dass das spezielle Konzept der Selbstbestimmung, auf dem die Einwilligung im Datenschutzrecht beruht, erheblich durch die strukturell und informationell deutlich schwächere Position des Nutzers,432 insbesondere gegenüber dem Netzwerkbetreiber, aber auch gegenüber anderen Akteuren, beeinträchtigt wird. Die Art. 29-DSGr. stellt zutreffend fest: „In vielen Fällen […] übersteigt die Komplexität von Datenerhebungsverfahren, Wirtschaftsmodellen, Käufer-Verkäuferbeziehungen und technologischen Anwendungen die Fähigkeit oder Bereitschaft des Einzelnen, aktiv über die Verwendung und gemeinsame Nutzung der Informationen zu entscheiden.“433 Bei sozialen Netzwerken treffen gleich mehrere dieser Komponenten zusammen: Ein komplexes Softwaresystem steht für die Nutzer bereit, während zugleich eine umfangreiche und vielfältige Datenverarbeitung im Hintergrund stattfindet, die der Ertragsgewinnung im Rahmen eines ausdifferenzierten, jedoch für Außenstehende weitgehend intransparenten Geschäftsmodells dient.434 Trotz seiner grundlegenden Bedeutung für die Ausübung der informationellen Selbstbestimmung435 durch Nutzer ist der Mechanismus der Einwilligung daher aufgrund schwerwiegender Konflikte mit eben diesem eng an ihn geknüpften Kriterium der Selbstbestimmung436 mit dem Konzept des sozialen Online-Netzwerks und seinen Besonderheiten in vielfacher Hinsicht nur eingeschränkt dazu geeignet, ein Interessengleichgewicht herzustellen.437 431 Für einen Eindruck der weitreichenden Einholung von Einwilligungen durch Netzwerkanbieter vgl. die Liste der untersuchten Dienste und ihrer Einwilligungserklärungen bei Rogosch/Hohl, Data Protection and Facebook, S. 3–4. 432 D. II. 3. a); D. II. 3. b). 433 Art. 29-Datenschutzgruppe, WP 168, S. 20. 434 Es entsteht die sogenannte Plug and Play Falle, siehe dazu oben unter D. II. 3. b). 435 Iraschko-Luscher, DuD 2006, 706 (707). 436 Zu den speziellen Problemen im Zusammenhang mit der Selbstbestimmung siehe unten bei den Ausführungen zum Kriterium der Ausübung der Selbstbestimmung, C. III. 1. d) aa). 437 Sowohl Piltz, Soziale Netzwerke im Internet, S. 167, als auch Achtruth, Der rechtliche Schutz bei der Nutzung von Social Networks, S. 164, stellen im Ergebnis wesentliche Mängel an den Einwilligungserklärungen und Informationstexten verschiedener Netzwerkanbieter fest, wobei augenscheinlich deutsche bzw. europäische Anbieter noch eher den Datenschutzgesetzen zu entsprechen versuchen als andere. Anders aber Buchner, DuD 2010, 39 (40–41), der trotz aller Unzulänglichkeiten des Einwilligungskonzepts mit der Begründung, dass die

212

D. Interessenausgleich im Umfeld sozialer Netzwerke

Hinzu kommt noch, dass der gesamte Mechanismus der datenschutzrechtlichen Einwilligung darauf fußt, dass es sich um den rechtlichen Rahmen für die einseitige Ausübung eines Selbstbestimmungsrechts handelt. Demgegenüber ist das Geschäftsmodell sozialer Netzwerkanbieter jedoch gerade darauf ausgerichtet und davon abhängig, Netzwerkdienstleistungen unter Verwendung und Verwertung der Nutzerdaten zu erbringen und durch deren Ausschlachtung für Werbezwecke Ertrag zu erwirtschaften. Faktisch handelt es sich also eher um ein Austauschverhältnis als um eine einseitige Preisgabe.438 Dem kann aber der Mechanismus der Einwilligung, die derzeit als jederzeit für die Zukunft widerruflich gestaltet ist, nur begrenzt an die Erbringung von Leistungen gekoppelt sein darf und auch die Übertragung gesicherter Rechtspositionen auf Vertragspartner nicht vorsieht, nicht gerecht werden.439 f) Datenschutzspezifische Mechanismen aa) Auskunfts- und Informationsrechte und -pflichten △ Das besonders stark ausgeprägte strukturelle und informationelle Ungleich­ gewicht, das zwischen den einzelnen Akteuren im Umfeld des sozialen Netzwerks besteht,440 bedingt, dass den Betroffenenrechten und Verarbeiterpflichten eine besonders wichtige Funktion beim Ausgleich der Interessen der Beteiligten zukommt: Umfangreiche Auskunfts- und Informationsrechte bzw. -pflichten können für gesteigerte Transparenz sorgen und so das informationelle Ungleichgewicht zumindest teilweise abmildern. Von besonderer Bedeutung sind dabei die Informationspflichten nach Art. 13 und 14 DS-GVO: Informationen über Zwecke, Empfänger, Verarbeitungsdauer, geplante Drittlandübermittlungen und Rechtsgrundlagen können wesentlich dazu beitragen, dem Nutzer gegenüber informationell im Vorteil befindlichen Akteuren im Netzwerk eine stärkere Position zu verschaffen, aus der heraus er seine Rechte auch tatsächlich wahrnehmen und somit einen Interessenausgleich herbeiführen kann. Der Netzwerkanbieter und andere datenverarbeitende Akteure haben dem Nutzer u. a. im Falle der Verarbeitung aufgrund der allgemeinen Interessenabwägungsklausel des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO auch die zu der Verarbeitung berechtigenden Interessen mitzuteilen. Gerade die Pflicht zur Bekanntgabe dieser Interessen versetzt grundsätzlich den betroffenen Nutzer in die Lage, die vom Verarbeiter getroffene Abwägungs-

gesetzlichen Erlaubnistatbestände eine zu unsichere Grundlage für Datenverarbeitungen bieten würden, an der Einwilligung festhalten möchte. Ohne die damit verbundenen Probleme zu reflektieren, raten auch Härting/Schätzle, ITRB 2010, 39 (40–41) zur Einholung einer Ein­ willigung für Datenverarbeitungen im Zusammenhang mit sozialen Online-Netzwerken. 438 Bräutigam, MMR 2012, 635 (638); Jöns, Daten als Handelsware, S. 48. 439 Jöns, Daten als Handelsware, S. 48–50. 440 D. II. 3. a); D. II. 3. b).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

213

entscheidung nachzuvollziehen und eine Ausnutzung dieses weiten Mechanismus zugunsten des Verarbeiters zu erkennen. Problematisch ist jedoch, dass die Verflechtungen von Akteuren und Interessen im Netzwerk441 die Bekanntgabe von Empfängern, Zwecken und Interessen gegenüber dem Nutzer verkomplizieren und damit den Ausgleichsmechanismus der Informations- und Auskunftsrechte und -pflichten behindern, im Falle einer Überforderung des Nutzers mit den dargebotenen Informationen sogar in das Gegenteil verkehren können. Eine Überforderung des Nutzers und damit ein Leerlaufen der Informationspflichten ist im Netzwerkumfeld besonders deswegen zu befürchten, weil dort hochspezialisierte Geschäftskonzepte verfolgt442 und komplexe Technologien und Verfahren der Datenverarbeitung eingesetzt443 werden, deren Zusammenhänge und Funktionsweisen der Nutzer ohne Spezialkenntnisse nicht verstehen kann, weshalb ihm entsprechende Informationstexte selbst durch angemessene Vollständigkeit und Detailliertheit nicht die vom Verordnungsgeber anvisierte Vorteilsposition verschaffen können. bb) Sonstige Betroffenenrechte (1) Datenportabilität △ Der noch im Entwurfsstadium der DS-GVO vorhandene explizite Hinweis auf Datenportabilität im Zusammenhang mit sozialen Netzwerken (Erwgr.  55  des Kommissionsentwurfs der DS-GVO) taucht nun in der DS-GVO nicht mehr auf; dennoch ist zweifellos eine Datenportabilität auch und gerade zwischen den Oberflächen verschiedener Netzwerkbetreiber von der allgemeinen Vorschrift des Art.  20  DS-GVO erfasst.444 Wesentlich verbessert („bessere Kontrolle über die eigenen Daten“, vgl. Erwgr. 68 DS-GVO) wird dadurch die Position des Nutzers, für den der Wechsel zwischen Betreibern einfacher wird, was die Vergleichbarkeit und den Wettbewerb zwischen Betreibern stärkt.445 Behindert wird dieser Mechanismus jedoch einerseits durch die stark unterschiedliche Ausgestaltung der großen Netzwerke; einheitliche elektronische Formate haben sich bislang nicht herausgebildet und auch die inhaltliche Ausrichtung der Netzwerke kann derart divergieren, dass eine Datenübertragung schon

441

D. II. 3. c); D. II. 2. b). Zu den Geschäftsmodellen: D. I. 4.; zum Einfluss ökonomischer Faktoren auf das Interessengefüge: D. II. 2. b). 443 Zu den das Netzwerkumfeld prägenden technologischen Faktoren: D. II. 2. a). 444 So auch BfDI, Datenschutzgrundverordnung, S.  14; Paal, in: Paal/Pauly (Hrsg.), DSGVO, Art. 20 DS-GVO, Rdnr. 6. 445 Kipker/Voskamp, DuD 2012, 737 (740); allgemeiner mit Bezug zum Cloud Computing: Zanfir, IDPL 2012, 149 (152). 442

214

D. Interessenausgleich im Umfeld sozialer Netzwerke

nicht möglich oder zumindest nicht sinnvoll ist.446 Andererseits wird der Mechanismus der Datenportabilität auch durch die Eigenschaft der Vernetztheit sozialer Medien447 deutlich geschwächt: Das Recht auf Datenportabilität kann der Regelungslogik zufolge nur Daten betreffen, die sich ausschließlich auf den Betroffenen selbst beziehen448 (ausdrücklich dürfen auch die Rechte Dritter durch die Ausübung des Rechts nicht beeinträchtigt werden, Art. 20 Abs. 4 DS-GVO). Inhalte sozialer Netzwerke weisen jedoch gerade regelmäßig auch einen Bezug zu Dritten auf, so dass für die Datenportabilität im Netzwerk lediglich ein sehr geringer Anwendungsbereich (etwa hinsichtlich der im Regelfall eindeutig nur ihm zuordenbaren Profildaten eines Nutzers) verbleibt.449 (2) Recht auf Vergessenwerden △ Gerade die weitreichende Verbreitung von Nutzerdaten, die sich im Rahmen der Netzwerknutzung vollzieht, verlangt offensichtlich danach, einen über das einfache Recht auf Löschung450 hinausgehenden Mechanismus der Eindämmung dieser Ausbreitung ins Werk zu setzen.451 Von besonderer Bedeutung für das Umfeld sozialer Netzwerke ist es daher, dass über die Mitteilungspflicht gegenüber Empfängern, denen die Daten offengelegt wurden (Art. 19 DS-GVO), hinaus von Art. 17 Abs. 2 DS-GVO vorgesehen ist, dass im Falle eines Anspruchs auf Löschung der Verantwortliche hinsichtlich von ihm öffentlich gemachter Daten andere Verantwortliche, die diese Daten verarbeiten, über das Löschverlangen zu informieren hat, soweit ihm dies zumutbar ist. Zweifel kommen aber hinsichtlich der Frage auf, welche der Akteure im Zusammenhang mit dem Netzwerk Daten im Sinne von Art. 17 Abs. 2 DS-GVO öffentlich machen. Dabei kann es kaum interessengerecht sein, die in sozialen Netzwerken veröffentlichten Nutzerdaten vom Recht auf Vergessenwerden mit der Begründung auszunehmen, der Nutzer speise die Daten selbst in die vom Anbieter lediglich bereitgestellte Plattform ein.452 Stattdessen zielt dieser Mechanismus gerade auf den Ausgleich der durch die auf eine einfache Veröffentlichbarkeit und massenhaften Zugriff ausgerichtete Funktionsweise des Internet geschaffene schnelle und unkontrollierte Verbreitung von Daten. Soziale Netzwerke verkörpern diese spezielle Eigenschaft in besonderem Maße, weil sie gerade darauf 446

Kipker/Voskamp, DuD 2012, 737 (741). Dazu: D. II. 3. c). 448 Jülicher/Röttgen/Schönfeld, ZD 2016, 358 (359). 449 Jülicher/Röttgen/Schönfeld, ZD 2016, 358 (362); Hennemann, PinG 2017, 5 (8). 450 Zu den diesbezüglich bekannten Konflikten im Zusammenhang mit sozialen Netzwerken etwa Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 239–241. 451 Kipker/Voskamp, DuD 2012, 737 (742). 452 Ähnlich im Ergebnis Worms, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, Art. 17 DSGVO, Rdnr. 71. Anders aber Kipker/Voskamp, DuD 2012, 737 (742); teilweise auch Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 309–310. 447

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

215

ausgerichtet sind, dem Nutzer einerseits kommerzialisierbare Daten zu entlocken und ihn andererseits zur Verbreitung dieser Daten im Rahmen der Nutzung des Netzwerks zu animieren.453 Aus der Verflechtung der Nutzer im Netzwerk ergibt sich zusätzlich ein potenzierender Effekt, weil Nutzer nicht nur die eigenen Daten, sondern auch die Daten anderer Nutzer stetig einspeisen, verbreiten und verknüpfen.454 Die praktische und technische Umsetzung des Mechanismus des Rechts auf Vergessenwerden ist demgegenüber gerade für Netzwerkumgebungen vergleichsweise schwierig, weil auf die öffentlich zugänglichen Bereiche des Netzwerks unkontrolliert viele Akteure Zugriff haben, die z. B. im Rahmen des Monitorings oder Web Scrapings auf Daten zugreifen, ohne dass der Anbieter dies kontrollieren oder auch nur davon Kenntnis erlangen kann.455 Die Wirkung des an sich insbesondere zu einer umfassenden Berücksichtigung von Nutzerinteressen durchaus geeigneten Mechanismus wird also regelmäßig dadurch beeinträchtigt sein, dass die Information anderer Akteure im Umfeld des Netzwerkbetreibers nur begrenzt mit den jeweils angemessenen Mitteln zu bewerkstelligen ist.456 Ausschließlich eine entsprechend extensivere Auslegung des Angemessenheitsbegriffs457 könnte daher ein völliges Leerlaufen des Mechanismus in der Netzwerkumgebung noch vermeiden. cc) Voreinstellungen, Garantien, technische und organisatorische Maßnahmen (1) Privacy by Default und Privacy by Design △ Die strukturell und informationell stark benachteiligte Stellung des Nutzers erfordert im Umfeld sozialer Netzwerke eine besonders umfangreiche und an strengen Maßstäben orientierte Implementierung von datenschutzfreundlicher Technikgestaltung und datenschutzfreundlichen Voreinstellungen: Netzwerkanbieter, 453

Sog. Plug and Play Falle, D. II. 3. b). D. II. 3. c). 455 Kipker/Voskamp, DuD 2012, 737 (742); allgemeiner zur Unübersichtlichkeit möglicher weiterer von dem Löschverlangen zu informierender Datenverarbeiter: Fazlioglu, IDPL 2013, 149 (152). Manche Netzwerkanbieter versuchen, zumindest den Zugriff auf ihre Rohdaten durch die Gestaltung der Schnittstellen (APIs) zu beeinflussen. So beschränkt Facebook z. B. den Abruf von Daten über die Schnittstellen durch die Vergabe von Zugriffsschlüsseln, die u. a. dafür sorgen, dass Nutzernamen und Nutzer-IDs nur noch in bestimmten Fällen über die Schnittstellen extrahiert werden können, vgl. Facebook, Webseite ‚Zugriffsschlüssel‘. Allerdings können derartige Beschränkungen offensichtlich umgangen werden, siehe etwa: Facebook ID Scraper, Webseite ‚Homepage‘; Bager, Timing-Attacke deanonymisiert WebsiteBesucher teilweise, Artikel v. 13.09.2016, Heise [Online]. 456 Ähnliche Kritik allgemein bei: Roßnagel/Nebel, Die neue Datenschutz-Grundverordnung, S. 6; deutlich optimistischer aber die Europäische Kommission, How will the data protection reform affect social networks?, S. 1. 457 Zu den unbestimmten, auslegungsfähigen Begriffen im Datenschutzrecht in ihrer Funktion als Ausgleichsmechanismen allgmein unter C. II. 1. d). 454

216

D. Interessenausgleich im Umfeld sozialer Netzwerke

aber auch die Betreiber von Fanseiten, Plugins oder Apps und Spielen, bestimmen umfangreich über die Voreinstellungen und Grundbedingungen, mit denen Nutzer bei der Benutzung der jeweiligen Oberfläche oder Anwendung konfrontiert sind.458 Dies hat unmittelbaren Einfluss auf die datenschutzkonforme Nutzung dieser Anwendungen, weil einerseits Nutzer dazu neigen, Voreinstellungen ungeprüft und unverändert zu übernehmen, anstatt selbst aktiv zu werden und die Einstellungen zu verändern,459 und weil andererseits ihre Möglichkeiten hinsichtlich der Gestaltung im Netzwerk ohnehin deutlich eingeschränkt sind460. Dies gilt aber nicht nur für die erstmalig bei der Nutzung vorgefundenen Einstellungen und Gestaltungen, sondern im Umfeld sozialer Netzwerke aufgrund der dynamischen Entwicklung der damit in Zusammenhang stehenden Anwendungen in besonderem Maße auch für Einstellungen und Gestaltungen bei neuen oder veränderten Funktionen und Anwendungen. Gerade weil es nicht ausreicht, sich einmalig zu Beginn der Nutzung mit den Einstellungen auseinanderzusetzen, sondern weil sich die Netzwerkoberfläche und alle damit in Zusammenhang stehenden Anwendungen stetig verändern461 und damit einhergehend auch eine Notwendigkeit zur laufenden Achtsamkeit hinsichtlich gestalterischer Veränderungen und zur Anpassung der Datenschutzeinstellungen seitens der Nutzer besteht, ist eine entsprechende Pflicht zur Herstellung datenschutzfreundlicher Voreinstellungen und zur entsprechenden Gestaltung von Diensten und Anwendungen von besonderer Relevanz für den Interessenausgleich im Umfeld sozialer Netzwerke. Umgekehrt ist die Herstellung datenschutzrechtsfreundlicher Gestaltung und Voreinstellungen auch in gewissem Maße für die Wahrung der Interessen der Betreiber sozialer Netzwerke von Bedeutung: Ihr Geschäftsmodell fußt auf dem Vertrauen der Nutzer, das durch solche Maßnahmen gestärkt werden kann.462 Zugleich ist auch eine Umsetzung der Ansätze von ‚Privacy by Design‘ und ‚Privacy by Default‘ in der Praxis in vielerlei Hinsicht in das Konzept sozialer Netzwerke integrierbar.463 Die Mechanismen der Schaffung datenschutzfreundlicher Ausgestaltung und Vor 458 Auch dies ist ein Ausdruck des informationellen und strukturellen Ungleichgewichts, dazu unter: D. II. 3. b) und D. II. 3. a). Zur dem Netzwerkanbieter zur Verfügung stehenden Bestimmungsmacht hinsichtlich der Voreinstellungen: Caspar, DuD 2013, 767 (767); zur besonderen Bedeutung von Privacy by Design im Zusammenhang mit moderner Technologie, ubiquitärer und vernetzter Datenverarbeitung in Plug and Play-Umgebungen: Heckmann, NJW 2012, 2631 (2634). 459 Sandfuchs, Privatheit wider Willen?, S. 110. Eine im Auftrag der Europäischen Kommission durchgeführte Studie bestätigt: 42 Prozent der Befragten haben noch nie versucht, die Privatsphäreeinstellungen ihres Profils in sozialen Netzwerken abweichend von den Voreinstellungen an ihre Bedürfnisse anzupassen, Europäische Kommission, Special Eurobarometer 431, S. 91. 460 D. II. 3. a). 461 D. II. 2. a) bb). 462 Schütz/Karaboga, Akteure, Interessenlagen und Regulierungspraxis im Datenschutz, S. 25. 463 Mit einer ganzen Reihe von Beispielen, u. a. der Zwei-Klick-Lösung für Social Plugins und automatischen Löschfristen: Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S. 123 (145).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

217

einstellungen sind damit insgesamt im besonderen Maße von Bedeutung für die Herbeiführung eines Interessenausgleichs zwischen den Beteiligten im sozialen Netzwerk. Während jedoch in Art. 23 Abs. 3 des Kommissionsentwurfs464 der DS-GVO zumindest noch eine Konkretisierung der jeweiligen Anforderungen hinsichtlich datenschutzfreundlicher Gestaltung und Voreinstellungen für bestimmte Dienste und Branchen durch die Kommission vorgesehen war,465 lässt Art. 25 Abs. 2 DSGVO nun offen, welche konkreten technischen und organisatorischen Maßnahmen zu treffen sind.466 Erwgr. 78 DS-GVO nennt lediglich Beispiele wie Datenminimierung, Pseudonymisierung oder Schaffung von Transparenz und fordert recht unbestimmt, Hersteller sollten „[…] ermutigt werden […], das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen“. Einzig die Besonderheit, dass Voreinstellungen nicht mehr den unbegrenzten Zugriff durch Dritte vorsehen dürfen (Art. 25 Abs. 2 Satz 2 DS-GVO), ist für die Voreinstellungen der Netzwerkanbieter voll einschlägig und das gewünschte Ergebnis der Umsetzung ist eindeutig genug vorgegeben. Ansonsten bleibt der Mechanismus aber zu unbestimmt, um im von starken monetären und wirtschaftlichen Interessen geprägten467 Netzwerkumfeld zielgerichtet auf das Interessengleichgewicht einwirken zu können. Selbst bei ausführlicher und umfangreicher Implementierung datenschutzfreundlicher Voreinstellungen werden sich diese aber regelmäßig hauptsächlich auf die Reglementierung des Zugriffs und der Datennutzung durch andere Nutzer und dritte Akteure richten – die Datenverarbeitungen des Netzwerkanbieters selbst sind häufig mithilfe der in der Netzwerkoberfläche angebotenen Privatsphäreeinstellungen gar nicht oder lediglich geringfügig modifizierbar. Soweit der Gesetzgeber keine ausreichend detaillierten und verbindlichen Mindestvorgaben macht, sind die Vorschriften zu datenschutzfreundlichen Voreinstellungen und Gestaltungen daher nur sehr begrenzt geeignet, im Umfeld sozialer Netzwerke ein Interessengleichgewicht herzustellen. (2) Schutzvorkehrungen und Garantien △ Technische und organisatorische Maßnahmen, Datensicherheitsvorkehrungen und Risikoanalysen sorgen allgemein für einen Ausgleich zwischen den Interessen von Datenverarbeitern und Betroffenen, indem sie Datenverarbeitern abhängig von der Risikolast, die sie durch ihre Datenverarbeitung begründen, entspre 464 Zu den dortigen, ebenfalls zu unpräzisen Bestimmungen, kritisch Hornung, in: Schliesky/ Hill (Hrsg.), Die Neubestimmung der Privatheit, S. 123 (144). 465 Kritisch hinsichtlich der Befugnisübertragung: Härting, BB 2012, 459 (460). 466 Kritisch hinsichtlich verschiedener Entwurfsstadien des Konzepts: Härting, PinG 2015, 193 (194). 467 D. II. 1. b); D. II. 1. c); D. II. 1. d); D. II. 1. e); D. II. 2. b).

218

D. Interessenausgleich im Umfeld sozialer Netzwerke

chende Pflichten zur Vorbeugung und Beseitigung von oder zum Umgang mit Risiken aufgeben.468 Unabhängig von der jeweils anhand der erarbeiteten Kriterien zu beurteilenden besonderen Risikolage, die in sozialen Netzwerken auch deutlich höher als durchschnittlich sein kann, bedingen jedenfalls die massiven wirtschaftliche Interessen469, die hinter sämtlichen Anwendungen des Anbieters und anderer Akteure wie Seitenbetreiber oder Plugin Verwender stehen sowie die deutlich hervortretende strukturelle und informationelle Vorteilsstellung des Anbieters, dass die jeweils vom Gesetzgeber vorgesehenen technisch-organisatorischen Schutzvorkehrungen und Garantien besonders dringend erforderlich sind, um ein Interessengleichgewicht im Netzwerkkontext herzustellen: Es bestehen einerseits starke wirtschaftliche Interessen der Akteure an einer möglichst kostengünstigen Durchführung von Verarbeitungsprozessen, andererseits ist gerade der Anbieter in einer Position, die ihm die großflächige Vernachlässigung technischer und organisatorischer Vorkehrungen ermöglicht, ohne dass die betroffenen Nutzer hiervon Kenntnis erlangen oder gezielt gegen Missstände vorgehen können. Solche strukturellen und informationellen Nachteile auf Seiten der Nutzer können zumindest teilweise durch gesetzlich vorgeschriebene Schutzvorkehrungen und Garantien gemildert werden, weil deren Einhaltung unabhängig vom Kenntnisstand470 und von der Durchsetzungskraft471 einzelner Nutzer eingefordert werden kann. Die besonders komplexe technische Gestaltung472 sozialer Netzwerke und ihre dynamische Fortentwicklung473 legen zudem die Anwendung besonders differenzierter Schutzvorkehrungen und Garantien und deren dynamische Anpassung nahe. Insgesamt kommt also diesen Mechanismen in der Netzwerkumgebung eine hervorgehobene Relevanz zu. Das Zusammenwirken und die Koexistenz zahlreicher Akteure474 und Interessen475 hingegen erschweren die Zuweisung von Schutz- und Garantiepflichten maßgeblich. Ihr Zusammenwirken geschieht im Rahmen der Geschäftsmodelle im Umfeld des sozialen Netzwerks meist informell oder rein faktisch und ist aus diesem Grund für eine rechtliche Zuweisung der Pflichten zum Ergreifen von Schutzvorkehrungen nur schwer fassbar. Auch ist für umfangreich in der Netzwerkumgebung zum Einsatz gebrachte und dynamisch fortentwickelte Technologien und Strategien der Datenverarbeitung mitunter noch gar nicht absehbar, welche technisch-organisatorischen Schutzvorkehrungen getroffen werden müssen, um damit einhergehende neue, noch unbekannte Risiken der Datenverarbeitung für betroffene Nutzer zu minimieren. Aus diesen Gründen büßen folglich Mechanismen 468

C. II. 1. f) bb). Dazu D. II. 1. b); D. II. 1. c); D. II. 1. d); D. II. 1. e); D. II. 2. b). 470 Zu möglichen Defiziten siehe unter D. II. 3. b). 471 Zu möglichen Defiziten siehe unter D. II. 3. a). 472 D. II. 2. a) cc); D. II. 2. a) dd). 473 D. II. 2. a) bb). 474 D. II. 2. b). 475 D. II. 3. c). 469

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

219

der technischen und organisatorischen Schutzvorkehrungen und Garantien in der Netzwerkumgebung einen großen Teil ihrer Wirkkraft hinsichtlich des Ausgleichs der Interessen ein. dd) Standardisierung und einheitliche Anwendung △ Die Implementierung nachprüfbarer Standards kann die Auswirkungen informationeller Ungleichheit zwischen den Beteiligten zumindest entschärfen.476 Auf die Situation im Kontext sozialer Netzwerke trifft dies unmittelbar zu, da in die Erarbeitung solcher Standards anstelle des begrenzten Wissens der Nutzer477 das am technologischen Stand orientierte Wissen entsprechender Experten einfließt. Allerdings beziehen sich Standards häufig nur sehr allgemein auf bestimmte Technologien oder Formate und können so der speziellen Situation bei der Verwendung dieser Technologien oder Formate im Umfeld eines Netzwerks nicht ausreichend gerecht werden. Umgekehrt verliert der Standard aber seine Hauptfunktionen der Verallgemeinerungsfähigkeit und Vergleichbarkeit, wenn er sich auf zu enge Anwendungsfälle bezieht. Der Mechanismus der Standardisierung ist folglich nur in begrenztem Maß geeignet, zu einem Interessenausgleich im Netzwerkkontext beizutragen. Eine EU-weit einheitliche Anwendung von Datenschutzvorschriften sorgt dafür, dass auch solche Interessen, die nicht mehr an die räumlichen Grenzen der Mitgliedstaaten gebunden sind, einheitlich datenschutzrechtlich erfasst und ausgeglichen werden können.478 Im Umfeld sozialer Netzwerke spielt die grenzüberschreitende Datenverarbeitung eine wichtige Rolle,479 weshalb auch eine einheitliche Anwendung des Datenschutzrechts zu einem angemessenen Ausgleich der Interessen aller Akteure wesentlich beiträgt. Die Auflösung normativer Rollen und die damit einhergehende gegenseitige Abhängigkeit und Verschränkung verschiedenartiger Interessen480 kann jedoch bewirken, dass auch unter dem einheitlichen Datenschutzregime der DS-GVO gesetzliche Pflichten nur schwer einzelnen Akteuren zuweisbar sind, Rechte durch Akteure nicht mehr effektiv wahrgenommen werden können oder unklar ist, gegen welche Akteure Maßnahmen zu richten sind. Dementsprechend kann der Mechanismus der einheitlichen Anwendung im Kontext sozialer Online-Netzwerke nicht exakt so zum Ausgleich der relevanten Interessen beitragen wie dies vom Verordnungsgeber intendiert war.

476

Dazu allgemein unter C. II. 1. f) dd). D. II. 3. b). 478 Dazu allgemein oben unter C. II. 1. f) dd). 479 D. II. 3. c). 480 D. II. 3. c). 477

220

D. Interessenausgleich im Umfeld sozialer Netzwerke

ee) Durchsetzung und Überwachung der Einhaltung △ Betroffenen werden grundsätzlich Mechanismen an die Hand gegeben, ihre Interessen selbst durchzusetzen.481 Gerade aufgrund der starken strukturellen und informationellen Nachteile, denen Nutzer ausgesetzt sind,482 ist es einerseits von besonderer Wichtigkeit, ihnen die Möglichkeit zu verschaffen, aktiv gegen im Vorteil befindliche Akteure vorgehen zu können. Diese Mechanismen erweisen sich aus Sicht des Nutzers gegenüber den Akteuren im Umfeld des sozialen Netzwerks andererseits jedoch häufig als wenig effektiv: Wo Nutzern Verstöße gar nicht bekannt werden oder wo ihnen das technische Verständnis fehlt, um das Vorliegen von Datenschutzverstößen beurteilen zu können,483 bleibt ihnen auch die Durchsetzung ihrer Rechte verwehrt. So sie aber einen Verstoß tatsächlich ahnden lassen wollen, muss bei einer undurchsichtigen Rollenverteilung im Netzwerk484 zunächst der Verantwortliche oder Haftende ausgemacht werden. Hinzu kommt noch ein bedeutender struktureller Nachteil: Wenden sich Nutzer als Privat­personen gegen wirtschaftlich gut positionierte Akteure,485 insbesondere gegen den Anbieter, so ist für sie der finanzielle Aufwand, etwa für rechtliche Beratung und Prozesskosten, häufig kaum tragbar, wohingegen wirtschaftlich gut positionierte Akteure sich nicht davor scheuen müssen, Rechtsstreitigkeiten ungeachtet der entstehenden Kosten durch alle Instanzen zu tragen. Aus all dem resultiert eine starke Verlagerung der Überwachung der Einhaltung von Datenschutzrechtsvorschriften auf die Aufsichtsbehörden. Ergänzend sind folglich die den Aufsichtsbehörden zugewiesenen Aufgaben und Befugnisse zur Überwachung der Einhaltung und Umsetzung der DS-GVO486 von gravierender Bedeutung. Die Aufsichtsbehörden leiden auch dank der ihnen verliehenen besonderen Einsichtsbefugnisse in Kombination mit dem Einsatz von Experten von Anfang an in deutlich geringerem Maße unter informationellen Nachteilen und können durch ausreichende finanzielle Mittel und effektive Repressalien strukturell auch mit wirtschaftlich gut positionierten Akteuren auf Augenhöhe agieren. Dennoch kann grundsätzlich die aufsichtsbehördliche Tätigkeit eine Interessendurchsetzung durch Betroffene nicht gänzlich ersetzen.487 Dies gilt im Umfeld sozialer Netzwerke umso mehr, da eine dauerhafte Passivität der Nutzer das ohnehin herr-

481

Dazu allgemein unter C. II. 1. f) ff). D. II. 3. a); D. II. 3. b). 483 Beides sind typische Auswirkungen des informationellen Ungleichgewichts zwischen Nutzer und Anbieter, D. II. 3. b). 484 D. II. 3. c). 485 D. II. 2. b); D. II. 3. a). 486 Dazu allgemein unter C. II. 1. f) gg). 487 Aus der Schaffung inhaltlich und funktionell voneinander eindeutig abgrenzbarer Mechanismen – vgl. die Ausführungen unter C. II. 1. f) gg) und C. II. 1. f) ff) – geht hervor, dass ein kumulatives Zusammenwirken und Ineinandergreifen beider Mechanismen und nicht deren alternativer Einsatz vorgesehen war. 482

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

221

schende strukturelle Ungleichgewicht488 noch verschärft. Auch sind die zur Durchsetzung eingesetzten Maßnahmen, namentlich Bußgelder und Sanktionen, hinsichtlich der international verzweigten Konzernstruktur von Netzwerkanbietern mit einem wesentlichen Mangel behaftet: Obwohl der Unternehmensbegriff des Art. 83 Abs. 4, 5 und 6 ausweislich des Erwgr. 150 DS-GVO kartellrechtlich verstanden werden soll, wurde eine einschränkende Auslegung unter Heranziehung der Unternehmensdefinition aus Art. 4 Abs. 18 DS-GVO bereits vorgeschlagen, mit der Begründung, die im verfügenden Teil der Verordnung getroffene Definition könne nicht durch einen Verweis in den Erwägungsgründen überschrieben werden.489 Eine so deutliche Einschränkung der Definition hätte in Konzernen aber zur Folge, dass nur einzelne Konzernmitglieder jeweils mit einem Prozentsatz ihres weltweiten Jahresumsatzes haften – weitaus empfindlicher träfe es Konzernverbünde jedoch, wenn über den weiten Unternehmensbegriff auch die Konzernmutter und deren weltweiter Jahresumsatz betroffen wäre. Die Wirkweise der Instrumente der Bußgelder und Sanktionen könnte mithin im Umfeld verzweigter Anbieterkonzerne eine maßgebliche Schwächung erfahren. g) Tabellarische Übersicht der Ergebnisse Tabelle 6 Datenschutzrechtliche Ausgleichsmechanismen im Umfeld sozialer Online-Netzwerke Relevanz im Umfeld sozialer Online-Netzwerke

Funktionsweise: Besonderheiten, Inkompa­tibilitäten etc.

Verhältnismäßiger Ausgleich von Grundrechts­ konflikten

Verhältnismäßiger Grundrechtsausgleich auch zwischen Privaten: Ausdrückliche Verweise in der DS-GVO

Anwendung im Rahmen der mittelbaren Drittwirkung möglich; jedoch erhöhte Missbrauchsgefahr wegen großer Flexibilität

Ausdrücklich angeordnete Interessen­ abwägung

Als weiter Mechanismus grundsätzlich geeignet, netzwerkspezifische Besonderheiten zu berücksichtigen; erhöhte Relevanz als Erlaubnistatbestand aufgrund der die Einwilligungspraxis beeinträchtigenden Selbstbestimmungsproblematik

Zu großer Spielraum für Ausnutzung signifikanter struktureller und informationeller Ungleichgewichte; Rechts­unsicherheit

Mechanismus △

Fortsetzung auf der nächsten Seite

488

D. II. 3. a). Faust/Spittka/Wytibul, ZD 2016, 120 (124).

489

222

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fortsetzung Tabelle 6

Mechanismus △

Relevanz im Umfeld sozialer Online-Netzwerke

Funktionsweise: Besonderheiten, Inkompa­tibilitäten etc.

Erforderlichkeitsklauseln

Große Flexibilität erlaubt grundsätzlich die Berücksichtigung komplexer Besonderheiten in der Netzwerkumgebung; Missbrauchsgefahr

Vermischung von Zwecken und Interessen verwischt das Konzept der Erforderlichkeit

Unbestimmte Begriffe

Untersuchte Begriffe lassen generell eine Einbeziehung netzwerkspezifischer Besonderheiten mittels entsprechender Auslegung zu; so können alle relevanten Akteure und Interessen in den Interessenausgleich einbezogen werden.

Bedeutende Ausnahme: Eine Verantwortlichkeit lässt sich nicht aufgrund normativer Zuweisungen, wirtschaftlicher Verflechtung oder finanzieller Interessen an Datenverarbeitungen begründen

Selbstbestimmungselemente

In der Praxis wesentliches Element der Gestaltung von Datenverarbeitungsverhältnissen im Umfeld sozialer Netzwerke

Schwerwiegende Konflikte mit dem zugrundeliegenden Prinzip der Selbstbestimmung sowie Inkompatibilitäten mit den auf synallagmatischem Austausch beruhenden Geschäftskonzepten im Umfeld des Netzwerks

Datenschutzrechtsspezifische Mechanismen Informations­ pflichten und Auskunftsrechte

Besonders wichtig zum Zwecke des Ausgleichs massiver informationeller Ungleichgewichte

Verflechtung der Akteure und Interessen behindert die Bekanntgabe von Empfängern, Zwecken und Interessen, Überforderung des Nutzers aufgrund erhöhter Komplexität der Sachverhalte zu befürchten

Sonstige Betroffenenrechte

Datenportabilität erleichtert den Betreiberwechsel und verbessert dadurch die Position des Nutzers

Uneinheitliche Gestaltung der Netzwerke und mangelnde Vereinheit­ lichung der elektronischen Formate behindern die Datenportabilität

Recht auf Vergessenwerden schafft einen Mechanismus, der dem erhöhten Verbreitungspotenzial von Daten in sozialen Netzwerkumgebungen entgegenwirkt

Voraussetzung der Veröffent­ lichung von Daten ist für Anbieter sozialer Netzwerke nicht ohne Weiteres begründbar; Relativierung durch Zumutbarkeitsvorbehalt eröffnet zwar die Möglichkeit der umfassenden Berücksichtigung der Nutzerinteressen, belässt jedoch auch Spielraum für Missbrauch seitens der Betreiber

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

Mechanismus △

Technische und organisatorische Maßnahmen

Standardisierung und einheitliche Anwendung

Durchsetzungsvorschriften

223

Relevanz im Umfeld sozialer Online-Netzwerke

Funktionsweise: Besonderheiten, Inkompa­tibilitäten etc.

Voreinstellungen und Gestaltung sind vom Netzwerkanbieter umfassend steuerbar und beeinflussen maßgeblich die Datenschutzkonformität der Datenverarbeitungen im Umfeld sozialer Netzwerke; Nutzer neigen dazu, Voreinstellungen unverändert hinzunehmen; dynamische Entwicklung der Netzwerke fordert dynamische Anpassung relevanter Voreinstellungen

Gesetzliche Anforderungen sind nicht konkret genug ausgestaltet und belassen den Datenverarbeitern zu viel Spielraum; Voreinstellungen zielen im Netzwerk bislang hauptsächlich auf die Preisgabe von Nutzerinformationen gegenüber anderen Nutzern und nicht auf das datenschutzrechtlich sehr relevante Verhältnis zwischen Nutzer und Anbieter

Schutzvorkehrungen und Garantien sind von besonderer Bedeutung, um ein Gegengewicht zu den massiven wirtschaftlichen Interessen der kommerziell tätigen Akteure zu schaffen; komplexe technische Gestaltung sozialer Netzwerkplattformen und damit verknüpfter Datenverarbeitungsmaßnahmen verlangt nach differenzierter Ausgestaltung der Schutzvorkehrungen und Garantien

Das hauptsächlich informelle oder faktische Zusammenwirken und die Koexistenz unterschiedlicher Akteure und Interessen erschwert die Zuweisung von Schutz- und Garantiepflichten; mangelnde Vorhersehbarkeit zukünftig technisch und organisatorisch abzusichernder Risiken

Entschärfung informationeller Ungleichheit; Ersetzung/Ergänzung des beschränkten Wissens einzelner Nutzer durch von Experten erarbeitete, am Stand der Technik orientierte Standards

Standardisierung möglicherweise zu allgemein, um den spezifischen Besonderheiten im Netzwerk gerecht zu werden, bei Spezialisierung einzelner Standards jedoch Verlust der Hauptfunktionen der Verallgemeinerungsfähigkeit und Vergleichbarkeit zu befürchten

Einheitliche Anwendung entschärft die Problematik der grenzüberschreitenden Datenverarbeitungen, welche im Umfeld sozialer Netzwerke regelmäßig umfangreich stattfinden

Zuweisung einzelner Pflichten aufgrund der unklaren Rollenverteilung zwischen den Akteuren schwierig

Möglichkeit für betroffene Nutzer zur aktiven Durchsetzung ihrer Rechte und Interessen

Massive strukturelle und infor­ mationelle Ungleichgewichte behindern die Durchsetzung aufseiten Betroffener Fortsetzung auf der nächsten Seite

224

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fortsetzung Tabelle 6

Mechanismus △

Relevanz im Umfeld sozialer Online-Netzwerke

Funktionsweise: Besonderheiten, Inkompa­tibilitäten etc.

Überwachung der Einhaltung

Unabhängige, strukturell und informationell mit den kommerziell tätigen Akteuren auf Augenhöhe agierende Aufsichtsstellen können mit effektiven Repressalien entsprechende Defizite auf Seiten der Nutzer ausgleichen

Dauerhafte Verlagerung der Interessendurchsetzung auf Aufsichtsstellen kann Interessendurchset­zung durch Betroffene nicht ersetzen; dauerhafte Passivität betroffener Nutzer verschärft das strukturelle Ungleichgewicht

3. Ausgewählte Kriterien und Wertungen des Interessenausgleichs im Umfeld sozialer Online-Netzwerke ○ Auch die von der Gesetzgebung und Rechtsprechung eingesetzten Kriterien des Interessenausgleichs sollen im Hinblick auf ihre Funktionsweise unter den besonderen Voraussetzungen in der Netzwerkumgebung hin untersucht werden. Von Interesse sind dabei einerseits ihre mögliche besondere Relevanz, andererseits auftretende Besonderheiten oder Einschränkungen ihrer Funktionsweise; besonderes Augenmerk soll hierbei auf den bei der Auslegung und Anwendung der Kriterien entstehenden Problemen und auf der Aufdeckung von Verzerrungen der mit ihnen verbundenen Wertungen im jeweiligen Zusammenhang liegen. a) Arten und Kategorien von Daten aa) Sensible Daten ○ Soziale Netzwerke sind regelmäßig darauf angelegt, dass Nutzer Daten mit Persönlichkeitsrelevanz einspeisen und gegenüber anderen Nutzern preisgeben.490 Hat das Netzwerk die sensiblen Daten erst erlangt, monetarisiert es diese ebenso wie auch sonstige Datenkategorien – Facebook etwa bietet jedenfalls im US-amerikanischen Raum Werbetreibenden die Möglichkeit, die von ihnen anvisierte Zielgruppe anhand der „ethnischen Affinität“ zu bestimmen.491 Gerade die verbreitete private Nutzung,492 aber auch allgemeiner die Tatsache, dass es sich bei sozialen Netzwerken um digitale Abbilder der realen Beziehungen 490

D. II. 3. b)D. II. 2. b); Karg/Fahl, K&R 2011, 453 (455). Dachwitz, Facebook hält an Kategorisierung nach „ethnischer Affinität“ fest, Heise [Online]. 492 D. II. 1. a). 491

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

225

der Mitglieder handelt,493 bringt es mit sich, dass besonders solche Daten im Netzwerk hinterlassen werden, die sich auf private oder sogar intime Sachverhalte und Beziehungen494 oder anderweitig mit der Persönlichkeit des Nutzers zusammenhängende Aspekte beziehen. Viele dieser Daten unterfallen in der Folge bereits als besonders sensible Daten der Definition des Art. 9 Abs. 1 DS-GVO – insbesondere politische Meinungen, religiöse oder weltanschauliche Überzeugungen sowie Daten über die sexuelle Ausrichtung lassen sich aus den Netzwerkaktivitäten und -inhalten von Nutzern häufig ablesen.495 Biometrische Daten werden vor allem im Zusammenhang mit Mediendateien, insbesondere Fotos, relevant, die sich auf biometrische Muster hin auswerten lassen.496 Die Vorgabe des Verordnungsgebers, dass Fotos nicht generell als besonders sensible Daten einzuordnen sind, ist dabei vermeintlich am Risiko für den Betroffenen ausgerichtet, denn die Ableitung und Verarbeitung biometrischer Daten aus diesen Lichtbildern könne erst „mit speziellen technischen Mitteln“ erfolgen (Erwgr. 51 DS-GVO). Im Zusammenhang mit der massenhaften Verfügbarkeit von Fotomaterial in den Oberflächen sozialer Netzwerke greift diese Bestimmung aber weitläufig ins Leere, weil sie die Situation, in der allen Netzwerkmitgliedern oder Internetnutzern großflächig auswertbare Daten zur Verfügung stehen, die diese jederzeit und ohne nennenswerten finanziellen oder technischen Aufwand497 auf biometrische Übereinstimmungen hin durchsuchen können, nicht erfasst. Auch weitere persönliche Aspekte, die der Gesetzgeber zwar nicht als besonders sensible Kategorien einordnet, denen er aber wegen ihrer gesteigerten Persönlichkeitsrelevanz doch zumindest im Zusammenhang mit umfangreichen Analysen und Bewertungen eine gesonderte Stellung einräumt, sind in sozialen Netzwerken zu finden: Das Verhalten im Netzwerk498 kann einen Rückschluss auf die wirtschaftliche Lage oder auf persönliche Vorlieben zulassen. Für die Preisgabe letzterer bieten soziale Netzwerke sogar gezielt Funktionen an (z. B. den Like-Button von Facebook oder entsprechend zur Preisgabe einladende Felder im Profil499) – dies entspricht einer von der Rechtsprechung als besonders persönlichkeitsrelevant erkannten500 gezielten Ausforschung des Privatlebens. Die von der

493

D. II. 2. d). „Kontaktpflege ist das wesentliche Thema sozialer Netzwerke“: Erd, NVwZ 2011, 19 (19). 495 Karg/Fahl, K&R 2011, 453 (455). 496 Dazu Karg, HFR 2012, 120. 497 Apple bietet etwa mit der Anwendung ‚iPhoto‘ eine simple Möglichkeit, in importiertem Bildmaterial Gesichter zu erkennen und die Fotos entsprechend zu sortieren: Apple, Webseite ‚iPhoto‘. 498 Karg/Fahl, K&R 2011, 453 (455). 499 Zur Praxis von Facebook, diese Felder als leere Bausteine im Profil anzuzeigen, wodurch dem Nutzer die Unvollständigkeit seiner Angaben stets vor Augen geführt wird: Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 168. 500 C. III. 2. a) bb). 494

226

D. Interessenausgleich im Umfeld sozialer Netzwerke

Rechtsprechung als besonders sensibel eingestuften501 Individualkommunikationsinhalte finden sich ebenfalls in der Netzwerkplattform in Form von Individualnachrichten und Chats.502 Das Kriterium der Sensibilität erweist sich damit als besonders häufig einschlägig und von gesteigerter Relevanz im Netzwerkumfeld. bb) Personenbezogene Daten ○ Soziale Netzwerke sind gerade auf den Zweck ausgerichtet, dass ihre Mitglieder dort unter mit ihrer Person verknüpften Profilen auftreten,503 kommunizieren, Inhalte teilen und konsumieren können,504 d. h. ein Bezug der vorhandenen Daten zu Personen ist vom Konzept des sozialen Netzwerks vorgesehen und häufig von den Nutzern explizit gewünscht505. Auch weitere Beteiligte haben regelmäßig besonderes Interesse am Personenbezug, da sich die Interessen des Netzwerkanbieters insbesondere an Werbung, aber auch allgemeine Unternehmensinteressen506 wie Marketing, PR, Feedback und Customer Relationship Management sowie die Interessen spezieller Branchen z. B. an Kreditwürdigkeit oder Versicherungsrisiko regelmäßig ausschließlich oder zumindest deutlich effektiver realisieren lassen, wenn den entsprechenden Daten Personen zugeordnet werden können.507 Zudem entsteht insbesondere seitens des Netzwerkanbieters kaum zusätzlicher finanzieller und technischer Aufwand für eine Akkumulation und entsprechende Verwendung von Zusatzwissen zum Zwecke der Identifizierung von Nutzern, weil die Daten ohnehin bereits zu anderen Zwecken (z. B. Netzwerkbetrieb, Werbung) vorgehalten werden. Dies verschärft die besondere Bedeutung des Personenbezugs, da durch die zentralisierte Speicherung sämtlicher Netzwerk­daten beim Netzwerkbetreiber508 diesem derartig viele Zusatzinformationen zukommen, dass ein Rückschluss auf die zu einem Datum gehörige Person wesentlich erleichtert wird509. Jüngst führte etwa der Netzwerkanbieter Facebook die Daten 501

C. III. 2. b) bb). Karg/Fahl, K&R 2011, 453 (455). 503 Bauer, MMR 2008, 435 (438). 504 Bender, K&R 2013, 218 (219). 505 Gerade bei der Nutzung zur beruflichen Selbstdarstellung, aber auch bei der privaten Kommunikation und Interaktion (dazu D. II. 1. a); differenzierend aber hinsichtlich unterschiedlicher Kommunikationsumstände: Roosendaal, in: Gutwirth/Leenes/Hert et al. (Hrsg.), European Data Protection, S. 3 [13]) ist die persönliche Identifizierbarkeit von Vorteil. Empfindlich reagierte aber z. B. die Online-Spieler-Community auf die Pläne des Betreibers Blizzard Entertainment Inc, mit dem Ssystem ‚Real ID‘ einen Klarnamenzwang einzuführen. Dazu Erkeling, DuD 2011, 116 (116–117). 506 D. II. 1. b). 507 Zur beiläufigen „Miterhebung“ von personenbezogenen Daten beim Social Media Monitoring: Schreiber, PinG 2014, 34 (34). 508 Zum diesbezüglich relevanten informationellen Ungleichgewicht unter: D. II. 3. b). 509 „[…] anonymity is merely a question of the amount of available data […]“: Richter, PinG 2014, 203 (204); speziell mit Bezug zu den Anbietern sozialer Netzwerke auch: Voigt/Alich, 502

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

227

der Nutzer des zuvor übernommenen Messenger-Dienstes ‚WhatsApp‘ mit den Daten der eigenen Nutzer zusammen und erweiterte damit die Datensätze der Facebook-Plattform um unzählige Mobiltelefonnummern.510 Daran zeigt sich, dass das Risiko der Herstellung eines Personenbezugs im Umfeld sozialer Netzwerke wegen der entsprechenden Umstände und Interessen allgemein, insbesondere aber im Hinblick auf den Netzwerkanbieter, besonders groß ist, was bei einem Ausgleich der Interessen gesondert zu berücksichtigen ist. Pseudonymisierung und Anonymisierung511 spielen für den Netzwerkanbieter dagegen eine besondere Rolle, wenn Daten an andere Akteure weitergegeben werden. Die Daten sind das ‚Kapital‘ des Netzwerks – es schöpft Wert aus der Monetarisierung des informationellen Ungleichgewichts gegenüber Nutzern und anderen Akteuren.512 Folglich besteht grundsätzlich seitens des Netzwerkbetreibers ein starkes Interesse an der Anonymisierung oder Pseudonymisierung der an andere Akteure weitergegebenen Daten.513 Aufgrund der strukturell stärkeren Position des Netzwerkanbieters514 ist dieser regelmäßig auch in der Lage, die ungleiche Verteilung von Informationen515 aufrechtzuerhalten und die Herstellung des Personenbezugs durch andere Akteure weitreichend zu kontrollieren. Umgekehrt hat der Netzwerkanbieter aber für seine eigenen Tätigkeiten kein Interesse daran, den Personenbezug gänzlich aufzuheben, weil dies seine Interessen, u. a. das Angebot einer personalisierten Netzwerkoberfläche516 und das Ausspielen passgenauer Werbeanzeigen517, konterkarieren würde.518 Das Kriterium des Personenbezugs und die mit ihm zusammenhängenden Abstufungen der Personenbezogenheit und NJW 2011, 3541 (3542); unter Bezugnahme auf die Vernetzung im Internet der Dinge: Hornung/ Hofmann, in: Sprenger/Engemann (Hrsg.), Internet der Dinge, S.  181 (194); unter Bezugnahme auf die Zusammenführung verschiedener Quellen und Verkettung von Datensätzen im Zusammenhang mit Big Data Analysen: Schefzig, K&R 2014, 772 (775); Brisch/Pieper, CR 2015, 724 (726–727); Härting/Schneider, CR 2015, 819 (822), stellen gar die Sinnhaftigkeit dieses Kriteriums insgesamt in Frage. 510 Unbekannter Autor, Whatsapp und Facebook werden verzahnt – ein wenig, Heise [Online]. 511 Anonymisierte Nutzungsformen sind dabei zwar datenschutzfreundlich, können aber die soziale Dynamik zwischen Nutzern negativ beeinflussen und eine Kriminalitätsbekämpfung durch den Staat beeinträchtigen – zu diesem Dilemma: Heckmann, DIVSI Magazin 2012, 20 (20–21); Heckmann, NJW 2012, 2631 (2632). 512 Zum Geschäftsmodell allgemein unter D. I. 4., zu den entsprechenden Interessen unter D. II. 1. c), zu den daraus entstehenden Besonderheiten des Interessengefüges unter D. II. 3. b). 513 Netzwerkanbieter hätten kein Interesse daran, dass Nutzerdaten frei für jedermann verfügbar sind: Bender, K&R 2013, 218 (219); anderer Ansicht aber wohl Erd, NVwZ 2011, 19 (21); von einer „Bekanntgabe“ von Daten spricht Moos, ITRB 2012, 226 (227). 514 D. II. 3. a). 515 D. II. 3. b). 516 D. II. 1. c) aa). 517 D. II. 1. c) bb). 518 Eine Registrierung oder zumindest Nutzung unter Pseudonym ist indes, wenn auch unter zusätzlichem Aufwand, mit den Dienstleistungs- und Werbeinteressen des Anbieters wohl vereinbar: Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 191–194.

228

D. Interessenausgleich im Umfeld sozialer Netzwerke

entsprechenden Wertungen erlangen im Zusammenhang mit sozialen Netzwerken also in verschiedener Hinsicht besondere Relevanz. Durch das Zusammenwirken mit anderen Akteuren im Rahmen des Geschäftsmodells519 und die dadurch entstehenden Möglichkeiten der Datenverarbeitung ergibt sich jedoch eine Gefährdung für die Persönlichkeit betroffener Nutzer häufig auch bereits dann, wenn andere Akteure nicht unmittelbar selbst den Personenbezug herstellen können. So bedingt etwa das gezielte Zusammenwirken der Verwender sozialer Plugins mit dem Anbieter, dass der Anbieter umfangreiche Persönlichkeitsprofile erstellen und diese für Werbung verwenden, der PluginVerwender von der Personalisierung des Plugins auf seiner Seite profitieren kann. Obwohl der Plugin-Verwender den Nutzer regelmäßig nicht selbst identifizieren kann, trägt er zu einer Vertiefung der Gefährdung seiner Persönlichkeitsrechte durch die Verwendung des Plugins auf der Homepage aber unmittelbar bei. Dadurch, dass konkrete Gefährdungen sodann nicht mehr unmittelbar mit dem Kriterium des Personenbezugs verknüpft sein müssen, wird das vom Verordnungsgeber und der Rechtsprechung angenommene ‚Proportionalitätsverhältnis‘, das der Zuordnung entsprechender Wertungen (je enger der Personenbezug desto größer die Gefährdung und Schutzbedürftigkeit des Betroffenen und desto größer das Gewicht seiner Belange) zugrunde liegt, gestört. Die vom Verordnungsgeber und der Rechtsprechung bislang mit dem Kriterium verknüpfte Wertungslinie verschiebt sich folglich im Netzwerkumfeld, sodass dem Kriterium insgesamt eine im Vergleich zur gesetzgeberischen Intention verzerrte Auswirkung auf den Interessenausgleich zukommen muss. cc) Veröffentlichte Daten ○ Hat der Nutzer Daten offenkundig selbst veröffentlicht, so dürfen sogar sensible Daten rechtmäßig verarbeitet werden (vgl. Art. 9 Abs. 2 lit. e DS-GVO). Weite Teile sozialer Netzwerke und damit auch die dort vorhandenen Daten sind grundsätzlich der Allgemeinheit zugänglich. Alle Internetnutzer oder zumindest alle Netzwerkmitglieder können ohne wesentliche Beschränkungen auf diese Daten zugreifen und sie verwenden. Auch sind soziale Netzwerke gerade bekannt dafür, als Medium der Selbstdarstellung der Nutzer zu dienen; besonders häufig werden personenbezogene Daten daher von den zugehörigen Nutzern selbst in das Netzwerk eingespeist. Von besonders großer praktischer Bedeutung ist damit das Kriterium der Veröffentlichung von Daten durch den Nutzer, mit dem eine entsprechende Wertung des Verordnungsgebers520 verbunden ist. Jedoch unterliegt auch dieses Kriterium im Kontext sozialer Online-Netzwerke einigen Besonderheiten.

519 520

Dazu unter D. I. 4.; D. II. 2. b). Dazu allgemein unter C. III. 1. a) bb).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

229

Probleme bereitet bereits die Bestimmung dessen, wann die in ein soziales Netzwerk eingespeisten Daten als „öffentlich gemacht“ im Sinne von Art. 9 Abs. 2 lit. e DS-GVO gelten können, denn das Netzwerk bietet nicht nur eine für jedermann zugängliche öffentliche Plattform, sondern auch in unterschiedlichem Maße abgegrenzte Bereiche, die nur für Mitglieder des Netzwerks, für die Freunde oder Kontakte eines Mitglieds, für die Mitglieder einer bestimmten Gruppe oder anderweitig definierte Personenkreise zugänglich sind, während gleichzeitig sämtliche auch in zugangsbeschränkten Bereichen abgelegte Daten, ebenso wie nicht allgemein einsehbare Verhaltens- und Nutzungsdaten, aber dennoch für den Netzwerkanbieter sichtbar und verarbeitbar sind. Hinsichtlich der Veröffentlichung521 oder der öffentlichen Zugänglichkeit von Daten ist allgemein sowohl eine Beurteilung anhand der faktischen Zugriffsmöglichkeiten als auch auf der Grundlage normativer Zugriffsschranken denkbar.522 Verkompliziert wird die Argumentation im speziellen Zusammenhang sozialer Netzwerke jedoch in jedem Fall durch die Auflösung und Vermischung der Grenzen und Rollen privater, beruflicher und geschäftlicher Nutzung,523 die eine Grenzziehung zwischen privat und öffentlich geteilten Daten im Netzwerk sowohl nach objektiven als auch normativen Kriterien wesentlich erschwert: Objektiv oder faktisch lässt sich für eine öffentliche Zugänglichkeit der Daten sozialer Netzwerke argumentieren, soweit diese faktisch nach außen hin offen sind, d. h. soweit sie allen Internetnutzern den Zugriff auf Daten gestatten und sogar Suchmaschinen diese Daten in ihren Ergebnislisten indexieren können.524 Sofern Daten faktisch lediglich für Netzwerkmitglieder zugänglich sind, Nichtmitglieder vom Zugriff aber ausgeschlossen werden, kann dies grundsätzlich ein Ausschlusskriterium für die öffentliche Zugänglichkeit sein.525 Allerdings spielt hierbei auch eine Rolle, ob die Mitgliedschaft bei dem Netzwerk für jedermann 521 Wortgleich verlangte auch § 28 Abs.  6 Nr.  2 BDSG eine Veröffentlichung von Daten, wobei der dortige Veröffentlichungsbegriff mit dem Begriff der allgemeinen Zugänglichkeit nach § 28 Abs. 1 Satz 1 Nr. 3 BDSG verknüpft war, Simitis, in: Simitis (Hrsg.), BDSG, § 28 BDSG, Rdnr. 303. Die allgemeine Zugänglichkeit von Daten setzte demnach voraus, dass sie aus einer allgemein zugänglichen Quelle stammen. Eine solche musste „technisch geeignet und dazu bestimmt [sein], der Allgemeinheit, d. h. einem individuell nicht bestimmbaren Personenkreis, Informationen zu verschaffen“. Die Definition des Bundesverfassungsgerichts, ursprünglich entwickelt zum Begriff der öffentlich zugänglichen Quelle aus Art. 5 Abs. 1 Satz 1 GG, findet sich bei: BVerfG, Beschl. v. 25.04.1972 – 1 BvL 13/67, BVerfGE, 33, 52 (65). Sie wird allgemein als auf § 28 Abs. 1 Satz 1 Nr. 3 BDSG übertragbar angesehen, vgl. z. B. Bergmann/Möhrle/Herb, in: Bergmann/Möhrle/Herb (Hrsg.), Datenschutzrecht, § 28 BDSG, Rdnr. 261. 522 Dass eine Differenzierung nötig sein wird, erkennen auch Gola/Schomerus/Körffer, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 28 BDSG, Rdnr. 33a, ohne jedoch eine tragfähige Lösung des Problems anzubieten. 523 D. II. 3. c). 524 Ähnlich auch Plath, in: Plath (Hrsg.), BDSG, § 28 BDSG, Rdnr. 76. 525 Bergmann/Möhrle/Herb, in: Bergmann/Möhrle/Herb (Hrsg.), Datenschutzrecht, § 28 BDSG, Rdnr.  263; verallgemeinernd auch Howald, öAT 2013, 133 (135); Wolff, in: Wolff/ Brink (Hrsg.), BeckOK DatenSR, § 28 BDSG, Rdnr. 83.

230

D. Interessenausgleich im Umfeld sozialer Netzwerke

ohne Zugangsschranken, möglicherweise sogar anonym, möglich ist,526 oder ob Beschränkungen vorliegen, sodass z. B. eine Mitgliedschaft mit dem Überwinden einer Zugangsschranke, z. B. mit dem Nachweis der Zugehörigkeit zu einer Universität mittels universitätseigener E-Mail-Adresse, verbunden ist. Für die großen sozialen Online-Netzwerke bestehen in aller Regel überhaupt keine Beschränkungen, was den Mitgliederkreis angeht; die Begrenzung des Datenzuganges auf Netzwerkmitglieder kann sich demnach dort nicht auf die allgemeine Zugänglichkeit von Daten auswirken.527 Gleiches muss auch für Gruppenbeiträge gelten, die im Rahmen einer innerhalb des sozialen Netzwerks bestehenden Gruppe veröffentlich werden und nur für die Gruppenmitglieder sichtbar sind, solange die Gruppenmitgliedschaft ebenso wie die Registrierung im Netzwerk selbst keinerlei Beschränkungen unterworfen ist. Ganz anders ist die allgemeine Zugänglichkeit jedoch zu bewerten, sobald Daten lediglich für den eigenen Kontaktkreis sichtbar sind. Die Reichweite dieser Zugänglichkeit hat der Nutzer selbst in der Hand; er kontrolliert, wer seinem Kontaktkreis angehört und definiert innerhalb dieses Zirkels möglicherweise sogar noch Untergruppen mit unterschiedlichen Zugriffsrechten. Man mag nun einwenden wollen, bei vielen Netzwerken sei die durchschnittliche Anzahl der Kontakte eines Nutzers bereits so hoch, dass von einem bestimmten Personenkreis kaum mehr gesprochen werden könne – und es wird wohl auch zutreffen, dass ein Nutzer bei einer entsprechend hohen Anzahl von Kontakten den Überblick über einzelne Beziehungen kaum behalten kann. Dennoch besteht für den Zugriff auf derart zugangsbeschränkte Daten mit dem erforderlichen Kontaktschluss eine eindeutige Hürde, die andere Nutzer nur überwinden können, wenn der Account-Inhaber selbst dies wünscht und veranlasst, so dass eine öffentliche Zugänglichkeit faktisch wohl nicht mehr gegeben ist. In normativer Hinsicht verbieten allerdings sowohl Freundes-, als auch Informations- und Karrierenetzwerke regelmäßig die überwiegend geschäftliche Nutzung von Privataccounts; dennoch sehen sie aber spezielle Mitgliedschaftsformen für geschäftliche Teilnehmer vor (bei Facebook sind dies z. B. die ‚Seiten‘ oder ‚Fanpages‘528 und auch bei Twitter529 und XING530 können Unternehmen eigene Profile einrichten und durch diese mit den privaten Mitgliedern in Kontakt treten). Die Gestaltung eines solchen Profils ist in der Regel damit verbunden, dass der Profilinhaber diejenigen Netzwerkinhalte sehen kann, die auch Privatmitglieder sehen können. Solange das Gesamtkonzept eines Netzwerks diesen Zugang für Unternehmen vorsieht, kann das Argument, soziale Online-Netzwerke 526 Bergmann/Möhrle/Herb, in: Bergmann/Möhrle/Herb (Hrsg.), Datenschutzrecht, § 28 BDSG, Rdnr. 263. 527 Bergmann/Möhrle/Herb, in: Bergmann/Möhrle/Herb (Hrsg.), Datenschutzrecht, § 28 BDSG, Rdnr. 263. Anderer Ansicht aber Howald, öAT 2013, 133 (135); Wolff, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, § 28 BDSG, Rdnr. 83. 528 Facebook, Nutzungsbedingungen v. 30.01.2015, Nr. 4, Unterpunkt 4. 529 Twitter, Webseite ‚Erstelle ein Twitter Profil für Unternehmen‘. 530 XING, Webseite ‚Zeigen Sie Ihre Stärken als Arbeitgeber‘.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

231

seien zu einer geschäftlichen Nutzung normativ nicht bestimmt und dort eingestellte Informationen folglich nicht öffentlich zugänglich, also nicht durchgreifen. Nicht für den Zugang geschäftlicher Teilnehmer bestimmt sind dagegen die Bereiche, die ein Nutzer nur seinem privaten Kontaktkreis zugänglich macht; insofern deckt sich das Ergebnis der normativen Betrachtung mit der Auswertung realer Zugriffsmöglichkeiten. Weiterhin stellt sich aber die Frage, ob die Bewertung der allgemeinen Zugänglichkeit von Daten zusätzlich von der Perspektive des Zugreifenden abhängig sein muss. Vertreten wurde diese Unterscheidung bislang mit der Begründung der Schutzbedürftigkeit des Betroffenen und der besonderen Gefährdungslage, der seine Daten etwa bei der Verarbeitung durch (zukünftige oder aktuelle) Arbeitgeber ausgesetzt sind.531 Überträgt man diese Annahme auch auf die allgemeine Zugänglichkeit aus der Sicht anderer Akteure, so könnte sich z. B. auch für Unternehmen oder bestimmte Branchen eine Verschiebung in der Beurteilung aufgrund besonderer Gefährdungslagen ergeben. Würde z. B. ein Versicherer auf das Netzwerkprofil eines Nutzers zugreifen, um dessen Kreditwürdigkeit besser beurteilen zu können,532 so könnte auch hier wegen der besonderen Schutzbedürftigkeit eine allgemeine Zugänglichkeit lediglich für berufliche Netzwerke, nicht aber für private Netzwerkprofile angenommen werden. Allerdings sprengt ein derartiges „Hineinlesen“ von Nutzerinteressen den ausdrücklichen Wortlaut von Art. 9 Abs. 2 lit. e DS-GVO. Eine Unterscheidung nach unterschiedlichen Perspektiven des Datenzugriffs ist demnach ausdrücklich nicht vorgesehen, sondern entscheidend ist vielmehr lediglich das objektive Kriterium der Veröffentlichung. Des Weiteren ist die Beurteilung, unter welchen Voraussetzungen ein Datum als offenkundig von einem Betroffenen selbst veröffentlicht533 gelten kann, im sozialen Netzwerk speziellen Problemen ausgesetzt: Selbst unter der Annahme, dass eine natürliche Person eindeutig einem Netzwerkaccount zugeordnet ist (was auch 531 So, z. T. mit zustimmendem Verweis auf den die Interessenlage in diesem Sinne beurteilenden (allerdings nicht zur Verabschiedung gelangten) Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 15.12.2010, BT-Drs. 17/4230: Bissels/Lützeler, ArbAktuell 2011, 499 (501); Göpfert/Wilke, NZA 2010, 1329 (1329); Röller/Kania/Seidel/Ruppelt, in: Röller (Hrsg.), Personalbuch, Stichwort ‚Soziale Netzwerke‘, Rdnr. 2. Anders aber Ernst, NJOZ 2011, 953 (955–956), der argumentiert, Nutzer könnten im Zusammenhang mit sozialen Netzwerken keinerlei berechtigte Erwartungen eines abgegrenzten oder geschützten Raumes haben. 532 D. II. 1. e) bb). 533 Das Verständnis dessen, was eine offenkundig eigene Veröffentlichung von Daten durch den Betroffenen bedeutet, war schon im Zusammenhang mit der diesbezüglich mit Art.  9 Abs.  2 lit.  e DS-GVO wortlautgleichen Vorschrift des § 28 Abs.  6 Nr.  2 BDSG uneinheitlich  – die Ansätze reichten von einer „eindeutig von dem Betroffenen“ selbst veranlassten Veröffentlichung (Gola/Schomerus/Körffer, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 28 BDSG, Rdnr. 77; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, § 28 BDSG, Rdnr. 229) bis hin zur zweifelsfreien Akzeptanz der Veröffentlichung durch den Betroffenen (Taeger, in: Taeger/ Gabel [Hrsg.], BDSG, § 28 BDSG, Rdnr. 229; Simitis, in: Simitis [Hrsg.], BDSG, § 28 BDSG, Rdnr. 303).

232

D. Interessenausgleich im Umfeld sozialer Netzwerke

bei vorherrschender Klarnamenpflicht nicht immer der Fall sein muss), müssen nicht zwangsläufig alle Inhalte, die mit dem jeweiligen Account in Verbindung stehen, von dem Nutzer des Accounts selbst veröffentlicht worden sein. Dritte können Inhalte teilen oder verlinken, von denen nicht nur sie selbst, sondern auch andere Nutzer betroffen sind,534 und so den Eindruck einer eigenen Veröffentlichung der Daten durch diese anderen Nutzer erwecken. Informationen erscheinen dann zwar auf der Seite des Nutzers im Netzwerk, dies bedeutet jedoch nicht zwangsläufig, dass die Daten von ihm selbst veröffentlicht wurden. Einzig das Profil kann in aller Regel nur vom Nutzer selbst bearbeitet und veröffentlicht werden; dort eingestellte Informationen können daher, sofern sie für alle Netzwerkmitglieder sichtbar sind, als durch den Betroffenen selbst offenkundig öffentlich gemacht gelten.535 Anders verhält es sich mit Informationen auf den eigenen Seite des Betroffenen im Netzwerk (Timeline, Chronik, Neuigkeiten o. ä.): Diese Informationen können ebenso gut von Dritten veröffentlicht worden sein; ihre öffentliche Sichtbarkeit auf den Seiten des Profilinhabers kann dann gleichermaßen auf einem Versehen oder nachlässiger Kontrolle der Privatsphäre-Einstellungen beruhen, wie auf einer eigenen Veröffentlichungshandlung des betroffenen Nutzers. Selbst wenn man aber für die offenkundig eigene Veröffentlichung eines Nutzers dessen erkennbare Zustimmung zur Veröffentlichung der von Dritten geteilten Inhalte genügen ließe,536 lässt sich diese nur schwer ermitteln, denn auch dann, wenn der Nutzer durch seine Privatsphäreeinstellungen allen oder einigen Kontakten das Hinzufügen von Inhalten zu seiner Seite erlaubt, ist eine bewusste Zustimmung zu möglichen von diesen Personen hinzugefügten Inhalten erst ab der (von außen nicht erkennbaren) Kenntnisnahme und Billigung des jeweils konkreten Inhalts anzunehmen. Festzuhalten bleibt also, dass sowohl die Veröffentlichung von Daten als auch die Zuordnung der Veröffentlichungshandlung zum Nutzer im Umfeld des sozialen Netzwerks erhebliche Probleme aufwerfen, die eine Anwendung dieses Kriteriums im Umfeld sozialer Netzwerke beeinträchtigen. b) Arten und Kategorien von Betroffenen ○ Die Daten von Kindern und Jugendlichen sind vom Gesetzgeber537 und der Rechtsprechung538 als besonders schützenswert erkannt worden. Gerade Kinder und Jugendliche bilden jedoch einen wesentlichen Teil der aktiven Netzwerk­ 534

D. II. 3. c). Plath unterscheidet nicht zwischen dem Profil und anderen Netzwerkinhalten, meint aber wohl mit der „Aufnahme in erkennbar öffentlich zugängliche […] Internetseiten (v. a. soziale Netzwerke)“ diejenigen Informationen, die der Nutzer zweifelsfrei selbst dort eingespeist hat, vgl. Plath, in: Plath (Hrsg.), BDSG, § 28 BDSG, Rdnr. 211. 536 Vgl. Kap. D. Fn. 533. 537 C. III. 1. b). 538 C. III. 2. b) bb). 535

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

233

nutzer.539 Angesichts der umfangreichen Nutzung sozialer Netzwerke durch Kinder und Jugendliche und der spezifischen Ausrichtung vieler Netzwerke auf jugendliche Nutzer, die diese Netzwerke für sie besonders anziehend540 erscheinen lässt, muss dieses Kriterium bei der Abwägung eine herausragende Rolle spielen. Heranwachsende sind hinsichtlich ihrer Kommunikation insgesamt höheren Risiken ausgesetzt als Erwachsene.541 Besonders problematisch stellt sich gerade bei jungen Menschen der natürliche Nachteil der Unerfahrenheit im Zusammenhang mit der Einwilligungserklärung in einem sozialen Netzwerk dar.542 Zudem wirkt sich gerade gegenüber jungen Menschen aufgrund ihrer Unerfahrenheit das ohnehin bereits gravierende strukturelle und informationelle Ungleichgewicht543 noch stärker aus,544 es ist ihnen aufgrund mangelnder Erfahrung auch noch weniger möglich, mit der zunehmenden Grenzauflösung im Netzwerk545 angemessen umzugehen, mögliche Folgen der Netzwerknutzung abzusehen und den Versuchungen von Plug and Play-Umgebungen546 zu widerstehen. Das Kriterium der besonderen Kategorie der minderjährigen Betroffenen spielt also sowohl wegen seiner erhöhten praktischen Relevanz als auch aufgrund seiner gesteigerten inhaltlichen Einschlägigkeit eine besonders wichtige Rolle in der Netzwerkumgebung. Allerdings stellt sich im Zusammenhang mit dem Kriterium der Minderjährigkeit die Feststellung derselben problematisch dar,547 denn der Rahmen sozialer Netzwerke erlaubt nicht auf ähnlich einfache Weise die Überprüfung des Alters von Teilnehmern, wie dies im realen Leben möglich ist. Elektronische Verfahren548 und Parallelverfahren549 zur Feststellung des Alters existieren zwar bereits, einheitliche und praxistaugliche Standardverfahren haben sich jedoch bislang für die Registrierung in sozialen Netzwerken nicht durchsetzen können und müssten im Zuge des Inkrafttretens der DS-GVO auf Unionsebene erst implementiert 539 Schon 30 Prozent der 12- bis 13-jährigen Internetnutzer nutzen regelmäßig auch Online-Communities; unter den 14- bis 15-Jährigen sind es bereits 53 Prozent. Insgesamt nutzen 57 Prozent der deutschen Internetnutzer im Alter zwischen 12 und 19 Jahren regelmäßig Online-Communities. Vgl. Feierabend/Plankenhorn/Rathgeb, JIM-Studie 2015, S. 37. 540 Bräutigam, MMR 2012, 635 (635). 541 Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S. 123 (136). 542 Caspar, DuD 2013, 767 (768). 543 D. II. 3. b); D. II. 3. a). 544 Je nach Alter fehlt es bisweilen schlicht am Verständnis, Jandt/Roßnagel, MMR 2011, 637 (640); jedenfalls kann aber eine bewusste Auseinandersetzung mit Privatsphäreeinstellungen nicht erwartet werden, Kipker/Voskamp, DuD 2012, 737 (739). 545 D. II. 3. c). 546 Dazu unter D. II. 3. b). 547 Jandt/Roßnagel, MMR 2011, 637 (641). 548 Bspw. sind Online-Identifikationsverfahren mithilfe des neuen Personalausweises möglich: Bundesdruckerei, Webseite ‚eID-Service‘. 549 Bspw. bietet die Deutsche Post AG auch Offline-Identifizierungsverfahren an, welche durch Netzwerkbetreiber und andere Akteure als Alternative herangezogen werden könnten, wenn ein Online-Identifikationsverfahren nicht möglich ist: Deutsche Post AG, Webseite ‚Identifizierungsverfahren‘.

234

D. Interessenausgleich im Umfeld sozialer Netzwerke

werden.550 Dabei stellen sich zahlreiche allgemeine technische und rechtliche Herausforderungen – von besonderer Relevanz im Umfeld sozialer Netzwerke ist die Tatsache, dass diese von Jugendlichen über diverse Endgeräte hinweg genutzt werden, was für Verifikationsverfahren jedenfalls berücksichtigt werden müsste.551 Verfahren der Altersverifizierung sind aber nicht nur aufwendig,552 sondern zugleich regelmäßig mit einer persönlichen Identifizierung des betroffenen Nutzers und insofern mit zusätzlichen Gefährdungen der Persönlichkeit553 verbunden. Wenn aber nicht feststellbar ist, ob betroffene Nutzer minderjährig sind, so bleibt bereits unklar, in welchen konkreten Fällen das Kriterium jeweils herangezogen werden muss. Sobald jugendliche Netzwerknutzer jedoch die festgesetzte Altersgrenze von 16 Jahren erreicht haben, unterfallen sie nicht mehr dem strengeren Schutzprogramm der DS-GVO (abweichende Regelungen der Mitgliedstaaten sind allerdings möglich, der deutsche Gesetzgeber hat hiervon jedoch im Rahmen des DSAnpUG-EU zunächst keinen Gebrauch gemacht). Für die Daten von Jugendlichen zwischen 16 und 18 Jahren besteht dann überhaupt kein besonderer Schutz mehr,554 obwohl ihre die Schutzbedürftigkeit beeinflussenden Fähigkeiten (Erfahrung, Persönlichkeitsentwicklung, Kommunikationsfähigkeit) möglicherweise noch nicht vollständig mit jenen Erwachsener zu vergleichen sind und sie gerade in der Netzwerkumgebung, wo sich ihre Unerfahrenheit besonders gravierend auswirkt, noch zusätzlichen Schutzes bedürften. Einerseits ergeben sich Probleme also bei der Ermittlung der Fälle, für die das Kriterium und die ihm zugeordnete Wertung der besonderen Schutzbedürftigkeit Betroffener und entsprechend stärkeren Gewichtung ihrer Belange in der Netzwerkumgebung überhaupt zur Anwendung kommen soll; andererseits kann das Kriterium für Minder­jährige ab einem Alter von 16 Jahren überhaupt keine Wirkung mehr entfalten, obwohl eine entsprechende Wertung dieser Sachverhalte wegen ähnlich gelagerter Gefährdungssituationen in der Netzwerkumgebung erforderlich scheint. Das Kriterium steht im Netzwerkkontext also nicht nur vor praktischen Anwendungshindernissen, sondern greift auch zumindest teilweise ins Leere.

550

Jasmontaite/Hert, IDPL 2015, 20 (25–26). Zu den allgemeinen Problemen bei der Errichtung von Altersverifikationssystemen im Zusammenhang mit der Verarbeitung der Daten von Minderjährigen: Jasmontaite/Hert, IDPL 2015, 20 (25–26). 552 Die Online-Identifizierung mithilfe des neuen Personalausweises setzt etwa das Vorhandensein der zugehörigen Soft- und Hardware, insbesondere also den Besitz eines entsprechenden Kartenlesegeräts, voraus: Bundesdruckerei, Webseite ‚eID-Service‘. 553 Ähnlich: Heckmann/Paschke, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 8 DS-GVO, im Erscheinen. 554 Dies kritisieren auch Jasmontaite/Hert, IDPL 2015, 20 (24). 551

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

235

c) Art und Weise der Datenverarbeitung aa) Verwendung neuer Technologien ○ Die Art und Weise der Datenverarbeitung kennzeichnet sich im Umfeld sozialer Netzwerke u. a. durch die konsequente Verwendung neuer Technologien:555 Die automatische Verarbeitung der Daten im Umfeld des Netzwerks, ihre zentra­ lisierte Speicherung und zeit- und ortsunabhängige Abrufbarkeit eröffnen umfangreiche Verwendungs- und Verknüpfungsmöglichkeiten556 und ermöglichen eine effiziente Auswertung der Daten557. Daten und Datenverarbeitungsvorgänge sind im sozialen Netzwerk nicht länger einem zweiseitigen Verhältnis zwischen Betroffenem und Datenverarbeiter zuordenbar. Stattdessen existieren zahlreiche Beteiligte, die durch „multipolare“, komplexe Beziehungen zueinander in Verbindung stehen.558 Ein Beispiel für den Einsatz moderner Technologien in der Netzwerkumgebung bildet die Einführung biometrischer Gesichtserkennungsverfahren: Facebook hatte eine Implementierung der neuen Technologie für den europäischen Geschäftsbereich in Aussicht gestellt und war von der bereits begonnenen Umsetzung559 erst nach der Eröffnung eines Verfahrens durch die Hamburgische Datenschutzbehörde abgerückt; Absichten Facebooks, biometrische Verfahren dennoch in Zukunft einzusetzen, bestehen aber wohl noch immer.560 Die besondere Gefährdung liegt bei biometrischen Verfahren einerseits in der Auswertung besonders sensibler Daten oder solcher Daten, die zumindest Rückschlüsse auf sensible Sachverhalte erlauben (Alter, Geschlecht, ethnische Herkunft), andererseits schaffen biometrische Datenbanken ein dauerhaftes Referenzmerkmal, das die eindeutige Wiedererkennung einer Person anhand ihrer körperlichen Merkmale auch über äußerliche Veränderungen wie Bartwuchs oder Alterung hinweg ermöglicht.561 Daran zeigt sich nachhaltig, dass insbesondere die Anbieter sozialer Netzwerke die finanziellen und technischen Mittel besitzen, neuartige Technologien ungeachtet möglicher Risiken und Konsequenzen für die Nutzer großflächig im Netzwerk einzusetzen, und dass entsprechende Zurückhaltung nur dort geübt wird, wo wirtschaftliche Nachteile oder massive Imageschäden drohen.562 Dem Kriterium 555

D. II. 2. a). Jandt/Roßnagel, ZD 2011, 160 (160). 557 Zum Scoring auf der Grundlage von Social Media Daten: Helfrich, ZD 2013, 473. 558 Moos, ITRB 2012, 226 (227). Siehe auch unter D. II. 3. c). 559 Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 512. 560 Salwitzek, Automatische Gesichtserkennung  – Verfahren gegen Facebook eingestellt, MMR-aktuell, 342688; vgl. zu den datenschutzrechtlichen Aspekten biometrischer Verfahren zur Gesichtserkennung im Zusammenhang mit sozialen Netzwerken auch Karg, HFR 2012, 120. 561 Karg, HFR 2012, 120 (123). 562 Spiecker gen. Döhmann, K&R 2012, 717 (723) nennt dies das „Prinzip ‚erst handeln, dann fragen‘“. 556

236

D. Interessenausgleich im Umfeld sozialer Netzwerke

des Einsatzes neuer Technologien und der damit implizierten Wertung der gesteigerten Schutzbedürftigkeit kommt damit erhöhte praktische Relevanz und Bedeutung im Netzwerkumfeld zu. bb) Profiling und Scoring ○ Die Anbieter sozialer Netzwerke zielen auf die Bewertung persönlicher Aspekte zum Zwecke der passgenauen Ausspielung von Werbeanzeigen.563 Mithilfe einer systematischen und umfassenden automatisierten Verarbeitung einschließlich Profiling werden Daten gezielt zur Analyse, Bewertung und Prognose persönlicher Vorlieben und Sachverhalte verarbeitet.564 Die mit den unmittelbar in der Netzwerkoberfläche vorhandenen Daten durchführbaren Verarbeitungen können dabei an sich bereits umfangreich und vielfältig sein,565 und durch die umfangreiche Nutzung und große Beliebtheit566 einzelner Plattformen große und umfassende Datensätze liefern. Eine ganz neue Dimension erreicht die umfassende Datenverarbeitung jedoch, wo Netzwerkanbieter die Daten des sozialen Netzwerks mit den Daten anderer Dienste zu einem „Meta-Profil“ zusammenführen,567 ihre Datenverarbeitungen durch auf externen Seiten eingebundene Elemente wie soziale Plugins568 oder durch anderweitige Verknüpfungen zwischen dem Netzwerkprofil und externen Seiten (z. B. durch den ‚Facebook-Login‘)569 erweitern oder auf die auf Endgeräten gespeicherten Daten von Nutzern (insbesondere Kontaktdateien und Mediendateien im Rahmen der Ausführung von Apps) zugreifen.570 Dies führt aber nicht nur dazu, dass der Nutzer zum Objekt von verhaltensbezogener Werbung wird,571 sondern es wird mithilfe effizienter Analyseverfahren, die sich auf Daten mit Bezug zu verschiedensten Aspekten aller Lebensbereiche des Nutzers beziehen können,572 auch möglich, des Nutzers Eigenschaften, Vorlieben und Verhalten im Rahmen eines nahezu vollständigen Persönlichkeitsabbilds zu ermitteln. Das selektive Anzeigen der durch die umfassende Auswertung durch Algorithmen als besonders vorteilhaft für den Nutzer erkannten Inhalte (das Problem der so-

563

D. II. 1. c) bb); Kremer, RDV 2014, 73 (73) geht so weit, von einer „Dauerüberwachung“ der Nutzer durch die Betreiber zu sprechen. 564 Kein Eigeninteresse der Netzwerkanbieter an den Nutzerdaten erkennen können aber scheinbar Jandt/Roßnagel, ZD 2011, 160 (166). 565 Zur Vielfalt der abgedeckten Themen auch Erd, NVwZ 2011, 19 (19). 566 Vgl. unter D. I. 3. 567 Caspar, DuD 2013, 767 (768). 568 Karg/Fahl, K&R 2011, 453 (454); Kremer, RDV 2014, 73 (73). 569 Dazu Moser-Knierim, ZD 2013, 263. 570 Kremer, RDV 2014, 73 (73). 571 Thode, PinG 2015, 1 (3); Verobjektivierung des Menschen aufgrund verallgemeinernder oder statistischer Zuschreibungen: Spiecker gen. Döhmann, K&R 2012, 717 (721). 572 Zur Bedeutung großer Datensätze und leistungsstarker Analyse- und Prognoseanwendungen im Umfeld sozialer Netzwerke unter D. II. 2. a) dd).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

237

genannten ‚Filter Bubble‘573) kann darüber hinaus die Entscheidungsfreiheit des Nutzers beeinträchtigen574 oder durch eine Ungleichbehandlung von Nutzern aufgrund der durch die umfassende Auswertung über sie gewonnenen Erkenntnisse zu einer Diskriminierung des Nutzers führen.575 Die Problematik der Auswertung und Verknüpfung von Daten vertieft sich zusätzlich, wenn eine Entkoppelung von Daten und ihrem ursprünglichen Kontext im sozialen Netzwerk in einem neuen Zusammenhang zur Verarbeitung inhaltlich verfälschter Informationen führt.576 Dieses Risiko ist bei der massenhaften Entnahme von Daten aus den frei zugänglichen Bereichen der Netzwerkoberfläche oder über Schnittstellen und deren anschließender Verwendung in einem völlig anderen Zusammenhang naturgemäß groß. Ob die Erfassung der Telemediennutzung und die Auswertung der Daten mittels Profiling zu Zwecken der Ausspielung passgenauer Werbung eine Beeinträchtigung mit rechtsfolgenähnlicher Qualität nach Art. Art. 22 Abs. 1 DS-GVO darstellt und damit überhaupt in die Reichweite des gesetzgeberischen Kriteriums und der zugehörigen Wertung gelangen kann, ist indes noch völlig ungeklärt.577 Auch für andere Akteure liegt es nahe, systematische und umfassende Datenverarbeitungsverfahren anzuwenden, um eine zielgenaue Prognose wirtschaftsrelevanter Faktoren aus den im Netzwerk zugänglichen Daten abzuleiten.578 Gerade für Kreditgeber und Versicherer wäre es außerdem wirtschaftlich vorteilhaft, zusätzlich zu massiven Profilingmaßnahmen auch Strategien des Scoring unter Heranziehung der umfangreich im Netzwerk verfügbaren Informationen anzustrengen, um die mit dem Abschluss eines Kredit- oder Versicherungsvertrags verbundenen Risiken zu ermitteln, zu bewerten und über den Vertragsabschluss zu entscheiden. Obwohl derartige Entscheidungen nach Erwgr. 71 wohl regelmäßig eine rechtsfolgenähnliche Qualität entfalten, sind sie zugleich in den meisten 573

Zur Filter Bubble allgemein, insbesondere zur Intransparenz des personalisierten Filterns von Inhalten sowie zum Gefangensein des Individuums in der „Ich-Schleife“: Pariser, Filter Bubble, S. 17–18; 117–144. Eine empirische Auswertung des Nachrichtenkonsumverhaltens von Facebook-Nutzern scheint aber dennoch darauf hinzudeuten, dass eine inhaltliche Ausrichtung des Nachrichtenkonsums deutlich stärker von den Entscheidungen des Individuums als von der Einflussnahme durch Facebooks Algorithmus abhängig ist: Bakshy/Messing/ Adamic, Science 2015, 1130. 574 Thode, PinG 2015, 1 (5). 575 Thode, PinG 2015, 1 (5). 576 Jandt/Roßnagel, MMR 2011, 637 (637). 577 Härting, Datenschutz-Grundverordnung, Rdnr.  597; 646. Kugelmann, DuD 2016, 566 (570), plädiert jedenfalls für eine weite Auslegung und will eine rechtswirkungsähnliche Beeinträchtigung auch dann bereits annehmen, wenn Maßnahmen des Scorings „den Einzelnen in seinen Rechten berühren, deren Ausübung erschweren oder einen wesentlichen Nachteil im Rechtsverkehr erzeugen können“. Dagegen wendet sich Martini, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 22 DS-GVO, Rdnr. 23, mit dem Argument, der Gesetzgeber habe die Direktwerbung und damit auch gängige Angebote personalisierter Inhalte und Werbung in Art. 21 Abs. 2 DS-GVO und ErwGr. 70 DS-GVO als allgemein zulässige Verarbeitungsformen anerkannt, weshalb es widersprüchlich sei, diese als generell unzulässig im Sinne von Art. 22 Abs. 1 DS-GVO zu bewerten; ähnlich auch: Drewes, CR 2016, 721 (725–726). 578 Helfrich, ZD 2013, 473 (473–474); Jandt/Roßnagel, MMR 2011, 637 (637).

238

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fällen unter die vom Gesetzgeber im Rahmen der Anerkenntnis privatautonomer Entscheidungsfreiheit des Datensubjekts legitimierte Bewertung im Kontext mit dem Abschluss von Verträgen einzuordnen. Wenn aber massenhaft aus dem Kontext gerissene Informationen verwendet werden, um nach einem für den Betroffenen kaum nachvollziehbaren Muster (auch wenn „Logik“ und „Tragweite“ derartiger Entscheidungen nach Art. 13 Abs. 2 lit. f DS-GVO offenbart werden müssen, werden Betroffene die zum Einsatz gebrachten Big Data-Anwendungen und die daraus hervorgegangenen Muster, die zu einer Entscheidung geführt haben, kaum wirklich verstehen können; zudem ist noch ungeklärt, ob eine Auskunft über die abstrakte Methodik der Berechnung von Score-Werten von der Auskunftspflicht nach Art. 15 Abs. 1 lit. h DS-GVO überhaupt erfasst ist579) Entscheidungen über den Abschluss von Verträgen zu treffen, die sich auf für das wirtschaftliche, berufliche und soziale Fortkommen relevante Aspekte beziehen, so hat dies eine weitreichende Unanwendbarkeit des Kriteriums bei gleichzeitigem Vorliegen einer der vom Gesetz vorgesehenen zumindest sehr ähnlichen Gefährdungslage zur Folge. Das Kriterium des Profilings und Scorings besitzt im Netzwerkumfeld damit erhöhte praktische Relevanz. Obwohl es ursprünglich mit der Wertung einer besonderen Gefährdung und daher umfangreichen Verboten und zusätzlichen Vorkehrungen belegt ist, greift es im Umfeld sozialer Netzwerke aber – bei gleichzeitigem Vorliegen vergleichbarer Gefährdungslagen  – sowohl hinsichtlich der Verarbeitungsmaßnahmen des Anbieters als auch anderer Akteure häufig ins Leere, weil nicht ausreichend klar ist, wann eine rechtsfolgenähnliche Beeinträchtigung, welche die Wirkung des Kriteriums und der damit verbundenen Wertungen auslöst, im Zusammenhang mit den im Netzwerkumfeld typischerweise zu Werbezwecken praktizierten Profilingmaßnahmen gegeben ist. cc) Verwendung von Tracking-Werkzeugen ○ Tracking-Instrumente, deren Verwendung von der E-PrivacyRL adressiert wird, werden von Netzwerkanbietern, Seitenbetreibern, App- und Spielebetreibern umfangreich eingesetzt. Dies geschieht einerseits, um dem Nutzer die Verwendung von Diensten in der Netzwerkumgebung zu ermöglichen, andererseits jedoch auch, um darüber hinaus Dienste zu optimieren und Nutzerprofile zu erstellen, die Werbezwecken und anderen Interessen dienlich sind. Dabei bedienen sie sich nicht nur herkömmlicher Methoden, wie etwa der Setzung von Cookies beim Besuch der Netzwerkhomepage, sondern kombinieren klassische Trackingwerkzeuge mit der technischen und sozialen Vernetzung580, die sozialen Medien eigen ist: Cookies werden u. a. im Zusammenhang mit Social Plugins eingesetzt, so dass eine Verfolgung des Nutzers nicht mehr nur auf den netzwerkeigenen Seiten, sondern 579 580

Härting, Datenschutz-Grundverordnung, Rdnr. 672. D. II. 3. c).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

239

auf sämtlichen Seiten, in die ein Plugin eingebunden wurde, erfolgen kann.581 Die vom Gesetzgeber erkannte, mit Tracking-Methoden verbundene Risikolage verschärft sich durch diese Zusammenführung der Informationen über verschiedenste Seiten und Angebote hinweg dramatisch, wodurch auch die mit dem Kriterium verbundene Wertung gesteigerte Relevanz erlangt. In Bezug auf die Netzwerkumgebung ergibt sich dabei zudem das spezifische Problem der Abgrenzung zwischen dem für die Anwendung noch strikt erforderlichen und dem darüber hinausgehenden Sammeln von Tracking-Informationen. Das Netzwerk funktioniert in seiner Gesamtheit durch eine enge Verschränkung privater und kommerzieller Tätigkeiten,582 wobei Werbung, etwa als persönliche Empfehlung eines Freundes oder als attraktiver Netzwerkauftritt eines Unternehmens, derart in das Nutzungserlebnis integriert wird, dass sie von Nutzern bereits als wünschenswerter Bestandteil der Dienstleistung selbst verstanden werden könnte. Ob Nutzer also die Anzeige personalisierter Werbung i. S. v. Art. 5 Abs. 3 Satz 2 E-PrivacyRL ausdrücklich wünschen, wenn sie das Netzwerk nutzen und sich dabei dessen bewusst sind, dass das personalisierte Nutzungserlebnis sich über (privat-)nutzergenerierte Inhalte hinaus auch auf kommerzielle Inhalte bezieht, ist durchaus nicht pauschal feststellbar. Mit derselben Argumentation ließe sich auch für eine Anwendung des Kriteriums auf das Angebot externer Webseiten unter Einbindung von Social Plugins und Verwendung der damit verbundenen Tracking-Werkzeuge streiten – ob der Nutzer in diesem Zusammenhang das Angebot des Plugins ausdrücklich wünscht, wird auch hier sehr stark einzelfall- und kontextabhängig sein. Letztliche Rechtssicherheit für beide Seiten kann hier nur die Zwei-Klick-Methode bieten, bei der die Aktivierung des Plugins zunächst eine aktive Handlung des Nutzers erfordert. Festzuhalten bleibt aber, dass in der Netzwerkumgebung wegen der Vermischung und Überschneidung der vielfältigen Interessen Unsicherheit darüber besteht, in welchen Zusammenhängen das Kriterium der Verwendung von Tracking-Werkzeugen Anwendung finden kann, inwieweit also die gesetzgeberischen Abstufungen bei der Bewertung des Nutzer-Trackings im Umfeld sozialer Netzwerke ihre Wirkung entfalten sollen. dd) Datenmenge und Betroffenenzahl ○ Soziale Netzwerke versammeln eine Vielzahl unterschiedlicher Nutzerdaten.583 Dies und die überwältigende Zahl der Nutzer dieser Netzwerke spricht zunächst 581 Zur Umfassenden Verfolgung des Nutzers durch Facebook mithilfe einer Kombination von Social Plugins auf externen Webseiten und dem Einsatz von Cookies etwa: Roosendaal, in: Gutwirth/Leenes/Hert et al. (Hrsg.), European Data Protection, S. 3 (6–11). 582 D. II. 3. c); D. II. 2. b). 583 Jandt/Roßnagel, ZD 2011, 160 (160); Helfrich, ZD 2013, 473 (473); Jürgensmann/Pekrul/Düffer/Meyer/Heuer, DS 2010, 25 (25); Spiecker gen. Döhmann, K&R 2012, 717 (722).

240

D. Interessenausgleich im Umfeld sozialer Netzwerke

dafür, pauschal eine große Masse verarbeiteter Daten und eine große Anzahl Betroffener anzunehmen und dem Kriterium so generell eine gesteigerte praktische Relevanz in der Netzwerkumgebung zuzusprechen. Aus der Perspektive des Netzwerkanbieters, bei dem alle Daten versammelt sind und der die gesamte Hard- und Software des Netzwerks steuert,584 ist das auch jedenfalls zutreffend.585 Bezüglich der übrigen Akteure kann dies aber nur in bestimmten Zusammenhängen gelten: Besonders viele Nutzer und Nutzerdaten sind immer dort betroffen, wo ein Datenverarbeiter mit seinen Aktivitäten auf die Gesamtheit der Nutzer eines Netzwerks oder auf eine ausreichend große Gruppe unter ihnen abzielt. Die Existenz des Netzwerks verursacht abseits der Perspektive des Betreibers also nicht bereits an sich eine Betroffenheit Vieler, trägt aber durch die zentrale Speicherung und Verwaltung der Daten durch den Anbieter,586 eine einfache Veröffentlichungsmöglichkeit für Nutzer unter Benutzung der vom Betreiber zur Verfügung gestellten Netzwerkoberfläche587 sowie einfache Zugriffsmöglichkeiten über vom Betreiber bereitgestellte standardisierte Dienste und Schnittstellen588 wesentlich dazu bei, dass massenhafte Datenverarbeitungen unter Einbeziehung einer großen Anzahl Betroffener technisch möglich und wirtschaftlich rentabel sind. Hinzu kommt noch, dass die Daten, sofern sie absichtlich oder unabsichtlich in den öffentlich zugänglichen Bereich der Netzwerkoberfläche gelangt sind, einer breiten Vielzahl von Akteuren über räumliche Grenzen hinweg und ohne nennenswerten Zugriffsaufwand zugänglich werden. Die Akteure können Daten dann aber nicht nur abrufen, sondern auch ihrerseits miteinander vernetzen, speichern, vervielfältigen und über die Netzwerkoberfläche oder anderweitig verbreiten. Soziale Netzwerke weisen damit ein besonders großes Datenzugriffs- und Verbreitungspotenzial auf und es besteht auch zumindest eine Tendenz zur Verarbeitung besonders großer Datenmengen besonders großer Gruppen Betroffener durch die Akteure, wodurch diesen Kriterien und den von der Rechtsprechung und Gesetzgebung damit verknüpften Wertungen (einer jeweiligen Gewichtsverstärkung der Betroffenenbelange)  besonders große Bedeutung im Netzwerkumfeld zukommt. ee) Direktwerbung ○ Das Konzept sozialer Netzwerke basiert darauf, die personenbezogenen Daten der Nutzer wirtschaftlich zu verwerten.589 Die von den Betreibern sozialer Netzwerke zur Ertragsgewinnung durchgeführten Formen des Behavioral Targeting 584

D. II. 3. a). So auch Spiecker gen. Döhmann, K&R 2012, 717 (722). 586 D. II. 3. b). 587 D. II. 3. c). 588 D. II. 2. a) aa). 589 Spiecker gen. Döhmann, K&R 2012, 717 (724). 585

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

241

im Rahmen personalisierter Werbeanzeigen, von deren Möglichkeiten vor allem auch werbetreibende Unternehmen profitieren, sind eine Form der Direktwerbung im Sinne der DS-GVO.590 Sie stellt die Haupteinnahmequelle der Anbieter sozialer Netzwerke dar591 und wird dementsprechend in einem enormen Ausmaß betrieben – Nutzerdaten werden über Cookies, Social Plugins und ähnliche Werkzeuge über die Plattformgrenzen hinaus akquiriert und betreffen dem Zusammentreffen verschiedenster Lebensbereiche im sozialen Netzwerk592 entsprechend unterschiedlichste Aspekte des Nutzerverhaltens und seiner Vorlieben. Es findet eine systematische, umfangreiche Beobachtung der Nutzer und ihrer Daten statt, wobei die beim Behavioral Targeting eingesetzten Daten mitunter den sensiblen Kategorien zuordenbar sein können.593 Für den Nutzer ist dabei das Zustandekommen bestimmter, mit ihm in Verbindung gebrachter Vorlieben oder Eigenschaften, die dem individuellen Zuschnitt der ihm angezeigten Werbung dienen, weitgehend undurchsichtig.594 Damit erlangen das Kriterium der Direktwerbung und die zugehörigen Wertungen (Zwecke der Direktwerbung sind als legitime Interessen anerkannt, derartige Datenverarbeitungen können gleichzeitig aber wegen ihrer besonderen Persönlichkeitsrelevanz voraussetzungslos durch Widerspruch des Nutzers unterbunden werden) bei der Beurteilung des Interessengefüges gesteigerte Relevanz. Zugleich steht jedoch die voraussetzungslose Widerspruchsmöglichkeit gegen Direktwerbung mit wesentlichen Zügen der relevanten Geschäftsmodelle in Konflikt: Die beteiligten Akteure sind für die Ertragsgewinnung im Rahmen werbefinanzierter Dienste auf die Preisgabe und Gestattung der Auswertung der Nutzerdaten angewiesen, für welche das kostenlose Angebot der Netzwerkdienste, Apps und Spiele einerseits als Voraussetzung und andererseits als Gegenleistung fungiert. Die Anwendung des Kriteriums der Direktwerbung und der vom Verordnungsgeber damit verbundenen Wertung kann demnach die tatsächlich herrschende Interessenlage in diesen für den Netzwerkkontext typischen Konstellatio­ nen nicht vollständig erfassen und somit auch nicht umfassend zum Ausgleich bringen.

590 In der englischen Sprachversion der DS-GVO wird der Begriff „direct marketing“ verwendet; auf diesen bezieht sich auch Zuiderveen Borgesius, IDPL 2015, 163 (169); mit Rückbezug auf die Ausführungen der Art. 29-Datenschutzgruppe, WP 174. 591 D. I. 4. 592 D. II. 2. d). 593 Zur besonders kritischen Situation bei der Verarbeitung sensibler Datenkategorien im Rahmen des Behavioral Targeting: Art. 29-Datenschutzgruppe, WP 171, S. 24–25. 594 Obwohl der Vollständigkeit halber nicht unerwähnt bleiben darf, dass es mitunter Bemühungen gibt, den Nutzer in die Personalisierung von Werbeanzeigen einzubeziehen (Facebook, Webseite ‚Über Werbung auf Facebook‘), bleibt das Gesamtkonzept des Behavioral­ Targeting für den Nutzer doch unüberschaubar und unkontrollierbar.

242

D. Interessenausgleich im Umfeld sozialer Netzwerke

ff) Datenverarbeitungsintensive Kerntätigkeit ○ Durch die zentrale Stellung personalisierter Werbung als wesentlicher Pfeiler des Geschäftsmodells und Hauptertragsquelle595 sozialer Netzwerkbetreiber rückt die umfangreiche Verarbeitung teilweise sensibler personenbezogener Daten und die damit einhergehende umfangreiche, regelmäßige und systematische Überwachung des Verhaltens und der Vorlieben der Nutzer in den Mittelpunkt der Tätigkeit des Netzwerkanbieters. Gleiches kann auch für die Betreiber von Seiten oder Anwendungen im Rahmen der Netzwerkplattform gelten, wenn ihr Geschäftsmodell im Wesentlichen auf die Auswertung der Nutzerdaten und eine Kommerzialisierung der gewonnenen Ergebnisse zielt (z. B. bei werbefinanzierten Apps oder Spielen). Das Kriterium der datenverarbeitungsintensiven Kerntätigkeit erlangt auf diese Weise im Kontext sozialer Online-Netzwerke eine gesteigerte praktische Relevanz. gg) Drittlandübermittlungen ○ Interessen und Datenverarbeitungsvorgänge sind in Zeiten globalisierter Techniken des Cloud Computings596 nicht mehr an räumliche Grenzen gebunden.597 Internetkonzerne und ihre Dienstleister betreiben Niederlassungen und Serverstandorte ohne Rücksicht auf nationale Grenzen dort, wo die günstigsten klimatischen und steuerrechtlichen Bedingungen herrschen und transferieren Daten zwischen diesen Standorten mit geringem Aufwand nach Bedarf. Weltumspannende Konzerne, insbesondere auf Seiten der Anbieter,598 die weltweit technische Dienstleister in Anspruch nehmen oder sogar selbst Server-Standorte betreiben,599 verursachen daher eine umfangreiche Übermittlung von Daten in Drittländer. Die Anbieter sozialer Netzwerke sind dabei mit ihren Hauptstandorten häufig in den USA angesiedelt;600 Standorte in Europa betreiben sie zwar, diese sind aber derart in die Konzernstruktur eingebunden, dass sie vollständig im Besitz einer amerikanischen Muttergesellschaft sind.601 Dem Kriterium der Drittlandübermittlung kommt so einerseits eine besondere Relevanz zu. 595

D. I. 4. D. II. 2. a) cc). 597 D. II. 3. c). 598 Kremer, RDV 2014, 73 (73–74). 599 Z. B. betreibt Facebook einen eigenen Serverstandort in Luleå (Schweden): Windeck, Facebook nimmt schwedisches Rechenzentrum in Betrieb, Artikel v. 12.06.2013, iX; Harding, The node pole, Artikel v. 25.09.2015, The Guardian [Online]. 600 Dort sitzen etwa die Facebook Inc. (unter der Anschrift: 1601 Willow Road, Menlo Park, CA 94025) und die Twitter Inc. (unter der Anschrift: 1355 Market Street, Suite 900, San Francisco, CA 94103). 601 So sitzt etwa eine Tochtergesellschaft der Facebook Inc. in Irland (Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2), mit der wiederum eine deutsche Niederlassung verknüpft ist (Facebook Germany GmbH, Caffamacherreihe 7, Brahmsquartier, 20355 Hamburg). 596

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

243

Andererseits bedingen gerade die innerhalb der für die Netzwerkarchitektur verwendeten Cloud-Strukturen notwendigen vielfachen Übermittlungen und Spiegelungen von Daten sowie deren komplexe Vernetzung,602 dass Drittlandübermittlungen im Einzelnen nicht oder nur unter erheblichem Aufwand nachvollzogen werden können. Mithin kann die Anwendung dieses Kriteriums auf Datenverarbeitungen in Netzwerkumgebungen praktischen Hemmnissen unterliegen und nur eingeschränkt in der von Gesetzgebung und Rechtsprechung vorgesehenen Weise zum Interessenausgleich beitragen. hh) Auftragsdatenverarbeitung ○ Gerade große Netzwerkanbieter machen sich umfangreich Auftragsdatenverarbeitungsverhältnisse mit verschiedensten Dienstleistern zunutze, um eine ausreichende technische Infrastruktur zur Verfügung zu haben oder verschiedenartige Dienste und damit zusammenhängende Datenverarbeitungen auszulagern.603 Soweit die übrigen Akteure nicht auf den Netzwerkanbieter selbst als Auftragsdatenverarbeiter zurückgreifen (denkbar wäre eine Auftragsdatenverarbeitungsbeziehung beispielsweise zwischen den Betreibern von Anwendungen innerhalb der Netzwerkplattform und dem Betreiber der Plattform selbst hinsichtlich der für die Funktion der Anwendung erforderlichen an den Betreiber ausgelagerten Verarbeitungen), ist auch für sie ein Rückgriff auf andere Auftragsverarbeiter möglich (z. B. durch den Rückgriff auf einen externen Analysedienstleister zum Zwecke der Auswertung von Daten auf der Seite eines Unternehmens im sozialen Netzwerk). Soweit dabei die klassischen Anforderungen an das Auftragsdatenverarbeitungsverhältnis, insbesondere die ausdrückliche Regelung dieses Verhältnisses in einem Vertrag und das Vorhandensein einer umfassenden Weisungsbefugnis des Auftraggebers gegenüber dem Auftragnehmer, erfüllt werden, können die mit dem Kriterium verknüpften Wertungen (besondere Gefährdung der Betroffenenrechte, aber auch anerkannte Privilegierung des Auftragnehmers) auch im Netzwerkumfeld grundsätzlich angemessen berücksichtigt werden. Durch das vielfältige, meist lediglich informelle oder rein faktische, komplex verwobene Zusammenwirken der Akteure604 kommt es jedoch im Netzwerkumfeld häufig zu Verhältnissen, die der Auftragsdatenverarbeitung hinsichtlich der Gefährdungslage zwar ähneln, die aber zumindest nicht im Sinne des gesetz 602

D. II. 2. a) cc) und D. II. 3. c). Facebook informiert bspw.: „Wir geben Informationen an Anbieter, Dienstleister und sonstige Partner weiter, die unsere Geschäftstätigkeit unterstützen, wie beispielsweise Dienstleistungen, die eine technische Infrastruktur zur Verfügung stellen, analysieren, wie unsere Dienste genutzt werden, die Wirksamkeit von Werbeanzeigen und Dienstleistungen messen, eine Kundenbetreuung anbieten, Zahlungen ermöglichen oder wissenschaftliche Studien oder Umfragen durchführen.“, Facebook, Datenrichtlinie v. 29.09.2016, Nr. III, siebter Unterpunkt. 604 D. II. 2. b); D. II. 3. c). 603

244

D. Interessenausgleich im Umfeld sozialer Netzwerke

lichen Kriteriums als solche identifizierbar sind.605 So verarbeitet beispielsweise der Netzwerkanbieter Daten zur Bereitstellung von Analysediensten im Interesse und auf Aufforderung des Betreibers einer kommerziellen Seite im Netzwerk, zwischen ihnen besteht aber kein explizites Verhältnis der Weisungsgebundenheit hinsichtlich dieser Datenverarbeitungen.606 Weder dem Interesse der Nutzer an einem umfangreicheren Schutz durch ausdrückliche Vertragsbestimmungen und Weisungsbefugnisse, noch dem Interesse der beteiligten Akteure an einer entsprechenden Privilegierung bei der Übernahme lediglich untergeordneter oder an den Anweisungen anderer orientierter Verarbeitungen kann dann ausreichend entsprochen werden. Das Kriterium und die mit ihm verknüpften Wertungen können dementsprechend die vom Verordnungsgeber vorgesehenen Funktionen für den Interessenausgleich nicht umfassend erfüllen, sondern greifen stattdessen in Sachverhalten mit im Wesentlichen vergleichbaren Gefährdungslagen dennoch häufig ins Leere. d) Verhältnis zwischen Betroffenen und Datenverarbeitern aa) Ausübung der informationellen Selbstbestimmung ○ Die besondere Relevanz von Selbstbestimmungselementen im Umfeld sozialer Netzwerke ergibt sich schon aus der Tatsache, dass sämtliche große Netzwerke bereits bei der Registrierung dem Nutzer die Zustimmung zu einer die Datenverarbeitung regelnden Datenschutzerklärung abverlangen.607 Diese wird auch aus Sicht des Nutzers häufig als ein besonders wichtiges Instrument der Bestimmung über die Datenverarbeitung im Zusammenhang mit sozialen Netzwerken beschrieben.608 Gleichzeitig werden aber die Einwilligungserklärungen der Netzwerkanbieter für

605 Allgemein zur Problematik der Rollenzuordnung zwischen Verantwortlichen und Auftragnehmern in komplexen technologischen Zusammenhängen, mit dem Vorschlag einer teilweisen Fokussierung des Regelungsregimes auf Auftragnehmer: Blume, IDPL 2015, 292 (292–293; 295–297). 606 Um die Auftragsdatenverarbeitungsqualität der Verwendung des Dienstes ‚Fanpages‘ durch Unternehmen wurde vor deutschen Gerichten ein langjähriger Streit ausgetragen. Zuletzt urteilte das OVG Schleswig, Urt. v. 04.09.2014 – 4 LB 20/13, ZD 2014, 643 (644), es handle sich (entgegen der Auffassung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein, das durch Anordnungen gegen Fanpage-Betreiber im Jahr 2011 den Rechtsstreit angestoßen hatte) nicht um ein Auftragsdatenverarbeitungsverhältnis. Das BVerwG, Beschl. v. 25.02.2016 – 1 C 28/14, BeckRS 2016, 44371, hat entsprechende Fragen u. a. zur Auslegung von Art. 2 lit. d DS-RL nun dem EuGH zur Vorabentscheidung vorgelegt. Die Argumentation des EuGH in dieser Sache wird aller Voraussicht nach auf Art. 4 Abs. 7 DS-GVO übertragbar sein. 607 Für einen Überblick über zahlreiche Netzwerkdienstleister und ihre Einwilligungserklärungen vgl. die Auflistung der Untersuchungsgegenstände bei Rogosch/Hohl, Data Protection and Facebook, S. 3–4. 608 Caspar, DuD 2013, 767 (767).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

245

besonders komplex und wenig transparent gehalten.609 Die vom Verordnungsgeber aufgestellten Voraussetzungen der Freiwilligkeit, Eindeutigkeit, Informiertheit und Einzelfallbezogenheit,610 die die autonome Entscheidungsfreiheit des Betroffenen sicherstellen sollen, erlangen im Umfeld sozialer Netzwerke auf diese Weise über die allgemeinen Konflikte im Zusammenhang mit der datenschutzrechtlichen Einwilligung611 hinaus ganz herausragende Bedeutung. Eine umfassende Information des Nutzers ist aufgrund des erläuterten Geschäfts­ konzepts des Netzwerkbetreibers und weil eine detailreiche Beschreibung der vielfältigen Datenverarbeitungen auf die Nutzer abschreckend612 wirken könnte, weder umfassend möglich613 noch erwünscht614: Soziale Online-Netzwerke schöpfen Wert, indem sie ihren Nutzern die Netzwerkoberfläche inklusive verschiedens 609 Caspar, DuD 2013, 767 (768); speziell zum Beispiel von Facebook auch: Pollmann/Kipker, DuD 2016, 378 (378). 610 C. III. 1. d) aa). 611 Beispielsweise die Frage nach dem rechtsgeschäftlichen Charakter der Einwilligungserklärung (dazu z. B. Spindler/Nink, in: Spindler/Schuster [Hrsg.], Recht der elektronischen Medien, § 4a BDSG, Rdnr. 3; Helfrich, in: Hoeren/Sieber/Holznagel [Hrsg.], Hdb. Multimedia-Recht, Teil 16.1: Einführung und Grundbegriffe des Datenschutzes, Rdnr. 56; Zscherpe, MMR 2004, 723 [724]) und daran anknüpfend Probleme bei der Einwilligung Minder­jähriger (vgl. z. B. Spindler/Nink, in: Spindler/Schuster [Hrsg.], Recht der elektronischen Medien, § 4a  BDSG, Rdnr.  3–4; Zscherpe, MMR 2004, 723 [724]; speziell für soziale Netzwerke auch Piltz, Soziale Netzwerke im Internet, S. 143–146) und bei der Einwilligung durch Vertreter (z. B. Spindler/Nink, in: Spindler/Schuster [Hrsg.], Recht der elektronischen Medien, § 4a  BDSG, Rdnr.  5; Zscherpe, MMR 2004, 723 [725–726]), Freiwilligkeit der Einwilligung, insbesondere im Arbeitsverhältnis (dazu u. a. Riesenhuber, RdA 2011, 257 [261]; Brink/ Schmidt, MMR 2010, 592 [593]; Thüsing/Traut, in: Thüsing [Hrsg.], Beschäftigtendatenschutz, § 5 Die Einwilligung des Arbeitnehmers, Rdnr. 11; Schaar, MMR 2001, 644 [644]; Tinnefeld/Petri/Brink, MMR 2010, 727 [729]; Zscherpe, MMR 2004, 723 [727]; Düssel­ dorfer Kreis, Datenschutzrechtliche Aspekte des Mitarbeiter-Screenings in international tätigen Unternehmen), formale Ausgestaltung nach ‚Opt-in‘- oder ‚Opt-out‘-Prinzip (dazu insbesondere BGH, Urt. v. 16.07.2008  – VIII ZR 348/06, BGHZ, 177, 253 ff.; BGH, Urt. v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 ff.; ausführlich auch bei Voigt, DuD 2008, 780; Buchner, DuD 2010, 39 [42]; Hanloser, CR 2008, 713), Beurteilung von Einwilligungserklärungen nach AGB-Recht (jedenfalls praktiziert durch die Rechtsprechung, vgl. nur BGH, Urt. v. 16.07.2008 – VIII ZR 348/06, BGHZ, 177, 253 ff.; BGH, Urt. v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 [865]; KG Berlin, Urt. v. 24.01.2014 – 5 U 42/12, ZD 2014, 412 [417]; LG Berlin, Urt. v. 30.04.2013 – 15 O 92/12, NJW 2013, 2605 [2606–2607]; LG Hamburg, Urt. v. 07.08.2009 – 324 O 650/08, BeckRS 2009, 23812; differenzierend aber Nietsch, CR 2014, 272 [274]), etc. 612 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 90. So auch (im Zusammenhang mit Einwilligungen im Bereich Big Data): Hackenberg, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. Multimedia-Recht, Teil 16.7 Big Data, Rdnr. 41. 613 Dagegen beurteilt Härting, CR 2011, 169 (174) die Informationstexte großer Internet­ konzerne positiv, stellt sogar fest, die angebotenen Informationen „gehen […] weit über das Mindestmaß hinaus“, das die Datenschutzgesetze fordern. 614 So auch Heckmann, in: Jansen/Schröter/Stehr (Hrsg.), Fragile Stabilität – stabile Fragilität, S. 151 (156–157); Heckmann, in: Hruschka/Joerden (Hrsg.), Recht und Ethik im Internet, S. 17 (26).

246

D. Interessenausgleich im Umfeld sozialer Netzwerke

ter Funktionen anbieten und erzeugen Ertrag, indem sie die Netzwerkoberfläche als Werbeplattform verwenden und die über die Nutzer gewonnenen Erkenntnisse für effektivere Werbung auswerten.615 Bei diesem Konzept der umfassenden Datenverarbeitung ist eine detaillierte Aufklärung über Umfang und Ablauf von Datenverarbeitungsvorgängen schon deshalb nicht vorteilhaft, weil sie die Nutzer des Netzwerks abschrecken616 oder die einfache Bedienbarkeit der Nutzeroberfläche beeinträchtigen617 könnte. Außerdem handelt es sich nicht selten um innovative und neuartige Verfahren der Auswertung, Kombination und Verwendung von Daten,618 deren Kenntnis einen Vorteil gegenüber Konkurrenten auf dem Markt darstellt und die unter Umständen sogar zu den Geschäftsgeheimnissen619 eines Netzwerkanbieters gehören. Gleichzeitig haben auch Nutzer häufig schon aus Bequemlichkeit gar kein Interesse daran, die komplizierten Details einer Verarbeitung ihrer Daten zu verstehen.620 Selbst bei entsprechendem Interesse fehlt dem Nutzer in der Regel jedoch das technische und rechtliche Verständnis, das nötig wäre, um die Mittel und Zwecke der umfangreichen Datenverarbeitungsaktivitäten des Anbieters zu verstehen.621 Der Wiedergabe der Komplexität und Vielfalt der Daten, Datenverarbeitungsprozesse und damit verfolgten Zwecke in 615 Dazu unter D. I. 4. Das ohnehin bereits vorhandene Datengefährdungspotenzial im Internet (vgl. dazu Deutscher Bundestag, BT-Drs. 13/7385, S. 22; gleicher Ansicht auch mit Bezug zur Gesetzesbegründung ist Munz, in: Westphalen/Thüsing [Hrsg.], Vertragsrecht und AGB, Datenschutzklauseln, Rdnr. 64) wird durch dieses Geschäftskonzept noch verstärkt. 616 Dazu auch Hornung, in: Hornung/Müller-Terpitz [Hrsg.], Rechtshandbuch Social Media, S. 79 (107). Dabei würde das Spannungsfeld des Austausches personenbezogener Daten gegen (Online-)Dienstleistungen eine exakte Information des Nutzers umso nötiger machen. Zur Problematik allgemein und der besonderen Bedeutung der freiwilligen Einwilligung in diesem Zusammenhang bei Buchner, DuD 2010, 39 (39–40). Davon abweichend geht Ambs, in: Erbs/Kohlhaas/Ambs (Hrsg.), Strafrechtliche Nebengesetze, Abschnitt D 25, § 4a BDSG, Rdnr. 9, davon aus, dass eine ausführliche Information unterbleiben kann, wenn der Betroffene „von sich aus seine Daten zur Verfügung stellt und ausdrücklich oder konkludent seine Einwilligung für eine bestimmte Verwendung erklärt“. Diese Ausnahme kann aber für soziale Netzwerke nicht greifen: Zwar stellt der Nutzer einen Teil seiner Daten (Profildaten und Daten aus Interaktion) aus eigenem Antrieb zur Verfügung, dabei hat er jedoch in allererster Linie die Nutzung des Netzwerkdienstes im Auge, ohne zu bedenken, dass im Hintergrund seine Daten für völlig andere Zwecke genutzt werden. Entsprechend erklärt er mit dem aktiven Hochladen seiner Daten nicht konkludent, dass er mit der Verwendung durch den Netzwerkbetreiber für die von ihm zur Ertragsgewinnung vorgesehenen Zwecke einverstanden sei. 617 Allgemein in Bezug auf die einfache Handhabung von Funktionen im Internet: Piltz, Soziale Netzwerke im Internet, S. 118. 618 Zu den technologischen Faktoren unter D. II. 2. a). 619 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 90. 620 Heckmann, in: Jansen/Schröter/Stehr (Hrsg.), Fragile Stabilität – stabile Fragilität, S. 151 (156–157); Heckmann, K&R 2011, 1 (4); Heckmann, in: Hruschka/Joerden (Hrsg.), Recht und Ethik im Internet, S. 17 (26); Roßnagel, DuD 2016, 561 (563). Konkret in Zahlen übersetzt offenbart sich, dass nur etwa ein Fünftel der Nutzer Datenschutzerklärungen oder Einwilligungstexte im Online-Bereich tatsächlich vollständig liest: Europäische Kommission, ­Special Eurobarometer 431, S. 84. 621 D. II. 3. b). Ähnlich: Heckmann, NJW 2012, 2631 (2631).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

247

einem zugleich übersichtlichen und verständlichen Text sind überdies auch sprachliche Grenzen gesetzt.622 Das Ergebnis sind Formulierungen, die zu weit greifen, ungenau,623 unvollständig, zu lang und unübersichtlich624 oder schlicht nicht nachvollziehbar und damit datenschutzrechtlich625, AGB-rechtlich626 und wettbewerbsrechtlich627 angreifbar sind. Nur wenn der Nutzer aber umfassend über den Verarbeitungsvorgang informiert ist und diese Informationen auch versteht, kann er über seine Daten auch im Sinne eines Selbstbestimmungsaktes disponieren.628 Unklarheiten bestehen aber schon bei der Frage, welche der zwischen dem Nutzer und anderen Akteuren getroffenen Vereinbarungen datenschutzrechtliche Einwilligungserklärungen oder zugehörige Informationstexte darstellen können und 622 Sollte ein Anbieter dennoch die gesetzlichen Anforderungen erfüllen wollen, so sähe er sich wegen der Vielfalt der im sozialen Netzwerk anfallenden Daten und der von ihm vorgenommen Verarbeitungen höchstwahrscheinlich damit konfrontiert, dass ein exakt formulierter Einwilligungstext und intensive Informationen in Umfang und Komplexität den Verständnisrahmen des durchschnittlichen Nutzers sprengen würden, vgl. Spiecker gen. Döhmann, K&R 2012, 717 (719). Neben der Verständlichkeit muss auch zusätzlich eine Rückbezüglichkeit auf die rechtlichen Vorgaben gewahrt bleiben, was eine das Verständnis zusätzlich erschwerende (dazu: Heckmann, K&R 2011, 1 [4]; zu den sprachlichen Anforderungen im Allgemeinen: Heckmann/Paschke, in: Ehmann/Selmayr [Hrsg.], DS-GVO, Art. 12 DS-GVO, im Erscheinen) Verwendung juristischer Fachsprache bedingt. In einer im Auftrag der Europäischen Kommission durchgeführten Studie offenbarte sich konkret, dass 67 Prozent der Befragten Datenschutzerklärungen im Internet allgemein für zu lang und 38 Prozent sie für zu kompliziert hielten: Europäische Kommission, Special Eurobarometer 431, S. 87. 623 Dies bemängelt speziell für Facebooks Informationstexte Achtruth, Der rechtliche Schutz bei der Nutzung von Social Networks, S.  159–160. Ebenfalls erkannt hat die mangelnde Einzelfallbezogenheit bei Einwilligungserklärungen im Umfeld von sozialen Netz­ werken die Art. 29-Datenschutzgruppe, WP 187, S. 22. 624 Piltz, Soziale Netzwerke im Internet, S. 118. 625 Datenschutzrechtswidrige, insbesondere zu pauschale Klauseln sind unwirksam, vgl. Helfrich, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. Multimedia-Recht, Teil 16.1: Einführung und Grundbegriffe des Datenschutzes, Rdnr.  43; Polenz, in: Kilian/Heussen (Hrsg.), Computerrechts-Hdb, Teil 13: Datenschutz, Materielles allgemeines Datenschutzrecht, Rdnr. 55; Ambs, in: Erbs/Kohlhaas/Ambs (Hrsg.), Strafrechtliche Nebengesetze, Abschnitt D 25, § 4a BDSG, Rdnr. 6; 8. 626 Die Einordnung von Einwilligungserklärungen bzw. Datenschutzklauseln als AGB war unter der DS-RL in der Literatur umstritten: dafür z. B. Kremer, RDV 2014, 73 (82); Schröder, ZD 2013, 453 (454); Ziebarth, ZD 2013, 375 (377). Dagegen aber zumindest für Klauseln mit rein informatorischem Gehalt: Nietsch, CR 2014, 272 (274). Dennoch misst die Rechtsprechung solche Klauseln regelmäßig an den Anforderungen der §§ 305 ff. BGB, vgl. KG Berlin, Urt. v. 24.01.2014 – 5 U 42/12, ZD 2014, 412 (417); LG Berlin, Urt. v. 30.04.2013 – 15 O 92/12, NJW 2013, 2605 (2606–2607); LG Hamburg, Urt. v. 07.08.2009 – 324 O 650/08, BeckRS 2009, 23812; BGH, Urt. v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 (865); BGH, Urt. v. 16.07.2008 – VIII ZR 348/06, BGHZ, 177, 253 (259). Auf Wirksamkeit u. a. nach den Anforderungen der §§ 305 ff. BGB prüft die Klauseln mehrerer sozialer Netzwerke Piltz, Soziale Netzwerke im Internet, S. 147–167. Die DS-GVO stellt die Verknüpfung mit AGB-Recht durch einen Verweis auf die RL 93/13/EWG in Erwgr. 42 DS-GVO unzweideutig her. 627 Zur wettbewerbsrechtlichen Relevanz von Datenverstößen beispielsweise das LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15, MMR 2016, 328 ff. 628 Heckmann, in: Leible (Hrsg.), Der Schutz der Persönlichkeit im Internet, S. 17 (27).

248

D. Interessenausgleich im Umfeld sozialer Netzwerke

sollen. Erteilt wird die Einwilligung regelmäßig im Rahmen des Registrierungsprozesses, durch Aktivieren einer Schaltfläche und/oder Setzen eines Häkchens in Verbindung mit einem Text, der die eigentliche Erklärung beinhaltet (z. B. „Ich bin einverstanden mit …“ oder „Ich stimme … zu“).629 Verwiesen wird in dieser Erklärung meist per Hyperlink sowohl auf die Nutzungsbedingungen als auch auf die Datenschutzerklärung des sozialen Netzwerks,630 wobei die Nutzungsbedingungen sich auf die Datenschutzerklärung beziehen631 und gleichermaßen Ausführungen zur Datenverarbeitung enthalten können wie die separate Datenschutzerklärung selbst.632 Häufig ist aber nicht erkennbar, ob die AGB und/oder sogenannten ‚Datenschutzerklärungen‘ oder ‚Datenschutz-Richtlinien‘ der Anbieter nur in Erfüllung der Informationspflicht aus Art. 13 f. DS-GVO beschreiben, welche Daten der Anbieter erlangt und wie er mit ihnen im Rahmen einschlägiger gesetzlicher Erlaubnisse verfährt  – über mehrere Absätze oder gar Seiten hinweg scheinen sie regelmäßig überhaupt keinen Erklärungsgehalt dahingehend zu haben, dass der Nutzer mit diesen Vorgängen einverstanden sei633 – oder darüber hinaus auch einen Einwilligungsgehalt besitzen sollen. Noch unüberschaubarer wird die Situation, wenn in der Datenschutzerklärung auf weitere, externe Dokumente verwiesen wird,634 die dem Nutzer dazu dienen sollen, sich zu informieren, um „fundierte Entscheidungen“635 treffen zu können, oder wenn nicht einmal mehr dem 629

Vgl. z. B. die Eingabemasken bei Facebook, Webseite ‚Registrierung‘, hier allerdings nur mit zustimmender Erklärung bezüglich der AGB, und zur XING, Webseite ‚Registrierung‘. 630 Sowohl XING als auch Facebook nutzen diese Gestaltungsweise, vgl. Facebook, Webseite ‚Registrierung‘; XING, Webseite ‚Registrierung‘. 631 Facebook, Nutzungsbedingungen v. 30.01.2015, Nr. 1; zu dieser Gestaltungsweise auch Härting, CR 2011, 169 (174); Achtruth, Der rechtliche Schutz bei der Nutzung von Social­ Networks, S. 144. Nicht so aber bei XING, Nutzungsbedingungen v. 07.03.2016, A.10. 632 Kritisch zur Vielzahl der Vertrags- und Informationstexte bei Facebook: Schwartmann, RDV 2015, 1 (1). 633 Ein diesbezügliches Defizit in der Unterscheidbarkeit bemängelt auch Härting, CR 2011, 169 (174). Einer Ansicht nach sollen deklaratorisch eingeholte Einwilligungserklärungen unwirksam sein, um zu vermeiden, dass dem Betroffenen in Wahrheit nicht bestehende Entscheidungsmöglichkeiten vorgespiegelt werden; dazu kritisch mit Blick auf die ohnehin bestehenden Informationspflichten des Datenverarbeiters: Riesenhuber, RdA 2011, 257 (260–261). 634 So verweisen die Nutzungsbedingungen von Facebook per Hyperlink u. a. auf Seiten über die Facebook-Grund­­­­sätze und zu den Werberichtlinien, während die Datenverwendungsrichtlinie u. a. auf Seiten zum Produktspektrum, zur Werbung auf Facebook und auf Hilfeseiten („erfahre mehr“) weiterleitet, vgl. Facebook, Datenrichtlinie v. 29.09.2016; Facebook, Nutzungsbedingungen v. 30.01.2015. Positiv ist eine Aufspaltung der Dokumente freilich zu bewerten, wenn es sich um Verweise auf AGB oder Datenschutzbestimmungen handelt, die auf einen gesonderten oder zusätzlichen Dienst des sozialen Netzwerks zugeschnitten sind und deren Geltung für den speziellen Bereich ausdrücklich in den allgemeinen Regelungen festgehalten ist, so geschehen in der Einleitung vor Nr. 1 bei XING, Datenschutzerklärung. Menzel, RDV 2008, 400 (408), befürwortet eine Aufspaltung von Einwilligungs- und verschiedenen Informationstexten dagegen sogar ausdrücklich, um das Spannungsverhältnis zwischen Übersichtlichkeit/Verständlichkeit und Ausführlichkeit/Tiefe der Informationen zu lösen. 635 Facebook, Nutzungsbedingungen v. 30.01.2015, Nr. 1.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

249

Registrierungsprozess ein zustimmender Erklärungsgehalt bezüglich der Datenschutzerklärung zu entnehmen ist636. Ein Konflikt mit gesetzlichen Vorgaben im Zusammenhang mit dem Kriterium der Ausübung der Selbstbestimmung kann sich auch dadurch ergeben, dass Anbieter oder andere Akteure eine Registrierung bei dem sozialen Netzwerk nur zulassen, sofern der Nutzer die Datenschutzerklärung akzeptiert.637 Damit ist der Vertragsschluss unmittelbar abhängig von der Einwilligung des Nutzers. Das Verbot einer solchen Koppelung ergab sich bereits nach der alten Rechtslage aus § 28 Abs. 3b BDSG, soweit sich die Einwilligung auf die Nutzung von Daten für Werbung und Adresshandel bezog und der Nutzer keinen Zugang zu gleichwertigen vertraglichen Leistungen erhalten konnte.638 Daneben ergab sich ein allgemeines, wenn auch nicht gleichermaßen strenges639 Koppelungsverbot auch implizit aus dem Gebot der Freiwilligkeit des § 4a Abs. 1 Satz 1 BDSG, wenn der Betroffene aus einem tatsächlichen oder rechtlichen Grund gezwungen war, eine Einwilligung abzugeben.640 Die DS-GVO fordert nun noch deutlicher und diffe 636

Während der Registrierung bestätigt der Nutzer bei Facebook lediglich, die Datenschutzbestimmungen gelesen zu haben: Facebook, Webseite ‚Registrierung‘; dazu Piltz, Soziale Netzwerke im Internet, S. 138. Die AGB von Facebook, denen der Nutzer bei der Registrierung zustimmt, beanspruchen zugleich für sich, die „gesamte Vereinbarung“ zwischen den Parteien in Bezug auf Facebook zu sein, was den Datenschutzbestimmungen den Erklärungsgehalt insgesamt abzusprechen scheint, vgl. Facebook, Nutzungsbedingungen v. 30.01.2015, Nr.  18 (zweiter Unterpunkt). Verwirrung stiftet daher der dennoch in den AGB befindliche Verweis auf die Datenschutzbestimmungen: Facebook, Nutzungsbedingungen v. 30.01.2015, Nr. 1. 637 Buchner, DuD 2010, 39 (39), nennt diese gebräuchliche Konstellation „Tauschmodell Leistung gegen Einwilligung“. Ernst, ZD 2017, 110–114 (112), nennt dies das „Prinzip ‚Dienstleistung gegen Daten‘“. 638 § 28 Abs. 3b BDSG soll nach der herrschenden Meinung und nach Aussage der Gesetzesbegründung das zuvor im TMG geregelte Koppelungsverbot ersetzen und generalisieren, also sowohl für den Anwendungsbereich des BDSG als auch für jenen des TMG gelten: Schmitz, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. Multimedia-Recht, Teil 16.2 Datenschutz im Internet, Rdnr. 168; Munz, in: Westphalen/Thüsing (Hrsg.), Vertragsrecht und AGB, Datenschutzklauseln, Rdnr. 71; Deutscher Bundestag, BT-Drs. 16/12011, S. 33. 639 Erst wenn eine Leistung für die Teilhabe an der Gesellschaft oder für die Lebensgestaltung anderweitig derart unverzichtbar wird, dass der Betroffene sie praktisch in Anspruch nehmen muss, besteht eine Freiwilligkeit für an diese Leistung gekoppelte Einwilligungen nicht mehr: Buchner, DuD 2010, 39 (41). Insbesondere hat das Datenschutzrecht und damit die Bedingung der Freiwilligkeit der Einwilligung keine erziehende Funktion zur Verhinderung der Kommerzialisierung eigener Daten durch Betroffene, vgl. Buchner, DuD 2010, 39 (40). 640 Schaar, MMR 2001, 644 (647–648); Zscherpe, MMR 2004, 723 (727). Vgl. zu möglichen Ursachen für eine Zwangslage und für weitere Nachweise die Ausführungen von Helfrich, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. Multimedia-Recht, Teil 16.1: Einführung und Grundbegriffe des Datenschutzes, Rdnr. 39–41; Gola/Schomerus, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 4a  BDSG, Rdnr.  19–20. Demgegenüber will Iraschko-Luscher die Freiwilligkeit sogar schon bei „einem übermäßigen Anreiz“, z. B. bei der Datenherausgabe in Verbindung mit einem Gewinnspiel, bei dem besonders wertvolle Preise ausgelobt sind, in Frage stellen: Iraschko-Luscher, DuD 2006, 706 (708–709); anders noch Geiger, NVwZ 1989, 35 (37), der die Freiwilligkeit nur berührt sieht, wo realer Zwang durch staatliches Handeln entsteht.

250

D. Interessenausgleich im Umfeld sozialer Netzwerke

renzierter, dass die Einwilligung dann keine Rechtsgrundlage für Datenverarbeitungen darstellen soll, wenn „zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht“ (Erwgr. 43 DS-GVO) und dass bei der Beurteilung der Freiwilligkeit einbezogen werden muss, ob die Erfüllung eines Vertrages von einer Einwilligung abhängig gemacht wird, obwohl diese Einwilligung für die Vertragserfüllung gar nicht erforderlich ist (Art. 7 Abs. 4 DS-GVO). Kritisch zu bewerten ist eine Koppelung daher gerade für die wenigen ganz großen Netzwerke, die wegen ihrer Größe erst die für Werbetreibende und Nutzer gleichermaßen gewinnbringenden Netzwerkeffekte erzielen können.641 Obwohl noch andere Netzwerke zur Auswahl stünden, können diese aufgrund ihrer geringeren Größe keine gleichwertigen Netzwerkdienste mehr erbringen. In diesem Fall kann den Nutzern die Möglichkeit genommen sein, gleichwertige Leistungen auch ohne eine Einwilligung zu erhalten.642 Dies hat auf zweierlei Weise Wirksamkeit auf die von der DS-GVO aufgestellten Voraussetzungen der Freiwilligkeit: Durch ihre vorherrschende Position auf dem Markt erlangen die Netzwerkanbieter eine Position, die über das gewöhnliche Ungleichgewicht zwischen Unternehmern und Verbrauchern, das möglicherweise an sich bereits für die Annahme fehlender Freiwilligkeit ausreichen soll,643 noch deutlich vertieft. Es besteht also zum einen ein Ungleichgewicht, das es den Betreibern ermöglicht, Nutzern die Bedingungen der Einwilligung faktisch aufzuzwingen. Letzteren verbleibt dann nur die Möglichkeit, die vom Anbieter vorgefertigte Einwilligungserklärung abzugeben644 oder aber mit der Verweigerung der Einwilligung zugleich auf die Nutzung der jeweiligen Netzwerkdienstleistung zu verzichten und damit jedenfalls digitale, möglicherweise auch wirtschaftliche oder soziale Teilhabe einzubüßen.645 Zum anderen werden im großen Stil Netzwerkdienstleistungen von der Abgabe der Einwilligung 641

Vgl. Rother, Web 2.0 Communities, S. 14–19; auch Schaar erkennt, dass bei der Feststellung, ob vergleichbare Leistungen durch den Nutzer in Anspruch genommen werden können, die Tatsache Berücksichtigung finden muss, dass die Leistungen mancher Webanbieter aufgrund besonders umfangreicher oder funktionsfähiger Angebote mit denen ihrer Konkurrenten auf dem Markt nicht mehr direkt vergleichbar sind, vgl. Schaar, MMR 2001, 644 (648) (dort mit dem Beispiel einer besonders leistungsfähigen Suchmaschine). Bauer möchte sogar noch weiter gehen und den Markt der Netzwerkanbieter im Hinblick auf den zumutbaren Zugang zu gleichwertigen Leistungen nach den Zielgruppenausrichtungen der Netzwerke (z. B. Markt der Netzwerke für Studenten, Markt der Karrierenetzwerke etc.) zerlegen, vgl. Bauer, MMR 2008, 435 (407). 642 In diese Richtung auch: Art. 29-Datenschutzgruppe, WP 187, S. 22. 643 Härting, Datenschutz-Grundverordnung, Rdnr.  401; gegenteiliger Ansicht aber: Laue/ Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Zulässigkeit der Verarbeitung, Rn. 17; Buchner, DuD 2016, 155 (158). 644 Kritisch hinsichtlich der Freiwilligkeit in sog. ‚take it or leave it‘-Situationen allgemein, jedoch relativierend mit der Feststellung, dass eine vollständige Freiwilligkeit der Datenpreisgabe „weder notwendig noch realistisch“ sei, sondern dass es auf eine Unfreiwilligkeit nur dann ankomme, wenn dadurch „unberechtigte [H. i. O.] […] Informationsinteressen zwangsweise“ durchgesetzt würden: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 107–108; 117–118. 645 D. II. 2. c).

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

251

abhängig gemacht, obwohl für die Erbringung der Netzwerkdienstleistung selbst die umfangreiche Einwilligung in Datenverarbeitungen zu Werbezwecken wohl nicht unmittelbar erforderlich ist.646 Abhängig von der jeweiligen Situation können auch Selbstbestimmungsakte gegenüber anderen Akteuren von derlei Ungleich­ gewichten und Koppelungen betroffen sein. Soziale Netzwerke haben in zuvor nicht gekannter Weise die Kommunikation ihrer Nutzer verändert. Dies gelang aufgrund eines dynamischen647, für technische Neuerungen und gesellschaftliche Veränderungen648 offenen Konzepts. Die Betreiber führen laufend neue Funktionen ein, verändern die Werbestrategie, das Design und die Nutzeroberfläche. Solche Veränderungen gehen zwangsläufig mit einer veränderten oder erweiterten Verarbeitung der Nutzerdaten einher. Diesen Flexibilitätsbedarf soll eine offene, auf sämtliche Datenverarbeitungen in der Gegenwart und Zukunft gerichtete Klausel in der Einwilligungserklärung abdecken. So behält sich z. B. Facebook vor, „[…] interessante und benutzerdefinierte Erfahrungen für Menschen zu schaffen“ und dafür „alle uns zur Verfügung stehenden Informationen“ zu verwenden, „um unsere Dienste anzubieten und zu unterstützen.“649. Gerade solche Klauseln können jedoch schon aufgrund ihrer Generalität und weil zukünftige Datenverarbeitungsweisen noch gar nicht bekannt sind, die Anforderung der Einzelfallbezogenheit keinesfalls erfüllen.650 Soziale Netzwerke sind auf die Vernetzung der Nutzer ausgerichtet.651 Dementsprechend häufig kommt es zu einem Umgang mit den personenbezogenen Daten Dritter durch den Nutzer.652 Am häufigsten geschieht eine Weitergabe, wenn der Nutzer Apps und Spiele auf die vermeintlich zu ihm gehörigen Daten im sozialen Netzwerk oder auf externe Datensätze zugreifen lässt, sofern diese auch 646

Buchner, DuD 2016, 155 (158), hält die Erfassung und Verwendung des Verhaltens von Nutzern im Netzwerk für die Erbringung der Netzwerkdienstleistung für nicht erforderlich. Etwas allgemeiner zu den sich hieraus ergebenden Einschränkungen für über „nicht zur Leistungserbrigung erforderliche Daten“ finanzierte Geschäftsmodelle: Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Zulässigkeit der Verarbeitung, Rn. 21. Über die Erforderlichkeit ließe sich allerdings an dieser Stelle unter Rückverweis auf die fortgeschrittene Integration kommerzieller Inhalte in das ‚Nutzungserlebnis‘ streiten, vgl. dazu auch das Beispiel unter E. III. Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO, Art.  7 ­DS-GVO, Rdnr.  20–21, schlägt vor, die Verarbeitungstätigkeiten datenfinanzierter Geschäftsmodelle, die auf diese Weise in Aushebelung des Art.  7 Abs.  4 DS-GVO über Art.  6 Abs.  1 lit.  b­ DS-GVO gerechtfertigt werden könnten, vorrangig wettbewerbsrechtlich zu regulieren. 647 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 90. 648 D. II. 2. a) bb). 649 Facebook, Datenrichtlinie v. 29.09.2016, Nr. II, vor dem ersten Unterpunkt. 650 Dazu deutlich die Art. 29-Datenschutzgruppe, WP 187, S. 22: Es seien für Zweckänderungen im Kontext des sozialen Netzwerks erneut Einwilligungen einzuholen. 651 Dies ist Bestandteil des Konzepts der Bereitstellung einer attraktiven Kommunikationsplattform – vgl. D. II. 1. c) aa) – und wird ermöglicht durch moderne Technologien des Cloud Computings, D. II. 2. a) cc). 652 D. II. 3. c).

252

D. Interessenausgleich im Umfeld sozialer Netzwerke

Daten Dritter beinhalten653 oder wenn er Inhalte in das Netzwerk einstellt, die (zumindest auch) personenbezogene Daten Dritter beinhalten (z. B. Fotos, auf denen Dritte zu sehen sind, oder Postings, die eine Vorliebe, einen Aufenthaltsort oder eine Tätigkeit eines Dritten verraten). Das europäische Datenschutzrecht kennt eine Einwilligung für Dritte allerdings nicht; einwilligen kann immer nur der Betroffene selbst.654 Eine antizipierte Einwilligung ist zwar auch hinsichtlich einer Datenpreisgabe durch Dritte grundsätzlich nicht ausgeschlossen (und könnte z. B. in der generellen Freischaltung der Kommentarfunktionen für Dritte in der eigenen Profilseite eines Nutzers liegen), sie ist aber, weil nicht vorher bestimmt werden kann, auf welche Verarbeitungsvorgänge, Daten und Zwecke sie sich bezieht, in der Regel zu pauschal und damit unwirksam. Eine nachträgliche Zustimmung, z. B. indem Verlinkungen Dritter unter den Vorbehalt der Bestätigung gestellt werden, findet nicht vor der Datenverarbeitung statt655 und kann auch nur solche Daten betreffen, die von anderen Nutzern bereits ausdrücklich Dritten zugeordnet wurden656. Die Ausübung der Selbstbestimmung des Nutzers in Form der Erteilung einer datenschutzrechtlichen Einwilligung ist folglich in mehrfacher Hinsicht ungeeignet, um als Kriterium für den Ausgleich der Interessen im Zusammenhang mit Datenverarbeitungen im Rahmen von Netzwerkumgebungen zu dienen, weil dessen Voraussetzungen bei einer weniger anspruchsvollen Interpretation lediglich formalistische Wirkung entfalten und eine autonome Entscheidungsfreiheit des Betroffenen nicht absichern können, bei strenger und umfassend am Betroffenenschutz ausgerichteter Auslegung hingegen derart hohe Ansprüche insbesondere an die Informiertheit und Einzelfallbezogenheit von Erklärungen stellen, dass deren Erfüllung unter den Voraussetzungen im Netzwerkkontext realitätsfern erscheint; umfassend inkompatibel ist die Ausübung der Selbstbestimmung zudem hinsichtlich des der Netzwerkumgebung eigenen Zustands der Vernetzung. bb) Vertragsverhältnis ○ Vertragsverhältnisse bestehen im Umfeld des sozialen Online-Netzwerks in Verbindung mit Datenverarbeitungen zum einen zwischen dem Netzwerkanbieter und seinen Nutzern, zum anderen teilweise auch zwischen den Nutzern und anderen Akteuren, z. B. wenn Nutzer in die Bedingungen für die Verwendung von 653

Dazu ausführlicher Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 234. Das ergibt sich schon aus dem Wortlaut „der betroffenen Person“, Art. 4 Abs. 11 DS-GVO. 655 Der Netzwerkanbieter hat die Daten aufgenommen und gespeichert, möglicherweise sogar bereits anderweitig verarbeitet; der Bestätigungsvorbehalt verhindert nachvollziehbarer Weise nur die Anzeige des betroffenen Datums für andere Nutzer im Netzwerk. 656 Demgegenüber muss und kann der Dritte die Datenverarbeitung aber gar nicht bestätigen, wenn seine Daten zwar ins Netzwerk gestellt werden, er damit aber nicht formal durch eine Verlinkung in Verbindung gebracht wird. 654

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

253

Apps oder Spielen einwilligen, die in der Netzwerkplattform zur Verfügung gestellt werden. Schon allein wegen des umfangreichen Vorkommens von Verträgen in der Netzwerkumgebung erlangt das Kriterium des Vertragsverhältnisses dort also herausgehobene Relevanz. Verträge kommen im Umfeld des Netzwerks ebenso wie Einwilligungserklärungen657 jedoch häufig unter dem Umstand des strukturellen und informationellen Ungleichgewichts658 zustande. Bei der Verwendung des Kriteriums des Vertragsverhältnisses im Zusammenhang mit der gesetzgeberischen Wertung solcher Verhältnisse als legitime Grundlage für Datenverarbeitungen ist im Kontext sozialer Netzwerke dieses besondere Ungleichgewicht und damit einhergehende Einschrän­ kungen seiner Funktionalität (welche sich in etwa parallel zu jenen bei der Ausübung der informationellen Selbstbestimmung verhalten) daher stets zu beachten. Zusätzliche Probleme wirft im Zusammenhang mit Netzwerkumgebungen eine dort typische Konstellation auf, bei der Datenverarbeitungsvorgänge nicht mehr nur eine mittelbare Folge vereinbarter Vertragsinhalte sind, sondern selbst als vertragliche Rechte und Pflichten in den Mittelpunkt der Vereinbarung rücken, weil die Anforderungen an eine wirksame Ausübung des Selbstbestimmungsrechts über die eigenen Daten teilweise strenger sind als die Anforderungen an eine gewöhnliche wirksame Willenserklärung beim Abschluss eines Vertrages: Die Verarbeitung von Daten im Rahmen des Geschäftswecks des Netzwerkanbieters kann vertraglich mit dem Nutzer derart vereinbart sein, dass der Nutzer sich zur Herausgabe von Daten oder zur Duldung von Datenverarbeitungen bereiterklärt, um im Gegenzug die Netzwerkoberfläche kostenlos nutzen zu dürfen.659 Entsprechend könnten auch kommerzielle Inhalte sozialer Medien, die für den Nutzer individuell interessengerecht aufbereitet wurden, als vertraglich vereinbarte Leistung und die dem Angebot vorangehende Datenverarbeitung zumindest als für die Durchführung des synallagmatischen Verhältnisses erforderlich angesehen werden (dann wäre sogar ein entsprechendes Profiling im Rahmen des Behavioral Targeting gestattet,660 vgl. Art. 22 Abs. 2 lit. a DS-GVO). Für die Zulässigkeit einer solchen Vereinbarung von Datenverarbeitungen als unmittelbare vertragliche Rechte und Pflichten streiten sowohl der Grundsatz der Vertragsfreiheit661 als auch die Tatsache, 657

Dazu D. III. 3. d) aa). D. II. 3. a); D. II. 3. b). 659 Zum Konzept einer kostenlos bereitgestellten Netzwerkplattform im synallagmatischen Austausch gegen die Preisgabe von Daten vgl. Bräutigam/Sonnleithner, in: Hornung/MüllerTerpitz (Hrsg.), Rechtshandbuch Social Media, S. 35 (43–45). 660 Implizit bejahend und eine entsprechende Klarstellung vom Gesetzgeber fordernd: Moser, PinG 2015, 228 (229). 661 Weichert, NJW 2001, 1463 (1468). Der Grundsatz der Vertragsfreiheit ist zwar nicht ausdrücklich als Grundrecht oder -freiheit auf europäischer Ebene anerkannt, lässt sich jedoch sachverhaltsbezogen aus unterschiedlichen Grundrechten und Grundfreiheiten ableiten und ist auch als allgemeiner Rechtsgrundsatz in allen Ländern der Union anerkannt; näher dazu: Weischer, Das Grundrecht auf Vertragsfreiheit und die Inhaltskontrolle von Absatzmittlungsverträgen, S. 73–76. 658

254

D. Interessenausgleich im Umfeld sozialer Netzwerke

dass eine Kommerzialisierung grundrechtlicher Positionen im Recht grundsätzlich bekannt662 ist. Dementsprechend gibt es zumindest keine völlig unüberwindbaren Hindernisse, die allgemein einer kommerziellen Nutzung von Daten als Entgelt für Dienstleistungen entgegenstünden.663 Auch spiegelt die losgelöste Betrachtung der datenschutzrechtlichen Einwilligung längst nicht mehr die gesellschaftliche und wirtschaftliche Realität: Die Inanspruchnahme kostenfreier sozialer Netzwerkdienste, die sich über eine Verwertung der Nutzerdaten finanzieren, ist längst zum Regelfall geworden.664 Das an die datenschutzrechtliche Einwilligung gekoppelte Widerrufsrecht lässt die Einwilligung für die Ausgestaltung eines solchen synallagmatischen Verhältnisses zwar grundsätzlich ungeeignet erscheinen,665 der Wortlaut von Art. 6 Abs. 2 lit. b DS-GVO macht zu den zulässigen Vertragsinhalten jedoch keinerlei nähere Angaben, was zunächst ebenfalls für die Zulässigkeit einer derartigen Ausgestaltung zu sprechen scheint. Dennoch scheinen in der Regelungslogik der DS-GVO das Kriterium des Vertragsverhältnisses und die es enthaltende Vorschrift des Art. 6 Abs. 1 Satz 1 lit. b DS-GVO über die Gestattung von Datenverarbeitungen für die Durchführung von vertraglichen Pflichten und Leistungen nicht zur Legalisierung unmittelbarer Vereinbarungen über Datenverarbeitungsbefugnisse bestimmt zu sein.666 Anderenfalls wären das Kriterium der Ausübung der informationellen Selbstbestimmung und die damit implizierten Wertungen in den meisten Fällen obsolet, könnte doch jeder Datenverarbeiter anstatt eine die datenschutzrechtliche Selbstbestimmung des Betroffenen ausdrückende einseitige Erklärung einzuholen, mit dem Betroffenen eine rechtsgeschäftliche Vereinbarung über die gewünschte Datenverarbeitung treffen. Damit würden die mit dem Selbstbestimmungskriterium verbundenen Schutzvorkehrungen der Art. 6 Abs. 1 Satz 1 lit. a, Art. 4 Abs. 11, Art. 7 DS-GVO, die eine freie, bewusste und informierte aktive Ausübung echter Selbstbestimmung durch den Betroffenen sicherstellen sollen, gänzlich ausgehebelt. Ein solches Ergebnis wäre mit dem ausdrücklichen Ziel der DS-GVO, die Grundrechte und Grundfreiheiten Betroffener zu schützen (vgl. Art. 1 Abs. 2 DS-GVO), jedoch unvereinbar.667 Um den Sinn und Zweck des Selbstbestimmungskriteriums also 662

Vgl. nur Hoeren, ZRP 2010, 251 (252); Ladeur, NJW 2000, 1977 (1980–1981); Kilian, CR 2002, 921 (926–928). 663 Unseld hält ein positives Verwertungsrecht an personenbezogenen Daten im Rahmen einer konstitutiven Rechtsübertragung innerhalb des derzeitigen rechtlichen Rahmens für vorstellbar: Unseld, Die Kommerzialisierung personenbezogener Daten, S. 185 ff., insbes. 236–242. 664 Vgl. zu den gesellschaftlichen Implikationen auch unter D. II. 2. c). 665 Bräutigam, MMR 2012, 635 (636); zu möglichen vertragsrechtlichen Lösungen des Widerrufsproblems bei Langhanke/Schmidt-Kessel, EuCML 2015, 218 (222). 666 So im Ergebnis auch Langhanke/Schmidt-Kessel, EuCML 2015, 218 (221). 667 Auch Unseld, der sich grundsätzlich für eine Kommerzialisierbarkeit von personenbezogenen Daten ausspricht, erkennt, dass diese nur wirksam möglich sein kann, wenn die im Recht bestehenden Schutzvorkehrungen insbesondere im Zusammenhang mit der datenschutzrechtlichen Einwilligung Beachtung finden: Unseld, Die Kommerzialisierung personenbezogener Daten, S. 123–124; 127.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

255

nicht zu untergraben, müsste im Rahmen der Anwendung des Kriteriums des Vertragsverhältnisses zwischen solchen Vertragsbestandteilen unterschieden werden, die sich unmittelbar auf ein Recht oder eine Pflicht zur Datenverarbeitung richten, und solchen, die sich in erster Linie auf die Erbringung einer anderweitigen Leistung richten, mit der eine Datenverarbeitung jeweils lediglich mittelbar zusammenhängt.668 Im ersteren Fall handelt es sich nämlich um eine rechtsgeschäftliche Willenserklärung, die der in Art. 6 Abs. 1 Satz 1 lit. a, Art. 4 Abs. 11, Art. 7 DS-GVO geregelten Ausübung der Selbstbestimmung ähnelt und im Ergebnis auf dieselbe Rechtswirkung (nämlich auf die Zulässigkeit einer Datenverarbeitung aufgrund einer entsprechenden Willensbekundung des Betroffenen) zielt. Mithin müssten hier die strengen Vorschriften im Zusammenhang mit dem Selbstbestimmungskriterium (Art. 6 Abs. 1 Satz 1 lit. a, Art. 4 Abs. 11, Art. 7 DS-GVO) zumindest entsprechend Anwendung finden,669 um ein mit den gesetzgeberischen Wertungen konformes (auch die Wertung von mit Vertragsverhältnissen in Zusammenhang stehenden Datenverarbeitungen als legitim beruht im Wesentlichen darauf, dass der Betroffene seine Selbstbestimmung, hier in der Erscheinungsform der Vertragsfreiheit, autonom ausübt670) Abwägungsergebnis zu erzielen. Unabhängig vom gewählten dogmatischen Weg dürften im Ergebnis dann vertragliche Vereinbarungen, die unmittelbar auf die Verarbeitung personenbezogener Daten gerichtet sind, nicht die entsprechende Wertung einer Datenverarbeitung als legitim begründen, wenn bei ihrer Abgabe die speziellen Vorgaben zur Ausübung der Selbstbestimmung im Datenschutzrecht nicht eingehalten wurden. Eine entsprechende Unterscheidung ist zwar mit dem Wortlaut von Art. 6 Abs. 1 lit. b DS-GVO nicht von Anfang an unvereinbar, sie ist jedoch in der DS-GVO weder explizit angelegt noch von der Rechtsprechung verbindlich vorgegeben worden. Damit unterliegt im Ergebnis das Kriterium der Vertragsfreiheit im Kontext von auf die Kommerzialisierung der Nutzerdaten ausgerichteten Geschäftskonzepten (und damit regelmäßig auch hinsichtlich der auf eine Datenpreisgabe und­ -verarbeitung gerichteten Verträge zwischen Nutzern und anderen Akteuren im Netzwerkumfeld) erheblichen Unsicherheiten bei der Anwendung – sowohl hinsichtlich der Beurteilung, inwieweit eine Hinzuziehung der Einwilligungsvor-

668 Noch strenger in der Unterscheidung ist Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 257–258: Nur „die Verarbeitung von faktisch unentbehrlichen Daten, ohne deren Kenntnis die datenverarbeitende Stelle ihre Leistung überhaupt nicht anbieten, erbringen oder abrechnen könnte“, soll ohne die Einbeziehung der Vorschriften zur Einwilligungserklärung auf das vertragliche Verhältnis zwischen den Beteiligten gestützt werden können. 669 An diese Erkenntnis schließt sich die Frage an, wie eine entsprechende Anwendung der Voraussetzungen nach Art. 6 Abs. 1 Satz 1 lit. a, Art. 4 Abs. 11, Art. 7 DS-GVO in die Prüfung der Tatbestandsvoraussetzungen von Art. 6 Abs. 1 Satz 1 lit. b DS-GVO integriert, etwa im Rahmen der AGB-Kontrolle oder im Zusammenhang mit dem Tatbestand der Sittenwidrigkeit nach § 138 BGB begründet werden: Unseld, Die Kommerzialisierung personenbezogener Daten, S. 117–118. 670 C. III. 1. d) bb).

256

D. Interessenausgleich im Umfeld sozialer Netzwerke

schriften überhaupt notwendig ist, als auch hinsichtlich der überaus konfliktträchtigen Anwendung selbiger. cc) Beschäftigungsverhältnis ○ Die besondere vertragliche Beziehung eines Arbeitsverhältnisses kommt insbesondere dann zum Tragen, wenn der aktuelle oder zukünftige Arbeitgeber eines Nutzers selbst als Akteur im Umfeld eines sozialen Netzwerks in Erscheinung tritt. Arbeitgeber können dabei an einer Datenanalyse zur Informationsgewinnung sowohl zum Zweck der Begründung neuer Arbeitsverhältnisse als auch hinsichtlich bestehender Mitarbeiter interessiert sein.671 Die Abhängigkeit und generell schwächere Position des Arbeitnehmers gegenüber dem Arbeitgeber sorgt für ein im datenschutzrechtlichen Kontext relevantes strukturelles Ungleichgewicht, das jedoch Arbeitsverhältnisse generell prägt, keineswegs netzwerkspezifisch ist und vom Verordnungsgeber unter Einsatz des Kriteriums des Beschäftigungsverhältnisses gerade gezielt adressiert werden sollte. Netzwerkspezifisch ist aber die durch Datenerhebungen in sozialen Netzwerken bewerkstelligte Aufhebung der Grenzziehung zwischen der Arbeitsum­gebung und anderen Lebensbereichen des Nutzers: Das soziale Netzwerk eröffnet dem Arbeitgeber umfangreich den Zugriff auf Daten des Nutzers, die ihm bei der gewöhnlichen Durchführung des Bewerbungsverfahrens oder Arbeitsverhältnisses nicht zugänglich wären. Hier tritt nun zusätzlich das strukturelle Ungleichgewicht der Beteiligten hervor, wenn der Arbeitnehmer darauf angewiesen ist, dem Arbeitgeber gegenüber negative Eindrücke zu vermeiden, um das bestehende oder zukünftige672 Arbeitsverhältnis nicht zu gefährden. Ebenfalls netzwerkspezifisch ist die Möglichkeit der gezielten Nutzung sozialer Netzwerke zum Zweck der beruflichen Selbstdarstellung. Insoweit kann bei der Beurteilung der Interessenlage die vom Nutzer deutlich gemachte Verwendung dieser Daten zu beruflichen Zwecken, z. B. innerhalb eines beruflich orientierten sozialen Netzwerks, durchaus eine Rolle spielen.673 Der Verordnungsgeber hat dem Kriterium des Arbeitsverhältnisses jedoch bereits allgemein keine ausdrückliche Wertung zugeordnet, sondern die Etablierung von Wertungen stattdessen den Mitgliedstaaten überlassen, womit seine Bedeutung angesichts der in der Netzwerkumgebung entstehenden Spannungen nur unzureichend674 adressiert ist. 671 Siehe D. II. 1. b) ee); Ernst, NJOZ 2011, 953 (955–956); Göpfert/Wilke, NZA 2010, 1329 (1329). 672 Forst, NZA 2010, 427 (427). 673 Bissels/Lützeler, ArbAktuell 2011, 499 (501); Howald, öAT 2013, 133 (135); Bissels/Lützeler/Wisskirchen, BB 2010, 2433 (2437); Forst, NZA 2010, 427 (431–432); Bissels/Ziegelmayer/Kiehn, BB 2013, 2869 (2869–2870); kritisch: Ernst, NJOZ 2011, 953 (955–956). 674 Nach § 26 BDSG n. F. bleiben die von § 32 BDSG implizierten Wertungen vollständig erhalten und werden u. a. durch Begriffsdefinitionen und Vorschriften über die Einwilligung im

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

257

dd) Anbieter-Nutzer-Verhältnis ○ Zwischen Akteuren im Umfeld des sozialen Netzwerks (etwa Anbieter, Appund Spielebetreiber) und den Nutzern des Netzwerks besteht regelmäßig ein Anbieter-Nutzer-Verhältnis im Sinne von Art. 5 Abs. 3 Satz 2 der E-PrivacyRL, wenn den Nutzern Dienste der Informationsgesellschaft angeboten werden – das Kriterium ist also regelmäßig für einen entsprechenden Interessenausgleich relevant. Die Wertung des Gesetzgebers, ein solches Verhältnis im engeren Sinne zu privilegieren, ist im Umfeld des sozialen Netzwerks hauptsächlich deswegen problematisch, weil aufgrund der komplexen Geschäftsmodelle, fließenden Übergängen zwischen privaten und kommerziellen Interessen und ihrer engen Verschränkung miteinander in der Praxis nicht immer eindeutig ist, welche der Dienstleistungen des Anbieters und anderer Akteure (etwa der Verwender von Social Plugins oder der Anbieter von Apps und Spielen) noch als vom Nutzer ausdrücklich gewünscht gelten können.675 Der Anwendungsbereich des Kriteriums und der mit ihm verknüpften privilegierenden Wertung ist demnach im Netzwerkumfeld nicht eindeutig geklärt, was auch seine Wirkung für den Ausgleich der Interessen be­ einträchtigt. e) Auswirkungen für Betroffene und berechtigte Erwartungen ○ Angesichts der Durchdringung sämtlicher Lebensbereiche676 und der weiten Verbreitung677 sozialer Netzwerke sind immaterielle Schäden, Rufschädigung, Nachteile im täglichen Leben oder Arbeitsumfeld oder andere gesellschaftliche oder wirtschaftliche Nachteile, die aus einer Datenverarbeitung im Zusammenhang mit dem Netzwerk entstehen können, besonders naheliegend.678 Gerüchte, Ehrverletzungen, richtige oder vermeintliche Tatsachen, Datenlecks und Leaks können von verschiedensten Akteuren verursacht werden, verbreiten sich rasend schnell und werden einem großen Kreis von Rezipienten zugänglich. Mittelbar können daraus auch wirtschaftliche und materielle Schäden entstehen, wenn z. B. die Kreditwürdigkeit eines Nutzers oder seine berufliche Reputation betroffen sind. Besonders wenn dritte Akteure wie Versicherer oder Kreditgeber sich Netzwerkdaten zunutze machen, um über den Abschluss von Verträgen oder das Beschäftigungsverhältnis und die Verarbeitung besonderer Datenkategorien ergänzt, womit aber die besonderen Problematiken der Nutzung von Daten aus sozialen Netzwerken im Beschäftigungsverhältnis wertungsmäßig auch künftig keine umfassende Berücksichtigung finden können. 675 Zur Problematik der ausdrücklich gewünschten Telekommunikationsdienstleistungen bereits unter: D. III. 3. c) cc). 676 D. II. 2. d). 677 D. I. 3.; D. II. 2. c). 678 Jandt/Roßnagel, MMR 2011, 637 (637): rufschädigende Netzwerkinhalte könnten „im Extremfall Lebenswege zerstören“.

258

D. Interessenausgleich im Umfeld sozialer Netzwerke

Vorliegen einer vertraglichen Leistungspflicht zu entscheiden,679 sind nachteilige wirtschaftliche Auswirkungen für betroffene Nutzer zu erwarten. Speziell hinsichtlich der Datenverarbeitungen in sozialen Netzwerken kann aber eine Abkoppelung der spürbaren Auswirkungen vom zunächst wenig beeinträchtigenden Informationseingriff selbst beobachtet werden – in der Folge unterschätzen Nutzer den Informationseingriff.680 Dementsprechend treffen die Konsequenzen sie unvorbereitet, wenn der Eingriff bereits geschehen und möglicherweise nicht mehr zu korrigieren ist. Die Freiheit des Nutzers, Entscheidungen zu treffen und sich eine Meinung zu bilden, kann darüber hinaus wesentlich berührt sein, wenn ihm Inhalte lediglich selektiv unter Berücksichtigung seiner zuvor aus dem Verhalten oder Profil ermittelten Präferenzen angezeigt werden.681 Werden Nutzer aufgrund der aus der Profilauswertung abgeleiteten Annahmen unterschiedlich behandelt, so kann mittelbar eine Diskriminierung des Nutzers aus dieser unterschiedlichen Behandlung resultieren.682 Dies könnte etwa der Fall sein, wenn Kreditgeber oder Versicherer Annahmen über den Nutzer oder über das mit einem Vertragsabschluss verbundene Risiko auf statistischen Wahrscheinlichkeiten und aus Datensätzen extrahierte Muster stützten. Es besteht ein ungleich höheres Risiko des Missbrauchs und der ungewollten Veröffentlichung von Informationen, da Informationen über eine Technik und Software vorgehalten und verbreitet werden, deren Steuerung und Sicherheit der Nutzer nicht umfassend kontrollieren kann. Zugleich sind die potenziellen Ausmaße des Missbrauchs größer, weil eine Sicherheitslücke zugleich viele Nutzer betreffen und einen Missbrauch durch unbegrenzt viele andere Nutzer ermöglichen kann. Zusätzlich divergieren im Umfeld des sozialen Netzwerks auch die tatsächlichen Erwartungen betroffener Nutzer deutlich von den real hinter den Verarbeitungstätigkeiten des Anbieters und der übrigen Akteure stehenden Absichten: Nutzern wird im Rahmen einer nützlichen, einfach handhabbaren Oberfläche suggeriert, der Hauptzweck des Netzwerks sei es, eine funktionale und kostenlose Kommunikationsplattform zur Verfügung zu stellen, während das Geschäftsmodell des Anbieters eigentlich direkt auf die Ertragsgewinnung aus der Kommerzialisierung der Nutzerdaten und damit nur mittelbar auf die Zurverfügungstellung der für die Gewinnung dieser Daten erforderlichen Plattform zielt. Diesbezügliche Erwartungen der Nutzer sind vielfach auch gerechtfertigt, weil die Anbieter nach außen hin die wirklichen Geschäftszwecke verschleiern,683 um selbige effizienter verfolgen zu können. Dem lässt sich zwar entgegenhalten, dass bis zu einem gewissen Grad die Geschäftspraktiken der Betreiber allgemein bekannt sind, wes 679

Vgl. D. II. 1. e) bb) und D. II. 1. e) cc). Spiecker gen. Döhmann, K&R 2012, 717 (721). 681 Thode, PinG 2015, 1 (5). Das Problem der selektiven Filterung von Inhalten anhand bekannter Präferenzen des Nutzers wird auch als ‚Filter Bubble‘ bezeichnet, vgl. dazu die Ausführungen in Kap. D. Fn. 573. 682 Thode, PinG 2015, 1 (5). 683 D. II. 1. c) dd). 680

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

259

halb scheinbar diesbezüglich falsche Erwartungen nicht mehr berechtigt sind. Dieser Rückschluss ist aber nur teilweise richtig, da sich die betroffenen Nutzer auch bei einem entsprechenden Kenntnisstand gegen subtile Beeinflussungen684 nur begrenzt wappnen können. In verschiedener Hinsicht erweisen sich also die Kriterien der nachteiligen Auswirkungen für Betroffene und berechtigten Erwartungen Betroffener im Netzwerkumfeld als besonders einschlägig, mithin als besonders relevant für die Erarbeitung eines mit den von Gesetzgebung und Rechtsprechung getroffenen Wertungen übereinstimmenden Interessenausgleichs. f) Zeitliche Aspekte: Ablauf einer Zeitspanne, Recht auf Vergessenwerden ○ Soziale Netzwerke sind darauf angelegt, den Lebensverlauf des Nutzers zu begleiten und zu spiegeln.685 Daten werden dort also diesem Zweck entsprechend über besonders lange Zeit hinweg vorgehalten und verarbeitet,686 und es entsteht ein über den Zeitverlauf hinweg zunehmend vollständigeres Bild von der Persönlichkeit des Nutzers. Gleichzeitig ist mit der ‚Alterung‘ von Informationen aber auch deren Aussagekraft bisweilen beeinträchtigt.687 Dabei ist es mit wachsender Länge der Zeitspanne jedoch auch zunehmend wahrscheinlicher, dass sich die Interessenlage, die mit der Speicherung und Verarbeitung dieser Daten zusammenhängt, maßgeblich verändert hat. Folglich muss beim Interessenausgleich im Umfeld des sozialen Netzwerks dem Kriterium des Zeitablaufs und damit verknüpften Wertungen überdurchschnittlich große Bedeutung zukommen. g) Gesellschaftlicher oder rechtlicher Bezug der Datenverarbeitung, Integration in das Grundrechtsgefüge Während verschiedene vom Verordnungsgeber hinsichtlich des gesellschaftlichen und rechtlichen Bezugs von Datenverarbeitungen angelegte Kriterien im Umfeld sozialer Netzwerke für das Interessengefüge der privaten Akteure keine ganz herausragende Rolle spielen (z. B. lebenswichtige Interessen, öffentliches Interesse), sind gewisse Rechtekollisionen, unter ihnen insbesondere der Konflikt mit der Meinungs- und Informationsfreiheit, von größter Wichtigkeit. 684

Zur sog. Plug and Play-Falle unter D. II. 3. b). D. II. 2. d). 686 Jandt/Roßnagel, MMR 2011, 637 (637–638); Bissels/Lützeler, ArbAktuell 2011, 499 (499). Beispielsweise bietet Facebook Eltern die Möglichkeit, Fotoalben bereits für Kinder anzulegen, die das festgelegte Mindestalter von 13 Jahren für die Mitgliedschaft bei Facebook noch nicht erreicht haben (Facebook, Webseite ‚Wie erstelle ich ein Sammelalbum für mein Kind?‘) und Konten sogar über den Tod eines Mitglieds hinaus im ‚Gedenkzustand‘ zu erhalten (Facebook, Webseite ‚Konten im Gedenkzustand‘). 687 Dazu oben unter C. III. 1. f). 685

260

D. Interessenausgleich im Umfeld sozialer Netzwerke

aa) Rechtekollision: Konflikt mit der Meinungsfreiheit ○ Soziale Netzwerke sind ein Knotenpunkt, an dem Aspekte des privaten, beruflichen und wirtschaftlichen Lebens aufeinander treffen und miteinander verschmelzen;688 dementsprechend regelmäßig berühren die Inhalte sozialer Netzwerke und die Aktivitäten der Akteure die Meinungsfreiheit, z. B. wenn Nutzer durch das Teilen von Inhalten ihre Meinung mitteilen oder Unternehmer Werbung im Netzwerk schalten. Bemerkenswert ist, dass der Konflikt zwischen Datenschutzinteressen und der Meinungsfreiheit – anders als die Mehrheit der herausgearbeiteten Kriterien, bei denen doch häufig die Beziehung des Nutzers zum Anbieter im Vordergrund der Betrachtung steht  – zwischen Nutzern und sämtlichen anderen Akteuren im Umfeld des Netzwerks gleichermaßen relevant werden kann: Es sind ebenso Fälle denkbar, in denen der Netzwerkanbieter als Unternehmer und Werbetreibender ein Recht auf freie Meinungsäußerung geltend macht, wie Fälle, in denen andere Akteure oder Nutzer das soziale Netzwerk als Plattform der Meinungsäußerung verwenden und dabei mit den Datenschutzrechten von (anderen) Nutzern in Konflikt geraten. Schon deshalb ist diesem Konflikt in besonderem Maße Rechnung zu tragen. Die Situation verschärft sich aber noch, wenn der Netzwerkanbieter die ihm im Rahmen seiner strukturellen und informationellen Vormachtstellung zur Verfügung stehenden Mittel nutzt, um gezielt die Meinungsbildung zu beeinflussen. So ist beispielsweise schon seit einigen Jahren bekannt, dass Facebook im Rahmen der ‚Newsfeed‘-Funktion mit Gefühlsansteckung („emotional contagion“)689 und sogar mit dem Wahlverhalten der Nutzer690 experimentieren lässt. In derart gelagerten Fällen handelt es sich jedoch nicht unmittelbar um einen Konflikt zwischen Meinungsfreiheit und Datenschutz, sondern im Gegenteil um ein wechselseitiges Zusammenwirken beider Rechte zugunsten der betroffenen Nutzer. Eine konkrete Wertung hinsichtlich der Position der Meinungsfreiheit gegenüber dem Datenschutz ist weder der DS-GVO691 noch der Rechtsprechung (dort wird lediglich die grundlegende Bedeutung der Meinungsfreiheit für die Demokratie betont)692 eindeutig zu entnehmen. Die Würdigung des in Netzwerkumgebungen so bedeutenden Kriteriums bleibt also unbestimmt. Der bundesdeutsche Gesetzgeber sieht die ausschließliche Zuständigkeit für die Regulierung des Ausgleichs von Datenschutzgrundrecht und Meinungsfreiheit in weitem Umfang bei den Ländern und hat dementsprechend etwa keine dem Medienprivileg des § 41 BDSG entsprechende Regelung in das DSAnpUG-EU aufgenommen.693 Zunächst wird also abzuwarten sein, inwieweit die entsprechenden Regelungen der 688

D. II. 3. c). Kramer/Guillory/Hancock, PNAS-USA 2014, 8788. 690 Messing/Westwood, Friends that Matter. 691 Dazu bereits allgemein unter C. III. 1. g) ee). 692 C. III. 2. a) dd). 693 C. III. 1. g) ee). 689

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

261

Länder und der anderen Mitgliedstaaten die Beteiligten im Umfeld des sozialen Netzwerks miteinbeziehen und welche Kriterien und Wertungen sie für den Ausgleich der beiden Positionen im Einzelnen treffen. Die weite Formulierung von Art. 85 Abs. 1 DS-GVO („Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.“) sowie die zugehörige Erläuterung in Erwgr. 153 („Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden“) gestalten eine sehr weite Öffnung für die Regelung des Medienprivilegs durch die Mitgliedstaaten, die grundsätzlich auch Meinungsäußerungen durch Akteure im Netzwerk und der Nutzer selbst einschließen kann.694 Auch eine Privilegierung der Netzwerkanbieter (nach deutschem Recht bislang streitig – Uneinigkeit herrscht schon hinsichtlich der Frage der anwendbaren Rechtsnorm,695 weitere Probleme ergeben sich bei der Beurteilung, ob eine journalistisch-redaktionelle Bearbeitung der Netzwerkinhalte durch den Bearbeiter stattfindet696) ist dem Wortlaut der Vorschrift nach wohl begründbar und könnte somit von den Mitgliedstaaten im jeweiligen Recht vorgesehen werden. Dies hätte aber ganz empfindliche Folgen für den Interessenausgleich zwischen Nutzern und Anbietern – wären letztere durch die Schaffung eines entsprechenden Kriteriums und einer zugehörigen Wertung von den Restriktionen des Datenschutzrechts für das Angebot ihrer Netzwerkdienstleistung ausgenommen, wären die datenschutzrechtlichen Ausgleichswerkzeuge in weitem Umfang (es wäre dann sogar zu diskutieren, ob auch kommerzielle Inhalte und die für deren Angebot entsprechend vorherige Auswertung der Nutzerdaten unter diese Privilegierung fielen) gänzlich ausgehebelt.

694 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 215 (allerdings noch zum Parlamentsentwurf). 695 Buchner, in: Wolff/Brink (Hrsg.), BeckOK DatenSR, § 41 BDSG, 18–18,1. 696 Hinsichtlich eines Bewertungsportals hatte der BGH dies unter Anwendung von § 41 BDSG verneint, vgl. BGH, Urt. v. 23.06.2009 – VI ZR 196/08, BGHZ, 181, 328 (334–335). Wenn die Anbieter sozialer Netzwerke die von Nutzern erzeugten Inhalte gerade nicht ausschließlich wiedergeben, sondern, wie kürzlich in den Medien diskutiert, aussieben und gezielt sortieren, um eine politische ‚Färbung‘ des Angebots zu erreichen (Nunez, Former Facebook Workers: We Routinely Suppressed Conservative News, Blogbeitrag v. 09.05.2016), müsste die Bewertung der journalistisch-redaktionellen Bearbeitung wohl überdacht werden.

262

D. Interessenausgleich im Umfeld sozialer Netzwerke

bb) Rechtekollision: Konflikt zwischen Betroffeneninteresse an Privatheit und Informationsinteresse von Internetnutzern ○ Wenn, wie die Rechtsprechung konstatiert,697 die Interessen des Betroffenen an Privatheit und Datenschutz tendenziell das Informationsinteresse der Öffentlichkeit beim Gebrauch von Suchmaschinen überwiegen, so muss dies gleichermaßen für die durch Suchmaschinen indexierbaren öffentlich zugänglichen Bereiche der Oberflächen sozialer Netzwerke und innerhalb dieser Netzwerkoberflächen für die Verwendung der vom Anbieter bereitgestellten Suchfunktion gelten.698 Soziale Netzwerke sind allerdings als zentraler Ort der Informationsverbreitung zu einem wichtigen Medium der Informationsbeschaffung geworden, was den Konflikt zwischen Betroffeneninteressen und Informationsinteressen wesentlich verschärft. Auch im Zusammenhang mit dem Kriterium des Konflikts zwischen Datenschutzrechten und Informationsrechten hat der Gesetzgeber jedoch keine ausdrückliche Wertung geschaffen,699 weshalb die Würdigung dieses besonderen Spannungsverhältnisses auch in Bezug auf Netzwerkumgebungen zunächst nicht näher bestimmbar ist. h) Tabellarische Übersicht der Ergebnisse Tabelle 7 Datenschutzrechtliche Kriterien und Wertungen im Umfeld sozialer Online-Netzwerke Kriterium ○

Relevanz im Umfeld sozialer Netzwerke

Wertung: Besonderheiten, Konflikte, Inkompatibilitäten

Arten und Kategorien von Daten Sensible Daten

697

Besonders sensible Daten im Netzwerk (Netzwerke sind auf die Preisgabe sensibler Daten angelegt, überwiegende Privatnutzung, digitale Abbildung realer Beziehungen; Individualkommunikationsinhalte)

C. III. 2. a) dd). Ähnlich: Pötters, RDV 2015, 10 (13). 699 Dazu bereits allgemein unter C. III. 1. g) ee). 698

keine

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

263

Relevanz im Umfeld sozialer Netzwerke

Wertung: Besonderheiten, Konflikte, Inkompatibilitäten

Personenbezug

Soziale Netzwerke sind auf die Verknüpfung realer Personen mit virtuellen Profilen ausgerichtet; vielfältiges Interesse am Personenbezug; geringer technischer und finanzieller Aufwand; zentralisierte Anhäufung von Informationen; Pseudonymisierung/ Anonymisierung für den Netzwerkbetreiber nur gegenüber Dritten wünschenswert

Wertung kann sich verschieben, weil die Gefährdung aufgrund des Zusammenwirkens mehrerer Akteure nicht ausschließlich proportional zur der Enge des Personenbezugs steigt

Öffentliche Daten

Netzwerkoberflächen sind in weiten Teilen allgemein zugänglich; Nutzer speisen Großteil der Daten selbst ein

Schwierigkeiten bei der Beurteilung der öffentlichen Zugänglichkeit; vernetzte Kommunikation lässt häufig nicht erkennen, ob es sich um eine Veröffentlichung eines Betroffenen selbst handelt

Kriterium ○

Arten und Kategorien von Betroffenen Daten von Kindern

Kinder und Jugendliche bilden einen wesentlichen Teil der aktiven Netzwerknutzer; Netzwerke sind teilweise auf die Bedürfnisse jugendlicher Nutzer zugeschnitten, erschei­ nen für sie besonders attraktiv; Unerfahrenheit verschärft Risiken bei der Kommunikation

Feststellung der Minderjährigkeit ist schwierig, weil sich für Netzwerkumgebungen noch kein praxistaugliches Verfahren durchgesetzt hat

Art und Weise der Verarbeitung Verwendung neuer Technologien

Konsequente Verwendung erkennbar (Bsp.: biometrische Verfahren zur Gesichtserkennung); finanzielle und technische Mittel für den großflächigen Einsatz auf Seiten der Anbieter vorhanden; Zurückhaltung wird nur geübt, wenn wirtschaftliche Nachteile oder Imageschäden zu befürchten sind

keine

Fortsetzung auf der nächsten Seite

264

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fortsetzung Tabelle 7

Relevanz im Umfeld sozialer Netzwerke

Wertung: Besonderheiten, Konflikte, Inkompatibilitäten

Profiling und Scoring

Unmittelbares Abzielen auf die Bewertung persönlicher Aspekte aufgrund des Werbekonzepts des Anbieters und wirtschaftlicher Interessen weiterer Akteure; besonders systematische und umfassende Verarbeitung durch Einbeziehung unterschiedlicher Datenquellen und Erstellung von Metaprofilen

Unklar, ob das Profiling zu Werbezwecken eine Beeinträchtigung mit rechtsfolgenähnlicher Qualität darstellt – folglich Anwendungsbereich des Kriteriums unklar

Verwendung von TrackingWerkzeugen

Weitreichende Verwendung; Verschärfung des Risikos durch Verknüpfung klassischer ­Tracking-Methoden mit netzwerktypischen Aspekten der Vernetzung im Rahmen von ­Social Plugins

Feststellung der Grenze der Erforderlichkeit für die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes zusätzlich erschwert, weil kommerzielle Inhalte, zu deren Bereitstellung Tracking hauptsächlich betrieben wird, möglicherweise selbst bereits Bestandteil der vom Nutzer angefragten Dienstleistung sind

Datenmenge und Betroffenenzahl

Netzwerkanbieter verarbeitet große Datenmengen vieler Betroffener; allgemein gesteigerte Zugriffseröffnung und großes Verbreitungspotenzial (einfache Veröffentlichungsund Verbreitungsmöglichkeit für Nutzer in der Netzwerkoberfläche; einfache Zugriffsmöglichkeit für Dritte über standardisierte Schnittstellen)

keine

Direktwerbung

Geschäftskonzepte der Anbieter basieren auf Behavioral ­ Targeting

Die gesetzgeberische Konzeption des Kriteriums und der damit verbundenen Wertung sind mit den realen Voraussetzungen typischer Geschäftsmodelle inkompatibel

Datenverarbeitungsintensive Kerntätigkeit

Personalisierte Werbung besitzt zentrale Bedeutung für Geschäftsmodelle der Betreiber und weiterer Akteure

keine

Kriterium ○

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

265

Kriterium ○

Relevanz im Umfeld sozialer Netzwerke

Wertung: Besonderheiten, Konflikte, Inkompatibilitäten

Drittland­ übermittlungen

Betreiber von Netzwerkoberflächen führen Datenverarbeitungen global durch, daher umfangreiche Übermittlung von Daten in Drittländer

Cloud-Strukturen und Vernetzung behindern die Nachvollziehbarkeit von Drittlandübermittlungen

Auftragsdaten­ verarbeitungen

Umfangreich genutzt durch den Netzwerkanbieter

Verhältnis zwischen Anbieter und anderen Akteuren häufig unklar aufgrund lediglich informellen, faktischen Zusammenwirkens

Verhältnis zwischen Betroffenem und Datenverarbeiter Ausübung der informationellen Selbstbestimmung

Praktische Relevanz: Netzwerkanbieter und die Anbieter von Plattformanwendungen lassen eine Nutzung des jeweiligen Dienstes nur zu, wenn Nutzer zuvor umfangreich ihre Einwilligung mit von den Anbietern durchgeführten Datenverarbeitungen erklären

Ausreichende Information des Nutzers ist nicht gewünscht und nur schwer realisierbar; mangelnde Eindeutigkeit von Erklärungen; Freiwilligkeit wegen Verknüpfung der Einwilligung mit der Zurverfügungstellung der Netzwerkdienstleistung und wegen der Vormachtstellung insbesondere des Netzwerkanbieters gegenüber Nutzern kritisch; Konzept der dynamischen Anpassung und Entwicklung ist mit der Anforderung der Einzelfallbezogenheit nicht verein­bar; Konzept der Vernetzung kollidiert mit dem Grundsatz, dass nur der Betroffene selbst einwilligen kann

Ausübung der Vertragsfreiheit

Vertragsverhältnisse bestehen zwischen dem Nutzer und Anbieter sowie zwischen Nutzern und anderen Akteuren

Ausübung der Vertragsfreiheit allgemein durch strukturelles und informationelles Ungleichgewicht beeinträchtigt; speziell wenn die Verarbeitung von Daten einen Hauptzweck und eine vertragliche Pflicht oder Leistung im synallagmatischen Verhältnis darstellt, müssen ergänzend die Anfor­ derungen an die Ausübung der informationellen Selbstbestimmung beachtet werden Fortsetzung auf der nächsten Seite

266

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fortsetzung Tabelle 7

Kriterium ○

Relevanz im Umfeld sozialer Netzwerke

Wertung: Besonderheiten, Konflikte, Inkompatibilitäten

Beschäftigungs­ verhältnis

Grenze zwischen beruflichem und privatem Kontext verschwimmt bei der Netzwerknutzung; gezielte Nutzung zur beruflichen Selbstdarstellung möglich

Offen gelassene Wertung in der DS-GVO – Präzisierung durch die Mitgliedstaaten bleibt abzuwarten

Anbieter-NutzerVerhältnis

Kommt in Netzwerk­ umgebungen regelmäßig vor

Feststellung der Grenzen des Anbieter-Nutzer-Verhältnisses im engeren Sinne durch die Verschränkung und gegenseitige Abhängigkeit nutzergenerierter und kommerzieller Inhalte zusätzlich erschwert

Auswirkungen für Betroffene und berechtigte Erwartungen Auswirkungen für Betroffene

Nachteilige Auswirkungen für Nutzer aufgrund der Durchdringung sämtlicher Lebensbereiche und weiten Verbreitung der Netzwerke besonders wahrscheinlich; Abkoppelung des Informationseingriffs von den negativen Folgen

keine

Berechtigte Erwartungen

Nutzer erwarten Zurverfügungstellung einer kostenlosen Kommunikationsplattform, Anbieter zielt hingegen auf Ertragsgewinnung durch umfangreiche Monetarisierung der Nutzerdaten

keine

Soziale Medien begleiten den Lebensverlauf des Nutzers, dadurch zunehmend vollständiges Persönlichkeitsabbild, jedoch auch abnehmende Aussagekraft von überholten Informationen möglich; Veränderung der Interessenlage über den langen Zeitraum hinweg sehr wahrscheinlich

keine

Zeitliche Aspekte Zeitablauf

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩ Kriterium ○

Relevanz im Umfeld sozialer Netzwerke

267

Wertung: Besonderheiten, Konflikte, Inkompatibilitäten

Gesellschaftlicher/rechtlicher Bezug, Grundrechtsgefüge Kollision mit Rechten anderer

Konflikte zwischen Datenschutzinteressen der Nutzer und der Meinungsfreiheit anderer Beteiligter sind im Netzwerk in verschiedenen Konstellationen möglich

Offen gelassene Wertung in der DS-GVO – Präzisierung durch die Mitgliedstaaten bleibt abzuwarten

Konflikte zwischen Datenschutzinteressen der Nutzer und Informationsinteressen anderer Beteiligter insbeson­ dere deshalb, weil soziale Netzwerkplattformen zu wichtigen Medien der Informationsbeschaffung geworden sind

Offen gelassene Wertung in der DS-GVO – Präzisierung durch die Mitgliedstaaten bleibt abzuwarten

4. Exkurs: Abwägungsinstrumente des deutschen Datenschutzrechts im Umfeld sozialer Online-Netzwerke Hinsichtlich der aus dem deutschen Recht und der deutschen Rechtsprechung gleichermaßen oder zumindest ähnlich herausgearbeiteten Kriterien und Wertungen kann das oben Gesagte im übertragenen Sinne gelten. Betrachtet und im Hinblick auf ihre besondere Relevanz im Kontext sozialer Netzwerke untersucht werden hier deswegen nur knapp und exemplarisch einige Besonderheiten, die eine Auswertung des deutschen Rechts und der deutschen Rechtsprechung ergeben hat. a) Grundrechtlicher Schutzumfang und Menschenwürdekern □ Ebenso wie auf der europäischen Ebene ergeben sich auch im deutschen Verfassungsrecht die abzuwägenden Positionen der Beteiligten auf der Verfassungsebene.700 Die grundrechtliche Schutzkonzeption des deutschen Verfassungsrechts 700 Die mittelbare Drittwirkung der Grundrechte, die einen argumentativen Rückbezug auf diese auch beim Ausgleich privater Interessen ermöglicht und so Raum für einen Ausgleich der Verfassungsgüter bei der Anwendung einfachen Rechts schafft (dazu: Riehm, Abwägungsentscheidungen in der praktischen Rechtsanwendung, S.  10), ist auch im deutschen Recht anerkannt, vgl. die ursprüngliche Begründung unter Heranziehung einer vom Grundgesetz geschaffenen objektiven Werteordnung: BVerfG, Urt. v. 15.01.1958 – 1 BvR 400/51, BVerfGE, 7, 198 (205–207); zur ganz überwiegenden Anerkennung des Konzepts im All-

268

D. Interessenausgleich im Umfeld sozialer Netzwerke

ist allerdings hinsichtlich der im Netzwerkkontext relevanten Verarbeitung von Daten nicht deckungsgleich mit den Garantien der GRC.701 Während das deutsche Recht kein allgemeines Grundrecht auf Datenschutz kennt, besitzt es mit dem Grundrecht auf informationelle Selbstbestimmung702 eine zumindest teilweise Entsprechung des Datenschutzgrundrechts, die jedoch schon der Bezeichnung nach den Fokus sehr viel stärker auf Selbstbestimmungsaspekte703 legt. Aspekte des allgemeinen Persönlichkeitsrechts sind hingegen dem Grundrecht auf Privatleben aus Art. 7 GRC bzw. Art 8 EMRK durchaus weitreichend vergleichbar,704 während die spezielle Ausprägung des Grundrechts auf die Vertraulichkeit und Integrität informationstechnischer Systeme705 wiederum zumindest keine unmittelbare Entsprechung in der GRC besitzt706. Allen Ausfaltungen des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG ist jedoch ihre spezielle Nähe zur Menschenwürde707 gemein. Für den Ausgleich dieser Rechte mit anderen Grundrechten, die die Beteiligten im Netzwerkkontext geltend machen, hat dies zur Folge, dass sie noch deutlicher als andere Grundrechte einen abwägungsfesten Menschenwürdekern708 besitzen.709 Die Grundrechte aus Art. 7 und gemeinen: Herdegen, in: Maunz/Dürig/Herzog et al. (Hrsg.), GG Bd.  I, Art.  1 Abs.  3 GG, Rdnr. 59–65; speziell für das Grundrecht auf informationelle Selbstbestimmung: Di Fabio, in: Maunz/Dürig/Herzog et al. (Hrsg.), GG Bd. I, Art. 2 GG, Rdnr. 191; speziell zum Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme: Conrad, in: AuerReinsdorff/Conrad (Hrsg.), Hdb. IT- und Datenschutz, Teil  F, § 34 (Recht des Datenschutzes), Rdnr. 90. 701 Ausführlich zu den vom deutschen und europäischen Verfassungsrecht adressierten datenschutzrechtlichen Schutzgütern im Vergleich: Nebel, ZD 2015, 517; Roßnagel/Nebel, DuD 2015, 455 (456–457). 702 Zum Schutzumfang unter: B. II. 4. 703 Wie hingegen Selbstbestimmungsaspekte im Hinblick auf Art. 8 GRC zu bewerten sind, ist noch unklar. Gerade wegen der expliziten systematischen Abtrennung der Regelung der Einwilligung (Abs. 2) von der vorangehenden Beschreibung des Schutzgehalts (Abs. 1) ließe sich argumentieren, Selbstbestimmungselemente seien vom europäischen Gesetzgeber in diesem Fall eher als Mittel der zulässigen Grundrechtsbeschränkung denn als Bestandteil des grundrechtlichen Schutzumfangs verstanden worden. Die deutsche Kommentarliteratur liest dennoch Selbstbestimmungsaspekte in den Gehalt von Art. 8 Abs. 1 GRC hinein: Kingreen, in: Caliess/Ruffert (Hrsg.), Verfassungsrecht der EU, Art. 8 GRC, Rdnr. 1. (ohne nähere Begründung); Streinz, in: Streinz (Hrsg.), EUV/AEUV, Art. 8 GRC, Rdnr. 4. (mit Verweis auf EuGH-Rechtsprechung); Bernsdorff, in: Meyer (Hrsg.), Charta, Art. 8 GRC, Rn. 6; 14; 18.  704 Für eine sogar vollständig inhaltsgleiche Gewährleistung: Wallau, Die Menschenwürde in der Grundrechtsordnung der Europäischen Union, S.  249; Folz, in: Vedder/Heintschel von Heinegg (Hrsg.), EU-Recht, Art. 7 GRC, Rdnr. 3. 705 Dazu unter B. II. 4. 706 Es wird demgegenüber jedoch vertreten, die Vertraulichkeit und Integrität informations­ technischer Systeme sei immanente Voraussetzung der Ausübung des Datenschutzgrundrechts aus Art. 8 GRC und somit in diesem implizit enthalten: Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 227. 707 Di Fabio, in: Maunz/Dürig/Herzog et al. (Hrsg.), GG Bd. I, Art. 2 GG, Rdnr. 127. 708 Herdegen, in: Maunz/Dürig/Herzog et al. (Hrsg.), GG Bd. I, Art. 1 Abs. 1 GG, Rdnr. 26. 709 Sog. ‚Kernbereich‘, erstmals: BVerfG, Urt. v. 16.01.1957 – 1 BvR 253/5, BVerfGE, 6, 32 (36–37). Dazu Hillgruber, in: Epping/Hillgruber (Hrsg.), BeckOK GG, Art. 1 GG, Rdnr. 27.

III. Datenschutzrechtliche Ausgleichsinstrumente ❨□ △ ○❩

269

8 GRC bzw. Art. 8 EMRK weisen demgegenüber zumindest keine ausdrückliche Nähe zur in Art. 1 GRC niedergelegten Menschenwürdegarantie auf,710 wodurch die Belange der Nutzer im Netzwerkkontext zunächst nach deutschem Recht ein stärkeres Eigengewicht entfalten zu scheinen als im Unionsrecht. Zumindest entschärft wird dieser konzeptionelle Unterschied jedoch durch die Gewährleistung einer Unantastbarkeit des Wesensgehalts der europäischen Grundrechte in Art. 52 Abs. 1 GRC, welcher bei einer Auslegung der jeweils einschlägigen Grundrechte der Beteiligten im Lichte der auch im Rahmen der GRC allen Werten vorangestellten Menschenwürde (Art. 1 GRC) im Zusammenspiel von Art. 7 und 8 GRC einen dem deutschen Verfassungsrecht zumindest im Wesentlichen vergleichbaren Schutzumfang bieten kann.711 b) Eigener Geschäftszweck und geschäftsmäßige Übermittlung ○ Das BDSG führt als Bewertungskriterium eine Unterscheidung zwischen der Datenverarbeitung für eigene Geschäftszwecke (§ 28 BDSG) und der geschäftsmäßigen Datenverarbeitung zum Zwecke der Übermittlung (§§ 29, 30 BDSG) ein,712 710 Art.  7 und 8 GRC befinden sich nicht mehr im Titel I („Würde des Menschen“), sondern im Titel II („Freiheiten“). Zumindest implizit kritisiert auch Tzanou, IDPL 2013, 88 (97– 98), das Grundrecht auf Datenschutz aus Art. 8 GRC habe keinen abwägungsfesten Kern und müsse deswegen rund um die absolut zu schützenden Werte der Autonomie, Würde und persönlichen Identität neu konstruiert werden. Abweichend schreibt sie aber dem Grundrecht auf Achtung der Privatsphäre aus Art. 7 GRC einen solchen abwägungsfesten Kern zu. 711 Wallau, Die Menschenwürde in der Grundrechtsordnung der Europäischen Union, S. 167, unter Rückbezug auf die Erläuterungen zur GRC (ABl. Nr. C 303 v. 14.12.2007, S. 17). 712 Soziale Netzwerke bieten im Rahmen ihrer Softwareoberfläche eine Vielzahl verschiedener Dienste an, was das Auffinden der jeweils anwendbaren Rechtsnormen unter dem deutschen Datenschutzregime erschwert. Nach dem Schichtenmodell (Schaar, Datenschutz im Internet, S. 247–254) kommt es im deutschen Datenschutzrecht für die Abgrenzung datenschutzrechtlicher Bestimmungen aus BDSG, TMG und TKG grundsätzlich darauf an, welcher Ebene (Übertragungsebene, Interaktionsebene oder Inhaltsebene) die einzelnen Angebote des sozialen Netzwerks zuzuordnen sind. Allerdings ergibt sich bei sozialen Online-Netzwerken die besondere Situation, dass Daten, die klassisch der Inhaltsebene zuzuordnen waren, nicht mehr nur mittels eines Telemediendiensts übertragen werden, sondern selbst bei der Netzwerknutzung anfallen und diese erst sinnvollerweise ermöglichen. Dementsprechend wird sowohl vertreten, im Kontext sozialer Online-Netzwerke diese Daten ebenfalls der Interaktionsebene und damit dem Anwendungsbereich des TMG zuzuschreiben (so z. B. Rammos, K&R 2011, 692 [697]; Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, S. 396–397) als auch die auf die Inhaltsebene herkömmlich anwendbaren Regeln des BDSG heranzuziehen (so etwa Karg/Fahl, K&R 2011, 453 [458]; Piltz, Soziale Netzwerke im Internet, S. 68). Auch die Rechtsprechung hat, ohne auf die Problematik näher einzugehen, bereits mehrmals auf die Inhalte von Netzwerken das BDSG angewendet, vgl. z. B. BGH, Urt. v. 23.06.2009 – VI ZR 196/08, BGHZ, 181, 328 (335–343) (hier allerdings bezüglich einer Bewertungsplattform, die mit der Netzwerkdefinition nicht in jeder Hinsicht übereinstimmt); KG Berlin, Urt. v. 24.01.2014  – 5 U 42/12, ZD 2014, 412. Zur teilweisen Entschärfung des Abgrenzungsproblems durch die Ersetzung zahlreicher TMG-Bestimmungen durch die Vorschriften der DS-GVO: Keppeler, MMR 2015, 779.

270

D. Interessenausgleich im Umfeld sozialer Netzwerke

um wertungsmäßig der Tatsache Rechnung tragen zu können, dass Personen als Schutzsubjekte des Datenschutzrechts zwar Beziehungen zu datenverarbeitenden Stellen eingehen und dadurch den gesetzlichen Schutz teilweise freiwillig aufgeben können713, eine völlig andersartige Gefährdungslage für das Persönlichkeitsrecht aber gegeben ist, wenn die Datenverarbeitung selbst der zentrale und hauptsächliche Zweck des jeweiligen Geschäfts ist.714 Entscheidend für die Feststellung der eigenen Geschäftszwecke bzw. geschäftsmäßigen Übermittlung ist die Frage, ob der Datenverarbeiter selbst ein eigenes und von der reinen Übermittlung an andere getrenntes Interesse an der Datenverarbeitung hat oder ob sein einziges Interesse in der Übermittlung selbst liegt.715 Konterkariert wird diese gesetzgeberische Wertungsintention aber durch den Umstand, dass es den Datenverarbeitern rund um das soziale Netzwerk – obwohl ihr Konzept mit dem vom Gesetzgeber ursprünglich anvisierten Modell des Datenhandels kaum vergleichbar ist, weil sie nicht vorrangig auf die geschäftsmäßige Übermittlung von Daten an Dritte abzielen (insbesondere der Netzwerkbetreiber verarbeitet die Daten gerade selbst, Übermittlungen an Dritte finden hingegen nur in Ausnahmefällen statt) – nicht lediglich auf die Verarbeitung der Nutzerdaten im Rahmen anderweitiger Geschäfte ankommt, sondern dass die Verarbeitung der Nutzerdaten im Zusammenhang mit dem jeweiligen Geschäftsmodell gerade selbst den Geschäftszweck darstellt.716 Es besteht mithin eine Gefährdungslage, die der mit dem Kriterium der geschäftsmäßigen Erhebung zum Zwecke der Übermittlung verbundenen Gefährdungssituation durchaus nahesteht. Weil das vom Gesetzgeber eingeführte Kriterium aber auf solche Sachverhalte in der Netzwerkumgebung nicht ohne Weiteres anwendbar ist, kann die Wertung des Gesetzgebers dort auch ihre Wirkung nicht in der vorgesehenen Weise entfalten. Die Unterscheidung anhand des Kriteriums des eigenen Geschäftszwecks kann daher für typische Sachverhalte im Kontext sozialer Netzwerke zu einer Verzerrung der vom Gesetzgeber intendierten Wertungen und damit zu einer Verfälschung des Ergebnisses des Interessenausgleichs führen.

713

Gola/Schomerus/Körffer, in: Gola/Schomerus/Klug et al. (Hrsg.), BDSG, § 28  BDSG, Rdnr. 7. 714 Ambs, in: Erbs/Kohlhaas/Ambs (Hrsg.), Strafrechtliche Nebengesetze, Abschnitt D 25, § 28 BDSG, Rdnr. 2. 715 Ehmann, in: Simitis (Hrsg.), BDSG, § 29 BDSG, Rdnr. 20. 716 Dazu oben unter D. I. 4. Zur Abgrenzung der Erlaubnisnormen hinsichtlich der Datenverarbeitungen der Anbieter sozialer Netzwerke für unterschiedliche Varianten von Geschäftskonzepten ausführlich bei Jandt/Roßnagel, in: Schenk/Niemann/Reinmann et al. (Hrsg.), Digitale Privatsphäre, S. 309 (357–359).

IV. Ergebnisse, Einordnung und Stellungnahme  

271

IV. Ergebnisse, Einordnung und Stellungnahme   1. Ergebnisse und Einordnung Es hat sich gezeigt, dass die untersuchten Ausgleichsinstrumente (□ △ ○) im Umfeld sozialer Online- Netzwerke unter den Voraussetzungen des dortigen spezifischen Interessengefüges teilweise veränderte und eingeschränkte Wirkung entfalten (für Gesamtübersichten vgl. Tabelle 6, S. 150 und Tabelle 7, S. 180). Die zuvor gefundenen Ergebnisse lassen sich den Kategorien ‚spezifische Relevanz‘, ‚zu weiter/zu enger Spielraum‘, ‚eingeschränkte Wirkung‘, ‚Anwendungsprobleme‘, ‚Auslegungsprobleme‘, ‚Inkompatibilität‘, ‚offen gelassene Wertung‘ und ‚gute Eignung‘ zuweisen, welche jeweils Abstufungen der Funktionsweise der datenschutzrechtlichen Ausgleichswerkzeuge im Netzwerkumfeld beschreiben: ‚Spezifische Relevanz‘: Sämtliche der untersuchten Ausgleichswerkzeuge (□△○) weisen eine spezifische Relevanz im Umfeld sozialer Netzwerke auf, d. h. sie sind aufgrund unterschiedlicher wirtschaftlicher, technologischer oder gesellschaftlicher Umstände von größerer praktischer Bedeutung, als es in anderen Zusammenhängen der Fall wäre. ‚Zu weiter/zu enger Spielraum‘: Verschiedene Ausgleichsmechanismen (△) weisen entweder einen zu engen oder zu weiten Ausgleichsspielraum auf. Im ersteren Fall bewirkt dies, dass beteiligte Interessen oder Interessenträger, spezifische Gegebenheiten in der Netzwerkumgebung oder aber Besonderheiten des Interessengefüges nicht oder nicht ausreichend berücksichtigt werden können. Die untersuchten unbestimmten Begriffe und der Verarbeitungsgrundsatz der Zweckgebundenheit sind großteils einer spezifischen Auslegung, die die Besonderheiten der Netzwerkumgebung berücksichtigt, zugänglich. Wo allerdings der Wortlaut einer solchen Auslegung Grenzen setzt, führt die mangelnde Flexibilität von Begriffen, insbesondere von Anwendbarkeitsvoraussetzungen, dazu, dass einzelne Beteiligte oder Interessen beim Interessenausgleich außen vor bleiben. Umgekehrt führt jedoch auch eine zu große Flexibilität zu Problemen, da – obwohl es zwar generell möglich ist, alle gegebenen Faktoren in die Abwägung einzubeziehen – deren Parameter und das Abwägungsverfahren vom Gesetzgeber gar nicht oder so oberflächlich vorgegeben sind, dass das Ergebnis von Abwägungen im Einzelfall gerade hinsichtlich der überaus komplexen und vielschichtigen Interessenlagen im Netzwerkumfeld unberechenbar wird und somit erhebliche Rechtsunsicherheit verbleibt. Zudem wirken sich besonders gravierende informationelle und strukturelle Ungleichgewichte deutlich zugunsten der datenverarbeitenden Stellen aus, was im Zusammenhang mit sehr weiten Abwägungsmechanismen zu erhöhter Missbrauchsgefahr führt. Betroffen sind hiervon insbesondere der allgemeine Verhältnismäßigkeitsgrundsatz sowie ausdrücklich angeordnete, jedoch im Maßstab und Verfahren nicht näher spezifizierte Interessenabwägungstatbestände. Erforderlichkeitsklauseln eröffnen zwar grundsätzlich einen ähnlich weiten Abwägungsrahmen wie der Verhältnismäßigkeitsgrundsatz, können aber durch die

272

D. Interessenausgleich im Umfeld sozialer Netzwerke

Verknüpfung mit ausreichend spezifischen Kriterien maßgeblich eingeschränkt werden. ‚Eingeschränkte Wirkung‘: Solche Mechanismen und Kriterien (△○), die den datenschutzrechtsspezifischen Ungleichgewichten entgegenwirken sollen, sind aus verschiedenen Gründen im Umfeld sozialer Netzwerke weniger wirksam. Obwohl sie gezielt darauf ausgerichtet sind, strukturelle und informationelle Defizite seitens des Betroffenen auszugleichen, vermögen sie dies gerade aufgrund der besonderen Schwere dieser Unterschiede und den hinzutretenden Grenzauflösungen sowie äußerer Faktoren im Umfeld sozialer Netzwerke nicht oder nur sehr eingeschränkt zu leisten. Auskunfts- und Informationsrechte, Datenportabilität, das Recht auf Vergessenwerden, datenschutzfreundliche Voreinstellungen und Gestaltung, technisch-organisatorische Schutzvorkehrungen und Garantien, Standardisierungsvorgaben und Maßnahmen der einheitlichen Anwendung, Durchsetzung und Überwachung der Einhaltung des Datenschutzrechts können deswegen in der Netzwerkumgebung nur eingeschränkt ihre Wirkung als Mechanismen des Interessenausgleichs entfalten. ‚Anwendungs- und Auslegungsprobleme‘: Zudem bestehen für verschiedene Kriterien (○) Probleme entweder in der praktischen Anwendung oder aber bereits bei der Auslegung im Zusammenhang mit der Netzwerkumgebung. So gestaltet es sich in der Praxis schwierig, Daten von Kindern im Netzwerk zu identifizieren, festzustellen, ob ein Betroffener selbst im Netzwerk Daten veröffentlicht hat, und auch die Kriterien der Drittlandübermittlung und Auftragsdatenverarbeitung sind aufgrund der grenzüberschreitenden Vernetzung von Netzwerkumgebungen und der Praxis des informellen Zusammenwirkens in der Netzwerkumgebung nur bedingt geeignet, die relevanten Sachverhalte datenschutzrechtlich zu erfassen. Die Verwendung auslegungsfähiger Begriffe lässt den Anwendungsbereich mancher Kriterien im Netzwerkkontext verschwimmen. So ist etwa nicht eindeutig, unter welchen Voraussetzungen Daten als öffentlich zugänglich gelten können oder in welchem Umfang ein Dienst noch als vom Nutzer ausdrücklich gewünscht gelten kann, was die Anwendung gesetzlicher Wertungen auf entsprechende Sachverhalte behindert. ‚Inkompatibilität‘: Des Weiteren wurden tiefgreifende Konflikte mancher Kriterien (○), etwa des Selbstbestimmungskonzepts und der Vertragsfreiheit, mit den Gegebenheiten in der Netzwerkumgebung festgestellt. Dies wirkt sich umso schwerwiegender aus, als gerade Elemente der Selbstbestimmung und Privatautonomie in den eigentlich privatrechtlichen Verhältnissen zwischen Anbietern, Nutzern und weiteren Akteuren eine herausragende Rolle spielen. ‚Offengelassene Wertung‘: Gerade in besonders konfliktträchtigen Bereichen, nämlich bevorzugt dort, wo unmittelbare Grundrechtskollisionen zu bewältigen sind, lässt der Verordnungsgeber absichtlich im Zusammenhang mit Kriterien (○) die Wertungen gänzlich offen und verweist für eine weitere Ausgestaltung des Grundrechtsausgleichs auf die Mitgliedstaaten. Dies gilt insbesondere für den in der Umgebung sozialer Netzwerke besonders bedeutsamen Ausgleich zwischen

IV. Ergebnisse, Einordnung und Stellungnahme  

273

Datenschutzrechten und der Meinungs- und Informationsfreiheit, für die der Verordnungsgeber nicht nur eine Ausgestaltung im Rahmen der Vorgaben der DSGVO, sondern sogar Abweichungen von den dort vorgegebenen Standards zugelassen hat, eine Wertung ansonsten aber nicht spezifiziert. ‚Gute Eignung‘: Dennoch sind für einige Kriterien (○, etwa Datenmenge, Betroffenenzahl, Auswirkungen, berechtigte Erwartungen, Zeitablauf, Sensibilität) keine speziellen Inkompatibilitäten mit den Voraussetzungen im Netzwerkkontext aufgedeckt worden, sondern ihre besondere Einschlägigkeit und Relevanz lässt im Gegenteil darauf schließen, dass sie besonders geeignet sind, die Interessenlage im Umfeld sozialer Online-Netzwerke im Rahmen des Interessenausgleichs argumentativ zu erfassen. Tabelle 8 fasst untenstehend nochmals alle untersuchten Mechanismen und Kriterien, die für sie in der Netzwerkumgebung aufgedeckte besondere Relevanz und eine Bewertung ihrer Funktionsweise anhand der beschriebenen Kategorien zusammen: Tabelle 8 Ergebnisse und Einordnung Mechanismus (△)

Spezifische Relevanz

Bewertung

Verhältnismäßigkeitsgrundsatz

ja

zu weiter Spielraum

Ausdrücklich angeordnete Interessen­abwägung

ja

zu weiter Spielraum

Erforderlichkeitsklauseln

ja

teilweise zu weiter ­Spielraum

Unbestimmte Begriffe und Verarbeitungsgrundsätze

ja

teilweise zu enger ­Spielraum

Selbstbestimmungselemente

ja

eingeschränkte Wirkung

Datenschutzrechtsspezifische Mechanismen

ja

eingeschränkte Wirkung

Bewertung

Kriterium (○)

Sensible Daten

ja

gute Eignung

Personenbezug

ja

eingeschränkte Wirkung (Wertung verzerrt)

Öffentliche Daten

ja

Anwendungs- u. Auslegung­s­ probleme

Kinder

ja

Anwendungs- u. Auslegungsprobleme Fortsetzung auf der nächsten Seite

274

D. Interessenausgleich im Umfeld sozialer Netzwerke

Fortsetzung Tabelle 8

Mechanismus (△)

Spezifische Relevanz

Bewertung

Verwendung neuer Technologien

ja

Anwendungs- u. Auslegungsprobleme

Verwendung von TrackingWerkzeugen

ja

Anwendungs- u. Auslegungsprobleme

Profiling und Scoring

ja

Anwendungs- u. Auslegungsprobleme

Datenmenge und Betroffenenzahl

ja

gute Eignung

Direktwerbung

ja

teilweise Inkompatibilität

Datenverarbeitungsintensive Kerntätigkeit

ja

gute Eignung

Drittlandübermittlungen

ja

Anwendungs- u. Auslegungsprobleme

Auftragsdatenverarbeitungen

ja

Anwendungs- u. Auslegungsprobleme

Ausübung der informationellen Selbstbestimmung

ja

Inkompatibilität

Ausübung der Vertragsfreiheit

ja

Inkompatibilität

Beschäftigungsverhältnis

ja

Offengelassene Wertung

Auswirkungen für Betroffene

ja

gute Eignung

Berechtigte Erwartungen

ja

gute Eignung

Zeitablauf

ja

gute Eignung

Kollision mit Rechten anderer

ja

offengelassene Wertung

2. Zusammenspiel und Wechselwirkungen Kriterien können auch beim Interessenausgleich in Netzwerkumgebungen nicht nur einzeln auftreten, sondern gehäuft einschlägig sein und Wechselwirkungen entfalten.717 Beispielsweise beinhalten die von den Netzwerkanbietern eingesetzten neuartigen Technologien regelmäßig auch umfangreiche Verfahren der systematischen und umfassenden Verarbeitung, Analyse und Prognose mit besonderer Risikoneigung, die eine systematische und umfassende Datenverarbeitung gestatten. Damit geht einher, dass besonders große Datenmengen effizienter verarbeitet

717

Allgemein zum Zusammenspiel und Wechselwirkungen unter C. V. 1. b).

IV. Ergebnisse, Einordnung und Stellungnahme  

275

werden können, was wiederum zu einer Anhäufung noch größerer Datenmengen beim Anbieter und damit zur leichteren Herstellbarkeit des Personenbezugs durch diesen führt. Im Falle der Verarbeitung von Daten eines Kindes führt die Unerfahrenheit des Kindes bei der Preisgabe personenbezogener Daten im Umfeld sozialer Netzwerke u. a. zur Verarbeitung seiner besonders sensiblen, überdurchschnittlich häufig personenbezogenen Daten im sozialen Netzwerk auf eine besonders systematische und umfassende Art und Weise über einen langen Zeitraum hinweg718 und mit nur schwer absehbaren Konsequenzen. Die mit den einzelnen Kriterien verbundenen Wertungen (z. B. einer größeren Schutzbedürftigkeit oder Eingriffstiefe)  können sich daher in der Netzwerkumgebung ebenso akkumulieren und ihre besondere Relevanz kann sich durch eine solche Häufung verstärken. Umgekehrt kann das Aufeinandertreffen mehrerer Mechanismen und Kriterien auch zu einer Verschärfung der festgestellten Anwendungsprobleme und Inkompatibilitäten führen. Ist ein Mechanismus zu weit, so lässt sich möglicherweise auch durch die Einschlägigkeit zahlreicher an sich für den Interessenausgleich im Netzwerkkontext gut geeigneter Kriterien das Ergebnis der Interessenabwägung nicht ausreichend rechtssicher determinieren. Ist hingegen innerhalb eines geeigneten Mechanismus unter mehreren Kriterien für eines von ihnen aufgrund der besonderen Voraussetzungen in der Netzwerkumgebung der Anwendungsbereich nicht exakt bestimmbar oder die mit ihm verknüpfte Wertung verzerrt, so wirkt sich dies auf den gesamten Interessenausgleich und damit auch auf die Anwendung aller weiteren Kriterien und Wertungen aus. 3. Stellungnahme Wie bereits zum Ende des vorherigen Abschnitts vermutet, hat sich gezeigt, dass die Abwägungsinstrumente des Datenschutzrechts im Zusammenhang mit dem sehr spezifischen Interessengefüge im Umfeld sozialer Netzwerke und den dort wirkenden besonderen technologischen, wirtschaftlichen, gesellschaftlichen und kommunikationssoziologischen Faktoren teilweise veränderte und beeinträchtigte Funktionen aufweisen (vgl. die Übersichten in Tabelle 8, S. 150 und Tabelle 7, S. 180 sowie die Zusammenschau aller Ergebnisse in Tabelle 8). Dies lässt – vor allem im Hinblick darauf, dass der Gesetzgeber, wie aus Abschnitt C hervorging, die Grundstrukturen des Interessenausgleichs eigentlich weitreichend vorzeichnen wollte – wiederum darauf schließen, dass der Interessenausgleich im Umfeld sozialer Netzwerke aufgrund der eingeschränkten Funktionsweise der zu seiner Herstellung verwendeten Werkzeuge zumindest behindert oder aber verzerrt, in­ einigen Sachverhalten seine Herstellung sogar aufgrund zu unbestimmter Parameter dem Zufall oder der Willkür des den Ausgleich in aller Regel durchführenden Datenverarbeiters überlassen sein wird.

718

Jandt/Roßnagel, MMR 2011, 637 (638).

E. Anwendungsbeispiele  Um zu überprüfen und zu illustrieren, wie sich die gefundenen Schwächen der datenschutzrechtlichen Ausgleichswerkzeuge in der Rechtsanwendung äußern, werden nachfolgend jeweils zunächst typische Sachverhalte aus der Netzwerkumgebung beschrieben. Eine ‚Einordnung‘ dieser Sachverhalte setzt sie zu den einschlägigen datenschutzrechtlichen Bestimmungen in Bezug und beleuchtet aus der für die vorangegangene Analyse gewählten Perspektive heraus, welche datenschutzrechtlichen Ausgleichsinstrumente für die Lösung des konkreten Interessenkonflikts jeweils zum Einsatz kommen können. In einem weiteren Schritt wird anschließend unter der Überschrift ‚Bewertung‘ versucht, den Interessenkonflikt unter Verwendung der zur Verfügung stehenden Ausgleichsinstrumente zu lösen. Ausgewählt wurden Sachverhalte, für die im Zusammenhang mit den zu Anfang aufgeworfenen Forschungsfragen vermutet wird, dass sich aufgrund der hier im Vordergrund stehenden neuartigen Kommunikations- und Interaktionsformen (etwa: Liken, Teilen und Empfehlen von Inhalten, vgl. Bsp. II und III), Technologien (etwa: Algorithmen, vgl. Bsp. I und III; Social Plugins, vgl. Bsp. II; Software für die effiziente Erfassung und Auswertung von Daten beim Monitoring, vgl. Bsp. IV) und Geschäftsmodelle (etwa: Werbekonzept sozialer Medien, vgl. Bsp. I; Verflechtung kommerzieller und anderer Inhalte, vgl. Bsp. III) eine Beeinträchtigung der Funktionsweise der datenschutzrechtlichen Ausgleichswerkzeuge besonders eindeutig zeigen wird.

I. Beispiel: Verantwortlichkeit für Datenverarbeitungsvorgänge im Vorfeld der Ausspielung von Werbung Der Netzwerkanbieter spielt Werbeanzeigen auf zur Verfügung stehenden Werbeflächen in Echtzeit aus. Die Auswahl der Werbeanzeigen geschieht im Rahmen eines Auk­ tionsverfahrens; ausgespielt wird immer nur diejenige Anzeige, die die Auktion jeweils für sich entschieden hat. Einer der bestimmenden Faktoren für die Auktion ist ein Abgleich der aus seinem Nutzungsverhalten hervorgehenden Präferenzen des konkret zu bewerbenden Nutzers mit den mit der Werbeanzeige verknüpften Zielgruppeneigenschaften und mit dem mit der Werbeanzeige zu erreichenden Zweck.1 Die Zielgruppen­eigenschaften und Zwecke für eine Anzeige werden dabei grundsätzlich vom Werbetreibenden bestimmt, der

1

Das beschriebene Verfahren entspricht im Wesentlichen dem Auktionsverfahren bei Facebook. Zusätzlich Berücksichtigung finden dort aber die Höhe des Gebots des Werbetreibenden sowie die vom Anbieter errechnete Qualität und Relevanz der Anzeige für den Nutzer: Facebook, Webseite ‚Werbeanzeigenauktionen‘.

I. Beispiel: Verantwortlichkeit für Datenverarbeitungsvorgänge 

277

Anbieter behält sich jedoch vor: „Allerdings können wir nicht in allen Fällen garantieren, dass deine Werbeanzeige die ausgewählte Zielgruppe erreicht. […] In den Fällen, in denen wir glauben, dass wir so die Effektivität deiner Werbekampagne steigern können, sind wir dazu befugt, die von dir festgelegten Zielgruppenkriterien zu erweitern.“2

Trifft die datenschutzrechtliche Verantwortlichkeit hinsichtlich des im Auk­ tionsverfahren stattfindenden Abgleichs der Zielgruppenangaben mit den Verhaltens- und Interessenprofilen der zu bewerbenden Nutzer auch den Werbetreibenden? 1. Einordnung Das Vorliegen datenschutzrechtlicher Verantwortlichkeit i. S. v. Art.  4 Abs.  7 DS-GVO identifiziert die Hauptadressaten der Verordnung und ist Voraussetzung für die Anwendbarkeit zahlreicher Vorschriften auf die Beteiligten. Nur soweit Werbetreibende als Verantwortliche erfasst sind, kann von ihnen also die Einhaltung der an den ‚Verantwortlichen‘ gerichteten Vorschriften der Verordnung gefordert und können diese gegen sie durchgesetzt werden. Die Verantwortlichkeit (△) wurde zugleich als ein Mechanismus des Interessenausgleichs in der Form eines unbestimmten, der Auslegung zugänglichen Begriffes identifiziert, wobei eine spezifische Auslegung zur Berücksichtigung der Besonderheiten der Netzwerkumgebung und des dortigen Interessengefüges nur teilweise möglich ist, weil der Wortlaut dieser eindeutige Grenzen setzt. Bei dem beschriebenen Sachverhalt handelt es sich um eine typische Konstellation in der Netzwerkumgebung, anhand derer die Wortlautgrenzen des Verantwortlichkeitsbegriffs deutlich hervortreten. Von Belang für den Interessenausgleich sind hier einerseits die Interessen der Nutzer am Schutz ihrer personenbezogenen Daten (□) und an der Achtung ihrer Privatsphäre (□), andererseits geschäftliche Interessen der Werbetreibenden und des Anbieters (□). Allerdings können auch Nutzer ein Interesse daran haben, für sie besonders nützliche oder relevante Werbeanzeigen zu erhalten (□). Mit dem Verantwortlichkeitsbegriff sind in der DS-GVO zumindest nicht ausdrücklich spezielle Abwägungskriterien (○) verbunden. Eine grundrechtskonforme Auslegung des unbestimmten Begriffes verlangt aber nach einem Rückbezug auf den verhältnismäßigen Ausgleich der relevanten Grundrechte. Herangezogen werden können hierfür die von der Rechtsprechung auf der Grundrechtsebene erarbeiteten Kriterien. Nicht unmittelbar anwendbar sind dagegen die in der DS-GVO aufgefundenen Kriterien, da eine Auslegung von Grundrechten nicht unter Heranziehung des einfachen Rechts erfolgen kann; sie können aller 2 So die Bedingungen für Werbetreibende bei Facebook, Bedingungen für Self-Service Werbeanzeigen, Nr. 1 und 2.

278

E. Anwendungsbeispiele 

dings zumindest hilfsweise in die Erarbeitung von Argumenten für den dennoch autonom durchzuführenden Grundrechtsausgleich einbezogen werden. Der im Rahmen der Ausspielung von Werbeanzeigen durchgeführte Abgleich dient dem Behavioral Targeting und damit einer Variante des vom Gesetzgeber als besonders eingriffsintensiv bewerteten Direktmarketings (○). Dabei kommt es zu einer von der Rechtsprechung und Gesetzgebung als besonders eingriffsintensiv erkannten Profilbildung (○), die umfangreiche Rückschlüsse auf das Privatleben (○) zulässt und sich gezielt auf dessen Erforschung richtet (○). Das bezüglich des Nutzers erstellte Interessens- und Verhaltensprofil beinhaltet insbesondere auch unwissentlich oder unbewusst erzeugte Verhaltensdaten (○), setzt sich aus einer großen Datenmenge zusammen (○) und wird aus unterschiedlichsten Quellen gespeist (○, z. B. fließen auch durch die Benutzung externer Seiten über Social Plugins oder von mit der Plattform über eine Schnittstelle verbundenen Anwendungen generierte Daten mit ein). Bei dem Abgleich können zudem besonders sensible Datenkategorien (○) betroffen sein, die sowohl von der Rechtsprechung auf der Grundrechtsebene als auch von der DS-GVO als besonders schützenswert eingestuft werden. 2. Bewertung Die weitreichende Einschlägigkeit diverser Kriterien betont die Eingriffsintensität des durchgeführten Datenabgleichs. Dies lässt grundsätzlich eine weite Auslegung des Verantwortlichkeitsbegriffs, unter der auch das Verhalten der Werbetreibenden neben demjenigen des Anbieters datenschutzrechtlich erfasst werden kann, sinnvoll erscheinen, weil nur unter der Bedingung der datenschutzrechtlichen Erfassung des Werbetreibenden als Verantwortlichen weitere datenschutzrechtliche Mechanismen greifen und einen Ausgleich der Interessen aller Beteiligten herbeiführen können. Dieser Auslegung sind allerdings durch den Wortlaut in der Definition des Verantwortlichkeitsbegriffes eindeutige Grenzen gesetzt – so kann es also auch hier lediglich auf eine faktische Mitbestimmungsmacht und nicht auf die normative Verantwortung oder wirtschaftliche Verflechtung aufgrund des Zusammenwirkens beider Akteure ankommen. Eine faktische Mitbestimmungsmacht ist dem Werbetreibenden aber hinsichtlich des Datenabgleichs nicht gegeben; weder bestimmt er über die Art und Weise des Abgleichs (entsprechende Strategien und Algorithmen werden vom Anbieter eingesetzt und verwaltet) noch über dessen Zwecke im Einzelnen (der Anbieter nimmt lediglich die Zielgruppenangaben und Zweckbestimmungen des Werbetreibenden entgegen, behält sich aber die Durchführung des Abgleichs anhand weiterer Kriterien und nach einem von ihm festgelegten Verfahren vor). Der Verantwortlichkeitsbegriff erfasst den Beitrag Werbetreibender im beschriebenen Sachverhalt aufgrund seiner eingeschränkten Flexibilität also nicht, erweist sich als Ausgleichsmechanismus im Beispielsfall als zu eng und verhindert damit zugleich ein Eingreifen weiterer datenschutzrechtlicher Ausgleichsinstrumente.

II. Beispiel: Personenbeziehbarkeit 

279

II. Beispiel: Personenbeziehbarkeit hinsichtlich der für den Betrieb eines sozialen Plugins ausgetauschten Daten Der Betreiber einer Homepage bindet ein von einem Netzwerkanbieter bereitgestelltes Plugin in seine Seite ein. Das Plugin funktioniert dabei für bei dem Netzwerk registrierte und zum Zeitpunkt des externen Seitenaufrufs eingeloggte Nutzer folgendermaßen: Sobald ein Nutzer die externe Webseite aufruft, wird zugleich das Plugin unmittelbar von den Servern des Netzwerkbetreibers geladen. Dieser erhält somit sämtliche typischerweise bei einer Serveranfrage übermittelten Informationen. Übertragen werden z. B. die IP-Adresse und nähere Informationen zum verwendeten Browser; übermittelt werden außerdem die für den Netzwerkanbieter auslesbaren Cookie-Inhalte. Das Plugin selbst ist so konstruiert, dass es zusätzlich die Information, auf welcher Seite (d. h. in welchen inhaltlichen Zusammenhang) es eingebunden ist und geladen werden soll, an den Netzwerkbetreiber übermittelt.3 Nach dem Laden des Plugins im Browser des Nutzers wird der Auftritt des Seitenbetreibers im sozialen Netzwerk in einer vereinfachten Version angezeigt, und der Nutzer kann direkt mit dem sozialen Inhalt der Netzwerkseite interagieren, ohne hierzu die externe Homepage verlassen zu müssen. Unabhängig von seiner Interaktion mit dem Plugin werden dem Nutzer personalisierte Inhalte in Verbindung mit dem Plugin angezeigt, z. B. ob seine Kontakte im Netzwerk die Seite bereits mit ‚Gefällt mir‘ markiert haben. Interagiert der Nutzer selbst mit dem Plugin, so finden auch diese Interaktionen unmittelbar mit den Servern des Seitenbetreibers statt, und es werden die entsprechenden Daten zwischen den Servern und dem Endgerät des Nutzers ausgetauscht.

Handelt es sich aus der Sicht des externen Seitenbetreibers bei den Daten, die für den Betrieb des Plugins mit den Servern des Netzwerkanbieters ausgetauscht wurden, um personenbezogene Daten? 1. Einordnung Der Personenbezug bzw. die Personenbeziehbarkeit eines Datums stellt nach Art. 2 Abs. 1 i. V. m. Art. 4 Abs. 1 DS-GVO eine der Anwendbarkeitsvoraussetzungen der DS-GVO dar. Die Personenbeziehbarkeit (△) wurde zugleich als Mecha­ nismus des datenschutzrechtlichen Interessenausgleichs identifiziert, weil bei der Auslegung der gesetzlichen Definition dem Rechtsanwender ein wesentlicher Spielraum verbleibt, Interessen und Interessenträger zu berücksichtigen. Für Nutzer ist im obigen Sachverhalt der möglichst umfassende und effektive Schutz ihrer im Zusammenhang mit der Seiten- und Plugin-Nutzung verarbeiteten Daten von Belang (□). Der externe Seitenbetreiber verfolgt bei der Einbindung des Plugins wirtschaftliche Interessen – es dient ihm für Werbung, Marketing und entsprechende Analysen (□). Auf der Grundrechtsebene streiten also die Freiheit 3 Dies gilt etwa für sämtliche von Facebook angebotenen Plugins: Facebook, Webseite ‚Social Plugins FAQs‘.

280

E. Anwendungsbeispiele 

der wirtschaftlichen Betätigung des Seitenbetreibers (□) sowie seine Freiheit der Meinungsäußerung (□, sofern mit der Einbindung des Plugins eine inhaltliche Aussage verbunden ist) gegen die Rechte des Betroffenen auf den Schutz seiner personenbezogenen Daten (□) und die Respektierung seiner Privatsphäre (□). Der Netzwerkbetreiber hat ebenfalls ein wirtschaftliches Interesse an der Einbindung des Plugins – in dreierlei Hinsicht: Das Plugin trägt zunächst zum Inhaltsreichtum und zur Verbreitung der Netzwerkdienstleistung bei und optimiert somit die den Nutzern angebotenen Leistungen (□). Dies wiederum sorgt für zahlreiche und zufriedene Nutzer (□) und die Entstehung umfangreicher Nutzungsprofile (□), die für das Behavioral Targeting ausgeschlachtet und monetarisiert werden können. Zugleich wird mit dem externen Seitenbetreiber ein potenzieller Werbekunde an das Netzwerk und seine Dienstleistungen gebunden, der neben der Verwendung der kostenfreien Social Plugins möglicherweise auch kostenpflichtige Werbeanzeigen in Auftrag geben wird (□). Auch mit dem Personenbeziehbarkeitsbegriff sind keine spezifischen Abwägungskriterien (○) verbunden; über eine grundrechtskonforme Auslegung ist ein Rückbezug auf die von der Rechtsprechung entwickelten Kriterien erforderlich, hilfsweise kann für die Argumentation auf der Grundrechtsebene wiederum auf die sehr ähnlichen von der DS-GVO aufgestellten Kriterien rekurriert werden. Die Erfassung und Verwertung von Nutzerdaten für das Angebot von Social Plugins erfolgt über unzählige Webseiten und die gesamte Dauer der Mitgliedschaft des Nutzers bei einem Netzwerk hinweg; durch den gezielten Einsatz von Trackingwerkzeugen (○) kommt es zu einer besonders breit angelegten (○) und lang andauernden (○) Beobachtung des Nutzerverhaltens, die auch ein Profiling (○) und entsprechende Rückschlüsse auf private Gewohnheiten und Vorlieben (○) einschließt, um dem Nutzer jeweils entsprechend personalisierte Inhalte im Zusammenhang mit dem Plugin anbieten zu können. (Dass mittelbar auf der Grundlage der so gewonnenen Informationen auch interessengerechte Werbung für die Nutzer zur Anzeige in der Netzwerkoberfläche ermittelt wird, soll bei der Betrachtung der Verarbeitungen im Rahmen des Plugin-Angebots vorliegend der Einfachheit halber außer Acht bleiben; die Tatsache, dass das Angebot und die Nutzung von Social Plugins zumindest auch auf die Anreicherung der Datensätze des Netzwerks für Werbezwecke zielt, könnte jedoch dafür sprechen, eine entsprechend vom Geschäftsmodell fest vorgesehene spätere werbliche Nutzung der Daten bereits jetzt in die Argumentation einzubeziehen.) Auch handelt es sich bei den erfassten Daten nicht um solche, die der Nutzer im Netzwerk veröffentlicht hat (○), sondern gegenteilig um Verhaltensdaten, die er zwangsläufig und möglicherweise sogar unbewusst bei der Interaktion mit Inhalten des Web produziert. Dieses Kriterium hat für soziale Plugins eine besondere Bedeutung, weil jedenfalls der erstmalige Aufruf des Plugins nicht bewusst geschieht  – es wird automatisch mit einer anderen Seite geladen, die der Nutzer angefragt hatte. Bewusst wird ihm daher die Existenz des Plugins und damit der Datenaustausch mit den Servern des Netzwerks frühestens dann, wenn das Plugin sichtbar im Browser geladen wurde.

III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung von Inhalten 

281

2. Bewertung Für ein innerhalb der Wortlautgrenzen entsprechend weites Verständnis des Konzepts der Personenbeziehbarkeit spricht also, dass diverse Ausgleichskriterien einschlägig sind, die generell mit einem besonders breiten und tiefen Eingriff verbunden sind bzw. eine besondere Schutzbedürftigkeit des Betroffenen und seiner Daten und ein entsprechend stärkeres Gewicht seiner Belange implizieren sollen. Eine weite Auslegung ist im Rahmen der Vorgaben des Wortlautes auch insofern möglich, als die Identifizierungsmöglichkeiten sämtlicher Dritter in die Beurteilung einbezogen werden können, soweit vernünftigerweise damit gerechnet werden kann, dass diese die ihnen zur Verfügung stehenden Mittel zur Identifizierung des Betroffenen einsetzen werden. Der identifizierende Dritte ist im vorliegenden Fall der Netzwerkbetreiber, der über die Zuordnung der Nutzer zu ihren Netzwerkaccounts den Bezug für eingeloggte Mitglieder jedenfalls herstellen kann. Auch wenn dem externen Seitenbetreiber selbst dieser Bezug nicht bekannt wird, entsteht doch durch die Identifizierung seitens des Netzwerkbetreibers ein erhöhtes Risiko für den Betroffenen und seine Daten schon bei der erstmaligen Übertragung der Daten im Zusammenhang mit dem Plugin. Folglich müssen die übertragenen Daten auch aus der Perspektive des externen Betreibers als personenbezogen gelten, um angesichts des erhöhten Risikos die Interessen der Nutzer an einem effektiven Schutz ihrer Privatsphäre angemessen zu berücksichtigen. Der Begriff der Personenbeziehbarkeit gestattet im Rahmen seiner Funktion als Ausgleichsmechanismus also eine weite Auslegung, die die besondere Interessenund Gefährdungslage im Netzwerkkontext berücksichtigt. Allerdings verbleibt bei einer derartigen Anwendung dieses Mechanismus, weil für die vorliegend entwickelte Argumentation noch keine höchstrichterlichen Leitlinien bestehen, eine gewisse Rechtsunsicherheit.

III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung kommerzieller Inhalte auf der Startseite des Nutzers

III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung von Inhalten Der Anbieter eines sozialen Netzwerks verwendet die personenbezogenen Daten eines Nutzers, die er dessen Profilseite im Netzwerk und seinen Interaktionen mit Netzwerkmitgliedern und Netzwerkinhalten entnehmen kann, um die auf der Startseite des Netzwerks angezeigten Informationen für den Nutzer zu individualisieren, so dass dort Inhalte (sowohl kommerzielle Inhalte als auch nutzergenerierte Inhalte), die dem aus den Nutzerdaten gebildeten Interessenprofil entsprechen, bevorzugt angezeigt werden.4 Die hierfür durchgeführte Datenverarbeitung beinhaltet (stark vereinfacht und unter Außerachtlassung von möglichen Übermittlungen in Drittländer) folgende Schritte: Die Daten des Nutzers werden im Laufe des Netzwerkbetriebs erfasst und sodann von einem laufend 4

Siehe etwa: Facebook, Webseite ‚Building a Better News Feed for You‘.

282

E. Anwendungsbeispiele 

optimierten Algorithmus ausgewertet, der Präferenzkategorien des Nutzers aus diesen Daten ermittelt. Letztere werden dynamisch angepasst und dazu verwendet, die jeweils verfügbaren aktuellen Inhalte für die Anzeige auf der persönlichen Startseite des Nutzers im Netzwerk derart aufzubereiten, dass ihre Platzierung auf der Seite möglichst genau zu den spezifischen Präferenzen des Nutzers passt. Zwischen Nutzern und dem Netzwerkanbieter existiert eine Nutzungsvereinbarung, in der unter anderem festgelegt ist, dass der Netzwerkanbieter eine Vielzahl von Diensten zur Verfügung stellt, die in ihrer jeweiligen Ist-Form (‚as is‘) angeboten werden. Aufgezählt wird unter anderem die Bereitstellung nutzergenerierter, aber auch kommerzieller Inhalte, wobei der Netzwerkanbieter verspricht, beide Inhaltsarten so aufzubereiten, dass sie für den Nutzer möglichst „nützlich“ und „wertvoll“ sind.5

Sind diese Datenverarbeitungen im Sinne von Art. 6 Abs. 1 Satz 1 lit. b DS-GVO erforderlich für die Durchführung des Nutzungsvertrages zwischen Netzwerkanbieter und Nutzer? 1. Einordnung Art.  6 Abs.  1 Satz  1 lit.  b DS-GVO enthält einen gesetzlichen Erlaubnistatbestand, der Datenverarbeitungen gestattet, sofern ihre Durchführung unter Anwendung des dort installierten Ausgleichsmechanismus der Erforderlichkeit einem Interessenausgleich entspricht. Implizit vorausgesetzt ist für die Anwendung dieses Erlaubnistatbestandes immer, dass zuvor eine persönliche, sachliche und räumliche Anwendbarkeit europäischen Datenschutzrechts positiv festgestellt wurde und eine entsprechende Abgrenzung zu anderen Erlaubnistatbeständen (insbesondere zu Art. 6 Abs. 1 Satz 1 lit. a DS-GVO) ergeben hat, dass der Anwendungsbereich von Art. 6 Abs. 1 Satz 1 lit. b DS-GVO eröffnet ist. Aufseiten des Nutzers gilt es zunächst, sein Grundrecht auf Datenschutz (□) zu berücksichtigen, aber auch seine wirtschaftliche Betätigungsfreiheit  – genauer: seine Vertragsfreiheit (□) – spielt im Zusammenhang mit der Datenverarbeitung zur Personalisierung der Startseite im Netzwerk eine wichtige Rolle. Der datenverarbeitende Netzwerkbetreiber kann sich hinsichtlich seines wirtschaftlichen Interesses an den Datenverarbeitungen ebenfalls auf die wirtschaftliche Betätigungsfreiheit (□) und die Grundfreiheiten (□) berufen. Dabei besitzt er ein Interesse an den Datenverarbeitungen einerseits, um dem Nutzer durch die Personalisierung eine noch ansprechendere Plattform zur Verfügung stellen zu können, andererseits, um durch die Ergänzung nutzergenerierter Inhalte um auf den Nutzer zugeschnittene kommerzielle Inhalte Ertrag zu erwirtschaften.

5 Die Beschreibung des Vertrages ist angelehnt an die entsprechenden Bestimmungen im Nutzungsvertrag von Facebook, vgl.: Facebook, Nutzungsbedingungen v. 30.01.2015, Nr. 9, vor dem ersten Unterpunkt.

III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung von Inhalten 

283

Für den Ausgleichsmechanismus der Erforderlichkeit (△) wurde festgestellt, dass dieser aufgrund seiner großen Flexibilität grundsätzlich geeignet ist, die Besonderheiten des Interessengefüges im Umfeld sozialer Netzwerke zu berücksichtigen; damit gehen zugleich aber Missbrauchsgefahren und Rechtsunsicherheit einher, sofern eine angemessene Einschränkung durch die Verknüpfung ausreichend determinierter Kriterien mit diesen Mechanismen unterbleibt. Das mit der Erforderlichkeit im Art. 6 Abs. 1 Satz 1 lit. b DS-GVO fest verknüpfte Kriterium der Ausübung der Vertragsfreiheit (○, hier: Datenverarbeitung zur Durchführung eines Vertrags) ist im Kontext sozialer Online-Netzwerke aufgrund struktureller Ungleichheiten und insbesondere dann, wenn sich der Vertrag parallel zum Inhalt einer Einwilligungserklärung unmittelbar auf die Verarbeitung von Daten richtet, nur unter Vorbehalt anwendbar: Der Verordnungsgeber drückt durch Art. 6 Abs. 1 Satz 1 lit. b DS-GVO sein grundsätzliches Anerkenntnis der Vertragsfreiheit als eine Form der wirtschaftlichen Betätigungsfreiheit aus. Begrenzt ist die Ausübung dieser Freiheit allerdings durch die allgemeinen Regeln zum Zustandekommen und zur Wirksamkeit von Verträgen sowie durch die im Falle einer unmittelbar auf Datenverarbeitungen gerichteten Vereinbarung mög­ licherweise entsprechend anwendbaren Vorschriften über die datenschutzrechtliche Einwilligung. Eine sinnvolle Verwendung des Kriteriums verlangt also zunächst die Ermittlung dessen, inwieweit eine Ausübung der Vertragsfreiheit durch die Beteiligten beabsichtigt war (Ist das Kriterium überhaupt einschlägig – was wurde vertraglich vereinbart?) und ob das Kriterium in der Anwendung besonderen Beschränkungen unterliegt (insbesondere: müssen die Vorschriften über die Einwilligung analog zur Anwendung kommen?). Erst danach kann eine Abwägung im Rahmen der Beurteilung der Erforderlichkeit stattfinden – herangezogen werden können neben dem ausdrücklich mit dem Mechanismus verbundenen Kriterium der Ausübung der Vertragsfreiheit (soweit es einschlägig ist und keinen wesentlichen Vorbehalten unterliegt) hierfür im Rahmen der grundrechtskonformen Auslegung auch weitere von der Rechtsprechung entwickelte Kriterien und Argumente bzw. – hilfsweise und soweit einschlägig – die ähnlich strukturierten vom Verordnungsgeber aufgestellten Kriterien der DS-GVO.

284

E. Anwendungsbeispiele 

a) Einschlägigkeit: Inwieweit war eine Ausübung der Privatautonomie beabsichtigt? Die Bereitstellung der Funktionen des sozialen Online-Netzwerks scheint auf den ersten Blick die Hauptleistung6 des Netzwerkbetreibers zu sein.7 Dazu gehört nach den vertraglichen Vereinbarungen grundsätzlich auch die Bereitstellung einer personalisierten Startseite im Netzwerk, d. h. die Aufbereitung der nutzergenerierten Inhalte, zugeschnitten auf den Nutzer und sein Endgerät nach Interessen, Vorlieben und technischen Voraussetzungen, durch Selektion, Sortierung und Anpassung der grafischen Darstellung (diese Art der Dienstleistungen kann in Abgrenzung zur Bereitstellung des reinen Netzwerkdienstes auch als ‚Herstellung des Netzwerkmehrwerts‘ bezeichnet werden). Dass deren Inhalt genau wie die sonstigen Dienstleistungen des Netzwerkanbieters nicht oder nur in groben Zügen im Vertrag geregelt8 bzw. lediglich von der ‚as is‘-Klausel erfasst werden, hindert die Vereinbarung der Bereitstellung dieser Leistung nicht: Der Erklärung des Nutzers, das soziale Online-Netzwerk im vorhandenen Zustand nutzen zu wollen und der korrespondierenden Erklärung des Anbieters, dem Nutzer diese Nutzung zu gewähren, lässt sich nämlich entnehmen, dass bei Registrierung die Leistungen des jeweiligen Ist-Zustandes des sozialen Netzwerks von den Parteien als vertragliche Leistungen betrachtet werden.9 Hinsichtlich zukünftiger Veränderungen im Leistungsspektrum ist im Vertrag ein einseitiges Leistungsbestimmungsrecht 6

Während es für die Beurteilung von Sekundäransprüchen aus dem Vertrag von grund­ legender Wichtigkeit ist, eine detaillierte vertragstypologische Zuordnung vorzunehmen, können die primären Leistungspflichten und Vertragsansprüche regelmäßig durch eine von der Typisierung weitgehend unabhängige Auslegung des geschlossenen Nutzungsvertrages ermittelt werden. Die vertragstypologische Einordnung ist für Nutzungsverträge sozialer Netzwerke nicht unproblematisch, da eine eindeutige Zuordnung zu einem dem BGB bekannten Vertragstyp nicht möglich ist. Probleme bereitet insbesondere die zivilrechtliche Behandlung des Konzepts einer kostenlos bereitgestellten Netzwerkplattform, wenn dennoch eine ‚Gegenleistung‘ in Form der Preisgabe von Daten stattfindet. Vgl. umfassend zur Problematik der Vertragstypologie bei Social Media Nutzungsverträgen: Bräutigam/Sonnleithner, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch Social Media, S. 35 (45–47). 7 In diese Richtung auch: Redeker, IT-Recht, Rdnr.  1173; Redeker, in: Hoeren/Sieber/­ Holznagel (Hrsg.), Hdb. Multimedia-Recht, Teil  12, Rdnr.  415; 419–420; Wintermeier, ZD 2012, 210 (211). Vgl. dazu: Facebook, Nutzungsbedingungen v. 30.01.2015, Nr. 15. Streitfälle, 3. Unterpunkt; 17. Definitionen, 1.–2. Unterpunkt; 6. Handys und sonstige Geräte; XING, Nutzungsbedingungen v. 07.03.2016, A. Allgemeine Bedingungen für die Nutzung des Dienstes XING, 1.–2. und 8. Unterpunkt. 8 In diese Richtung auch Redeker, in: Hoeren/Sieber/Holznagel (Hrsg.), Hdb. MultimediaRecht, Teil 12, Rdnr. 416. Ganz anders die Praxis dagegen bei herkömmlichen Softwareüberlassungsverträgen, beim Application Service Providing oder Cloud Computing, wo die Hauptund Nebenpflichten in aller Regel detailliert festgeschrieben sind, vgl. dazu etwa ­Hoeren, IT-Vertragsrecht, Rdnr. 90–100; 302–304. 9 Eine Garantie für die dauerhafte Erbringung bestimmter Leistungen übernimmt der Anbieter damit gerade nicht, sondern es steht ihm offen, seine Leistungen in einem gewissen Rahmen zu variieren. Dazu: Bräutigam/Sonnleithner, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch Social Media, S. 35 (40–41).

III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung von Inhalten 

285

des Anbieters im Sinne von § 315 BGB vorgesehen, das im Rahmen dessen, was für den Nutzer vorhersehbar war und auch in seinem Interesse liegt, eine Veränderung des Leistungsspektrums zulässig macht. Je nach Formulierung der Nutzungsbedingungen kann dabei die Anzeige von interessengerechter Werbung, also auch die Darstellung kommerzieller Inhalte auf der individualisierten Startseite des Nutzers, zumindest dem Wortlaut nach ebenfalls als Vertragsleistung vereinbart sein, z. B. indem sie wie im vorliegenden Sachverhalt eindeutig als Leistung bezeichnet oder beschrieben ist. Um zu beurteilen, wie die Vertragspassage über interessengerechte Werbung zu verstehen ist, muss jedoch zunächst nach dem wirklichen Willen der Parteien geforscht werden (§§ 133, 157 BGB), wobei Zweifel zu Lasten des Anbieters gehen, soweit es sich bei den Nutzungsbedingungen um AGB handelt (§ 305c Abs. 2 BGB). Sowohl Nutzer als auch Anbieter gehen in der Regel nicht davon aus, dass interessengerechte Werbung in einer bestimmten Quantität oder Qualität vom Anbieter in der Form geschuldet ist, dass diese vom Nutzer aktiv eingefordert werden könnte. Nutzer betrachten sie stattdessen bisweilen eher als lästige Draufgabe oder notwendiges Übel. Gerade die Anzeige von kommerziellen Inhalten auf der Startseite kann aber durchaus wesentlich und nützlich für die Nutzer sein, zumal solche Inhalte über Bewertungen und Kommentare wieder mit den Inhalten anderer Nutzer verbunden sind. Die zunehmende Vermengung kommerzieller und sonstiger Inhalte im Netzwerk macht im Gegenteil einen eindeutigen Ausschluss von Werbung aus den Netzwerkdienstleistungen unmöglich, soweit es sich um mit den Netzwerkinhalten verwobene Werbung handelt, die über das reine Ausspielen von Werbeanzeigen am Bildschirmrand hinausgeht. Im Ergebnis nehmen daher sowohl Nutzer als auch Anbieter derzeit kommerzielle Inhalte, die im Rahmen der persönlichen Startseite des Nutzers wie im Sachverhalt beschrieben für ihn aufbereitet werden, wohl als vertragliche Leistung des Anbieters wahr. Noch eindeutiger muss die Beurteilung für solche Inhalte ausfallen, mit denen der Nutzer im Rahmen der Netzwerknutzung aktiv interagiert. Hat der Nutzer z. B. bei Facebook die Seite eines Unternehmens oder Produkts mit ‚Gefällt mir‘ markiert, so bringt dies seinen Willen zum Ausdruck, im Rahmen seiner Netzwerknutzung über kommerzielle Meldungen dieser Seite informiert zu werden. b) Beschränkungen des Kriteriums: Müssen Einwilligungsregeln zur Anwendung kommen? Zustandekommen und Wirksamkeit des zu untersuchenden Nutzungsvertrags können durch verschiedene zivilrechtliche Faktoren des anwendbaren europäischen oder mitgliedstaatlichen Rechts10 beeinflusst werden. Von besonderer Bedeutung 10 Das auf den Vertrag anwendbare Recht bestimmt sich grundsätzlich nach Art. 3 ff. RomI-VO; so z. B.: Bräutigam/Sonnleithner, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch

286

E. Anwendungsbeispiele 

ist darüber hinaus die Frage, ob im beschriebenen Kontext zusätzlich die Vorschriften über datenschutzrechtliche Einwilligungen (Art. 6 Abs. 1 Satz 1 lit. a, Art.  4 Abs.  11, Art.  7 DS-GVO) die Anwendung des Kriteriums einschränken. Dies soll nach obiger Argumentation immer dann der Fall sein, wenn sich ein Vertrag gezielt auf die Genehmigung von Datenverarbeitungen richtet, letztere also selbst zu Gegenstand und Leistung des Vertrages werden und nicht nur am Rande erforderlich sind, um anderweitige Vertragsleistungen zu erbringen. Für die vorliegende Konstellation sind beide Argumentationslinien sehr gut vertretbar: Die nach dem Sachverhalt vereinbarte Leistung (die Bereitstellung einer personalisierten Startseite) ist ganz wesentlich und unmittelbar von der Erzeugung und Bereitstellung von Daten durch den Nutzer und der umfangreichen Verarbeitung dieser Daten durch den Anbieter abhängig, so dass durchaus argumentiert werden könnte, der Vertrag richte sich gezielt auf die Genehmigung von Datenverarbeitungsmaßnahmen. Andererseits richtet sich der Vertrag gerade auf die Erstellung der personalisierten Startseite und nicht unmittelbar auf die dafür erforderliche Verarbeitung von Daten. Ob die Anwendung des Kriteriums also Beschränkungen unterliegt, bleibt mangels höchstrichterlicher Vorgaben unklar. c) Sonstige zu berücksichtigende Kriterien Auch abseits der in der Verordnung eigens definierten besonders sensiblen Datenkategorien (welche auf der Grundlage eines Vertrages überhaupt nicht verarbeitet werden können, vgl. Art. 9 Abs. 1 und 2 DS-GVO) lassen die erfassten Profilinformationen und Verhaltensdaten von Nutzern im Rahmen der durchgeführten Analysen und Bewertungen umfangreiche Rückschlüsse insbesondere auf die persönlichen Vorlieben der Nutzer zu (○). Genau darauf zielen nämlich die systematischen (○) und umfangreichen (○) Datenanalyse- und Prognoseverfahren (○) ab, die vom Anbieter durch den Einsatz laufend optimierter, leistungsfähiger Algorithmen durchgeführt werden – ein umfassendes Bild von den Eigenschaften und Vorlieben des Nutzers ermöglicht erst die gewünschte personalisierte Gestaltung nutzergenerierter und kommerzieller Inhalte auf der Startseite des Nutzers. Das Angebot personalisierter Inhalte und damit die systematische, umfangreiche und regelmäßige Beobachtung der Nutzer stellt also einen wesentlichen Bestandteil der Kerntätigkeit des Anbieters (○) dar. In das umfassende Bild des Nutzers fließen dabei nicht nur die vom Nutzer bewusst auf der Seite preisgegebenen oder zumindest wissentlich durch das Verhalten auf der Seite erzeugten Daten, sondern auch solche Daten, die über externe Seiten gesammelt (z. B. Social Plugins) oder durch die Benutzung von mit der Plattform über eine Schnittstelle verbundenen Anwendungen Social Media, S.  35 (48–51); Solmecke/Dam, MMR 2012, 71 (71); Schuster, in: Spindler/ Schuster (Hrsg.), Recht der elektronischen Medien, § 305 BGB, Rdnr. 44. Zu möglichen Konflikten der Anwendbarkeitsbestimmungen der Rom-I-VO mit Art. 4 DS-RL bzw. Art. 3 DSGVO vgl. aber: Herbrich/Beyvers, RDV 2016, 3.

III. Beispiel: Gesetzliche Erlaubnis für die Bereitstellung von Inhalten 

287

(z. B. Plattform-Apps, Spiele) generiert wurden, möglicherweise sogar die Auswertung von zwischen den Nutzern im Rahmen der Plattformfunktionen ausgetauschten Direktnachrichten11, mit ein. Dabei kommt eine große Menge von Daten (○) über den Nutzer zusammen, die aus vielfältigen Quellen erhoben (○) und über einen sehr langen Zeitraum hinweg verarbeitet (○) werden. Es kann aber nur hinsichtlich der auf der Profilseite vom Nutzer eingetragenen, öffentlich sichtbaren Informationen und unter seinem Account öffentlich geteilten Inhalte davon ausgegangen werden, dass er diese selbst veröffentlicht (○) hat; anderweitige Inhalte können schon nicht als öffentlich gelten oder zumindest einer Veröffentlichungshandlung des Nutzers nicht unmittelbar zugerechnet werden. Die Personalisierung der Startseite dient zudem, soweit kommerzielle Inhalte betroffen sind, einer Form des Direktmarketing (○) und somit einer vom Verordnungsgeber als besonders intensiv eingestuften, wenn auch ausdrücklich anerkannten Form der Datenverarbeitung. 2. Bewertung Im Sinne der obigen Unterscheidung zwischen Abwägungsbelangen, Abwägungsmechanismen und Abwägungskriterien kommt es sodann darauf an, die Gewichtung der im beschriebenen Sachverhalt relevanten Belange im Rahmen des Erforderlichkeitsmechanismus anhand des Kriteriums des Vertragsverhältnisses und zusätzlicher einschlägiger Kriterien zu beurteilen. Insbesondere sollen Datenverarbeitungen nicht allein deshalb erforderlich sein, weil sie im Vertragstext Erwähnung finden.12 Erforderlich sind Datenverarbeitungen im Gegenteil ausschließlich, soweit sie unmittelbar zur Erreichung des mit dem Vertrag verfolgten Zweckes dienen. Dabei ist der Vertragszweck auf die ursprünglich vorgesehene Vertragsdurchführung beschränkt und bezieht sich nicht etwa auf andere, mit dem Vertrag in weiterem Zusammenhang stehende Umstände; noch nicht einmal Sekundäransprüche oder die Durchsetzung von Vertragsansprüchen sollen nach Ansicht der Art. 29-DSGr. erfasst sein.13 Daneben können noch weitere Mechanismen greifen (z. B. Informationspflichten, die Pflicht zur Ergreifung technischorganisatorischer Maßnahmen), die zu einem Ausgleich der Interessen beitragen. Zahlreiche Kriterien, die eine besondere Eingriffsintensität oder Schutzwürdigkeit implizieren, belegen, dass bei einer Abwägung die Interessen des Betroffenen an dieser Stelle besonders gravierendes Gewicht erlangen sollen. Weil vorliegend aber schon nicht eindeutig ist, unter welchen Voraussetzungen das Kriterium der Ausübung der Vertragsfreiheit überhaupt zum Einsatz kommen kann, ist eine rechtssichere Anwendung des entsprechenden Erlaubnistatbestandes und die Erlangung eines angemessenen Interessenausgleichs in diesem Zusammenhang kaum möglich. 11

Vor dem US District Court Northern District of California ist diesbezüglich ein Verfahren gegen Facebook Inc. unter dem Aktenzeichen 13-cv-5996 anhängig. 12 Art. 29-Datenschutzgruppe, WP 217, S. 16–17. 13 Art. 29-Datenschutzgruppe, WP 217, S. 17–18.

288

E. Anwendungsbeispiele 

IV. Beispiel: Gesetzliche Erlaubnis für die Verwendung öffentlich zugänglicher Netzwerkdaten zu Zwecken des Monitorings IV. Beispiel: Gesetzliche Erlaubnis für die Verwendung von Netzwerkdaten

Ein Unternehmer möchte die Stimmung von potenziellen Kunden hinsichtlich eines Produktes evaluieren. Hierzu erhebt und analysiert er mithilfe einer entsprechenden Anwendung öffentlich zugängliche (d. h. für den Suchmaschinenzugriff freigegebene)  Daten aus einem sozialen Netzwerk. Die Anwendung extrahiert dabei sämtliche Inhalte, die in einer Verbindung mit dem zu untersuchenden Produkt stehen (z. B. weil das Produkt im Text genannt wurde), analysiert Grafiken und Texte, und weist diesen sodann positive oder negative Werte zu, die die Stimmung gegenüber dem Produkt ausdrücken sollen. Um Mehrfachwertungen zu vermeiden und die Genauigkeit der Analyse zu verbessern, müssen Mehrfachäußerungen ein- und desselben Nutzers erkennbar sein, so dass für Nutzer, die sich mehrfach einschlägig geäußert haben, lediglich ein einziger Wert ermittelt werden kann, der sodann in die Gesamtwertung einfließt. Dies wird realisiert, indem zunächst den Nutzern Ordnungsziffern zugeordnet und die zugehörigen Inhalte ihnen jeweils zugeordnet werden. Unmittelbar darauf folgend werden die Bezüge zu Nutzerkonten gelöscht und es verbleiben lediglich Ziffern, denen Inhalte zuordenbar sind.

Ist die beschriebene Analyse der Netzwerkinhalte auf der Grundlage einer allgemeinen Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO zulässig?

1. Einordnung Die Durchführung einer Interessenabwägung nach Art.  6 Abs.  1 Satz  1 lit.  f­ DS-GVO setzt die persönliche, räumliche und sachliche Anwendbarkeit der DSGVO voraus. Des Weiteren ist sie in ihrer Funktion als Erlaubnistatbestand von den übrigen Erlaubnistatbeständen abzugrenzen, d. h. es muss ausgeschlossen sein, dass ein anderer Tatbestand vorrangig zur Anwendung kommt. Die Interessenabwägungsgeneralklausel (△) wurde selbst als Mechanismus des Interessenausgleichs identifiziert, der weder in materieller noch verfahrenstechnischer Hinsicht Vorgaben für die Abwägung der widerstreitenden Belange bereithält. Abzuwägen sind auf der Seite der Nutzer deren Interesse am Schutz ihrer personenbezogenen Daten (□) und an der Achtung ihrer Privatsphäre (□), während der die Analyse durchführende Unternehmer mit der Einschätzung der Stimmung ge­ wecke genüber seinem Produkt Marketinginteressen und damit wirtschaftliche Z (□) verfolgt. Wie bereits in den vorangegangenen Beispielen handelt es sich um einen potenziell besonders großen (○) und vielfältigen (○) Datensatz, der besonders sensible Daten beinhalten (○) und detaillierte Erkenntnisse über die Persönlichkeit des Nutzers liefern (○) kann. Die Auswertung zu Zwecken des Monitorings zielt aber gerade nicht auf die Herausbildung von Nutzerprofilen (○) oder die Ausforschung des Privatlebens von Nutzern (○), sondern verwendet die Zuordnung inhaltlicher Aussagen zu einzelnen Nutzern lediglich als Korrektiv für die statistische Aus-

IV. Beispiel: Gesetzliche Erlaubnis für die Verwendung von Netzwerkdaten 

289

wertung und Gewichtung von Aussagen. Schon vor der eigentlichen Auswertung wird der Zusammenhang zwischen Nutzern und Inhalten aufgelöst. Um Daten mit einem direkten Personenbezug (○) handelt es sich also lediglich für einen sehr kurzen Zeitraum (○) und sofern aus den Nutzernamen die reale Person des Nutzers hervorgeht (der Unternehmer, der das Monitoring durchführt, hat keine Zusatzinformationen zur Identifikation von Nutzern, wie sie etwa dem Netzwerkbetreiber zur Verfügung stehen). Wenn es sich um einen sehr großen und vielfältigen Datensatz handelt, ist die Möglichkeit eines Rückschlusses auf einzelne Personen (○) aus den verfügbaren Inhalten aber dennoch nicht gänzlich auszuschließen. Hinzu kommt allerdings noch, dass ausschließlich öffentlich zugängliche (○), d. h. von Gesetzgeber und Rechtsprechung tendenziell als weniger schützenswert eingestufte Daten verarbeitet werden. Die öffentliche Zugänglichkeit allein garantiert demgegenüber allerdings nicht, dass Nutzer die Daten selbst veröffentlicht (○) haben; ein gewisses Schutzbedürfnis verbleibt also auch für diese Daten. 2. Bewertung Die Abwägung der relevanten Belange im Rahmen des Mechanismus der ausdrücklich angeordneten Interessenabwägung (hier im Rahmen von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO) gestattet eine umfassende Berücksichtigung sämtlicher Belange und Kriterien. Dabei scheinen sich für den beschriebenen Fall die widerstreitenden Belange bei der Verarbeitung die Waage zu halten: Ein Risiko für den Betroffenen und eine entsprechende Schutzbedürftigkeit ist zwar erkennbar, die Risiken werden aber durch eine gezielte Aufhebung oder zumindest Lockerung des Personenbezugs bereits deutlich minimiert und nochmals dadurch relativiert, dass die Verarbeitung nicht auf die Ausforschung und Abbildung des Privatlebens der Nutzer gerichtet ist. Durch entsprechende technische und organisatorische Maßnahmen, die einen möglichst weitgehenden Schutz der Daten und ein hohes Datensicherheitsniveau herstellen, kann der Datenverarbeiter sich hinsichtlich eines Abwägungsausganges zu seinen Gunsten zusätzlich absichern. Das ganz erhebliche Risiko einer abweichenden Beurteilung durch Aufsichtsbehörden oder Gerichte im Rahmen einer möglichen Überprüfung lastet jedoch zur Gänze auf dem Verantwortlichen. Zugleich sind die betroffenen Nutzer hinsichtlich einer gewissenhaften Durchführung der Interessenabwägung durch den Datenverarbeiter und einer Einhaltung sämtlicher Pflichten nach der DS-GVO diesem gänzlich ausgeliefert, weil sie ohne ein entsprechendes Tätigwerden des Datenverarbeiters von den Datenverarbeitungsvorgängen nicht einmal Kenntnis erlangen und folglich die Interessenabwägung weder überprüfen (lassen) noch eigene Rechte geltend machen können.

290

E. Anwendungsbeispiele 

V. Zusammenfassung und Stellungnahme Es zeigt sich in der Betrachtung konkreter Sachverhalte, dass die zuvor abstrakt ermittelten Schwachpunkte der Ausgleichswerkzeuge im Kontext sozialer Netzwerke erwartungsgemäß auch in der praktischen Anwendung dieser Werkzeuge zu beobachten sind. So war etwa der Spielraum für die interessengerechte Auslegung des Verantwortlichkeitsbegriffes sehr eng, wohingegen der Begriff der Personenbeziehbarkeit eine an der Interessenlage im konkreten Fall orientierte Auslegung gestattete. Die Mechanismen der Erforderlichkeit und ausdrücklich angeordneten Interessenabwägung erlaubten erwartungsgemäß eine umfangreiche Abwägung unter Heranziehung verschiedenster auf den Sachverhalt wirkender Interessenlagen. Massive Anwendungsprobleme bereitete aber das Kriterium des Vertragsverhältnisses, wodurch trotz einer Verknüpfung dieses Kriteriums mit dem Erforderlichkeitsmechanismus eine rechtssichere Anwendung des entsprechenden Erlaubnistatbestandes beeinträchtigt wurde. Obwohl im Zusammenhang mit der angeordneten Interessenabwägung verschiedene für die Netzwerkumgebung geeignete Kriterien auf die Abwägung wirkten, fiel das Ergebnis aber auch hier nicht eindeutig genug aus, um Rechtsunsicherheiten für die Beteiligten ausreichend einzudämmen. Auch bestand im letzteren Fall erwartungsgemäß, weil die Kontrolle über den Abwägungsvorgang ganz überwiegend beim Datenverarbeiter lag, eine wesentliche Gefahr des Missbrauchs für die Betroffenen. Insgesamt haben sich die bislang theoretisch erarbeiteten Ergebnisse und darauf gestützte Annahmen also bestätigt: Die Abwägungswerkzeuge des Datenschutzrechts weisen im Zusammenhang mit Sachverhalten aus der Netzwerkumgebung deutlich veränderte und beeinträchtigte Wirkungsweisen auf, wodurch die Herstellung des Interessenausgleichs teilweise behindert und eine rechtssichere Beurteilung der Interessenlage im konkreten Fall massiv beeinträchtigt ist.

F. Ergebnisse, Stellungnahme und Ausblick I. Zusammenfassung und Ergebnisse der Untersuchung der Ausgangsfragen Für die Bewältigung der Fragestellung nach der Funktionsweise datenschutzrechtlicher Werkzeuge des Interessenausgleichs im Umfeld sozialer Online-Netzwerke war zunächst ein methodischer Zugang zur Thematik zu finden, der die Untersuchung der ‚Abwägungsmechanik‘  – d. h. der Funktionsweise der Abwägungsinstrumente – im Datenschutzrecht sowohl allgemein als auch im Hinblick auf sehr spezielle Interessenlagen gestattet, ohne dabei an dem jeder Abwägung im Recht potenziell innewohnenden Gewichtungsproblem gänzlich zu scheitern oder übermäßig stark auf subjektive Gewichtungen zurückzufallen (Gliederungspunkt B.III). Sodann wurden die vom Datenschutzrecht eingesetzten Ausgleichswerkzeuge und die ihnen vom Gesetzgeber und der Rechtsprechung jeweils zugedachten Funktionen allgemein ermittelt und exemplarisch dargestellt (Gliederungspunkt C) und anschließend für ausgewählte Abwägungsinstrumente Veränderungen oder Beeinträchtigungen ihrer Wirkungsweise im Umfeld sozialer Netzwerke erarbeitet (Gliederungspunkt D). Zuletzt wurden die gefundenen Resultate anhand typischer Beispielssachverhalte überprüft (Gliederungspunkt E). 1. Methodischer Zugang zur Untersuchung der Funktionsweise von Ausgleichsinstrumenten Die vom Schrifttum und von der Rechtsprechung entwickelten verbal-argumentativen und logisch-mathematischen Abwägungsstrategien erwiesen sich für eine Analyse der Funktionsweise datenschutzrechtlicher Abwägungsinstrumente als wenig geeignet, da sie lediglich strategische Herangehensweisen für die Erarbeitung von konkreten Abwägungsergebnissen darstellen, darüber hinaus aber keinen funktionellen Zugang zur Abwägungsthematik vermitteln, sondern stattdessen jeweils die konkrete Gewichtung von abzuwägenden Belangen und damit eine subjektive Wertung durch den Rechtsanwender vorsehen. Weil eine subjektive Wertung aber vermieden und stattdessen die Funktionsweise der datenschutzrechtlichen Abwägungsinstrumente möglichst objektiv untersucht werden sollte, wurde ein ausschließlich an funktionellen Aspekten der Abwägung orientierter Ansatz entworfen, welcher unter den Abwägungsinstrumenten zunächst – entsprechend ihrer Funktionsweise – ‚Abwägungsbelange‘ (□, Rechtsgüter, die vom Datenschutzrecht als auszugleichende Interessen erfasst werden), ‚Abwägungsmechanismen‘ (△, Instrumente, welche für den Rechtsanwender überhaupt erst einen

292

F. Ergebnisse, Stellungnahme und Ausblick 

Spielraum für zu bewältigende Abwägungen und Interessenausgleiche schaffen oder gezielt Wirkung auf diese entfalten) und ‚Abwägungskriterien‘ (○, Aspekte, deren Einfluss auf den Interessenausgleich vom Gesetzgeber oder der einschlägigen Rechtsprechung (an-)erkannt und die entsprechend mit einer Wertung belegt wurden) unterscheidet und sodann eine gezielt auf ihre Funktionsweise im Einzelnen gerichtete Untersuchung dieser Instrumente anstrebt.

2. Analyse der Funktionsweise von Abwägungsinstrumenten im Datenschutzrecht Zunächst wurde untersucht und exemplarisch dargestellt, welcher Werkzeuge sich das Datenschutzrecht im Allgemeinen bedient, um einen Interessenausgleich herzustellen, und welche Funktionen diese Werkzeuge jeweils erfüllen sollen. Es wurden also unter Heranziehung einschlägigen Schrifttums die vom Gesetzgeber und der Rechtsprechung jeweils berücksichtigten Abwägungsbelange (□) identifiziert, mögliche Abwägungsmechanismen (△) sowie Abwägungskriterien (○) und zugehörige Wertungen herausgearbeitet. Dies ergab, dass die bei der Abwägung zu berücksichtigenden Belange im europäischen Datenschutzrecht zunächst auf der Grundrechtsebene angesiedelt sein können; daneben werden jedoch gerade von der DS-GVO auch faktische Interessen und eine Reihe überindividueller Belange anerkannt. Einige besonders weite Mechanismen der Abwägung beinhaltet das Datenschutzrecht sowohl hinsichtlich der mehrfachen Verweise auf Verhältnismäßigkeit und Erforderlichkeit als auch bezüglich der ausdrücklich angeordneten, jedoch ansonsten offen gelassenen Interessenabwägungstatbestände. Es kennt Selbstbestimmungselemente, die es den Beteiligten erlauben, ihre Interessen durch die privatautonome Gestaltung der Rechtslage zur Geltung zu bringen sowie datenschutzspezifische Ausgleichsmechanismen, die darauf abzielen, für das Verhältnis zwischen Datenverarbeitern und Betroffenen typische informationelle und strukturelle Ungleichheiten abzufedern. Die für die Gewichtung bei der Abwägung herangezogenen Kriterien sind vielfältig und bis auf wenige Ausnahmen sind mit ihnen auch einigermaßen konkrete Wertungen verbunden, die den Grad der Anerkennung eines bestimmten Kriteriums durch den Gesetzgeber und den von ihm vorgesehenen Einfluss dieses Kriteriums auf den Abwägungsprozess erkennen lassen. Während der Gesetzgeber für einige Arten von Daten (etwa für sensible Daten oder für solche, bei denen der Personenbezug leicht herstellbar ist) und für Kinder als eine besondere Kategorie Betroffener eine gesteigerte Schutzbedürftigkeit und damit ein besonderes Gewicht der Betroffeneninteressen impliziert, liegt etwa bei vom Betroffenen selbst veröffentlichten Daten eine geringere Schutzbedürftigkeit und damit ein geringeres Gewicht der Betroffeneninteressen vor. Der Verordnungsgeber und die Rechtsprechung berücksichtigen auch umfangreich die jeweiligen Umstände und Situationen, in denen eine Verarbeitung von Daten stattfindet. Die Verwendung neuer Technologien, von Techniken des Profiling und Scoring, der Einsatz von Datenverarbeitungstechniken im

I. Zusammenfassung und Ergebnisse der Untersuchung der Ausgangsfragen  

293

Rahmen der Direktwerbung, die Konzentration der Kerntätigkeit eines Unternehmens auf die Datenverarbeitung, die Durchführung von Drittlandübermittlungen und Auftragsdatenverarbeitungen oder der Einsatz von Tracking-Werkzeugen verursachen jeweils ein besonders großes Risiko für die Persönlichkeitsrechte des Betroffenen und verleihen aus diesem Grund seinen Interessen größeres Gewicht. Zugleich erkennt der Gesetzgeber aber für einige dieser Zusammenhänge berechtigte Interessen der datenverarbeitenden Stelle an und verleiht auch ihnen für die Abwägung entsprechendes Gewicht. Dies drückt sich etwa in der Berücksichtigung und Privilegierung des besonderen Verhältnisses bei der Auftragsdatenverarbeitung aus. Das Verhältnis zwischen Betroffenem und Datenverarbeiter ist ebenfalls – je nach Ausgestaltung – mit gesetzgeberischen Wertungen belegt. Während etwa im Beschäftigungsverhältnis aufgrund der Abhängigkeit des Arbeitnehmers diesem eine stärkere Schutzbedürftigkeit zukommt, wird dem Datensubjekt ansonsten grundsätzlich die Selbstbestimmung über die privatautonome Regelung der Interessenlage zugestanden und auch das Anbieter-Nutzer-Verhältnis erfährt eine grundsätzliche Anerkennung bei gleichzeitiger Berücksichtigung der potenziellen Persönlichkeitsrelevanz und Menge der im Rahmen des Angebots von Kommunikationsdiensten verarbeiteten Daten. Des Weiteren werden tatsächliche und potenzielle Auswirkungen der Datenverarbeitung für Betroffene und deren berechtigte Erwartungen, die durch Zeitablauf mögliche Veränderung der Interessenlage und der gesellschaftliche und rechtliche Bezug der Datenverarbeitung beim Interessenausgleich berücksichtigt. Insgesamt zeigte sich also, dass im Datenschutzrecht ein Interessenausgleich auf vielfältige Weise angestrebt und vom Gesetzgeber und der Rechtsprechung jeweils gezielt Werkzeuge zu seiner Herstellung eingesetzt werden.

3. Analyse der Funktionsweise von datenschutzrechtlichen Abwägungsinstrumenten im Kontext sozialer Online-Netzwerke Daran schloss sich in einem zweiten Schritt die Untersuchung der Funktionsweise der zuvor identifizierten und einer allgemeinen ‚Funktionsprüfung‘ unter­ zogenen Abwägungswerkzeuge (□△○) jeweils unter den spezifischen im Umfeld sozialer Online-Netzwerke herrschenden Voraussetzungen an. Dies verlangte zunächst eine Auseinandersetzung mit dem im Netzwerkumfeld herrschenden Interessengefüge und mit den besonderen Eigenschaften, durch welche sich dieses kennzeichnet. Eine Beleuchtung der faktischen Interessen der Beteiligten ergab, dass aufseiten des Nutzers hauptsächlich private und berufliche Kommunikationsinteressen die Netzwerknutzung beeinflussen, während für die kommerziell im Netzwerk tätigen Akteure finanzielle und wirtschaftliche Interessen der Werbung, des Marketings, der Ertrags- und Gewinnerzielung, bisweilen auch branchenspezifische Interessen etwa an der optimierten Einschätzung

294

F. Ergebnisse, Stellungnahme und Ausblick 

von Versicherungs- oder Kreditrisiken, im Vordergrund stehen. Das Interessengefüge wird dabei äußerlich durch technologische (interaktive und integrative Nutzung und dynamische Fortentwicklung machen das Netzwerk zu einem effizienten und vielseitigen Kommunikationsmittel; Cloud-Strukturen und Big DataAnwendungen gestatten umfangreiche und äußerst zielgerichtete Datenverarbeitungen), wirtschaftliche (hinter den Aktivitäten sämtlicher kommerziell tätiger Akteure stehen massive wirtschaftliche und finanzielle Interessen; insbesondere besitzen Netzwerkanbieter eine große Marktmacht und umfangreiche finanzielle Mittel), gesellschaftliche (soziale Medien sind ein wichtiger Bestandteil der Individual- und Gruppenkommunikation; ein Ausschluss würde jedenfalls die Einbuße gesellschaftlicher Teilhabe mit sich bringen) und mediensoziologische (die besonderen Kommunikationseigenschaften sozialer Netzwerke verleihen ihnen überdurchschnittliche Attraktivität als Kommunikationsmedien; noch teilweise ungeklärte Problematik des ‚Privacy Paradox‘) Faktoren beeinflusst und kennzeichnet sich zudem durch spezielle Merkmale: Zwischen den Netzwerkbetreibern und Nutzern sowie weiteren Akteuren besteht ein sehr ausgeprägtes informationelles Ungleichgewicht, weil beim Anbieter alle beim Netzwerkbetrieb und bei der Netzwerknutzung anfallenden Daten zusammenlaufen und dieser anderen Akteuren gegenüber die Daten regelmäßig nicht offenlegt. Zudem entsteht eine deutliche Diskrepanz zwischen der zur extensiven Nutzung einladenden, attraktiv und einfach gestalteten Oberfläche und den vielfältigen und komplexen Datenverarbeitungen, die im Hintergrund vom Anbieter durchgeführt werden und den Betroffenen regelmäßig nicht vollumfänglich bekannt oder bewusst sind. Auch in struktureller Hinsicht weist das Interessengefüge ein eindeutiges Gefälle zwischen den Beteiligten auf: Netzwerkanbieter und weitere kommerziell tätige Akteure besitzen erhebliche wirtschaftliche Macht und finanzielle Mittel, denen die nicht kollektiv organisierten Nutzer keine gleichwertigen Positionen entgegensetzen können. Die herausragende, monopolähnliche Stellung einiger Netzwerkanbieter bedingt außerdem, dass ihre Netzwerkdienstleistungen aufgrund der dort entstehenden Netzwerkeffekte mit denen ihrer Konkurrenten auf dem Markt qualitativ nicht mehr vergleichbar sind, so dass Nutzer auf die Verwendung einiger weniger Netzwerke beschränkt sind, sofern sie in den Genuss dieser (die Attraktivität von Netzwerken als Kommunikationsmittel maßgeblich beeinflussenden) Netzwerkeffekte kommen wollen. Zuletzt sorgen internationale Konzernstrukturen, komplexe Geschäftsmodelle, die Vermischung privater und kommerzieller Inhalte und die Verschränkung der privaten und beruflichen Nutzung dafür, dass die räumliche Verortung von Datenverarbeitungen und -verarbeitern, eindeutige Rollenzuweisungen und die Zuordnung von Interessen zu den Beteiligten deutlich erschwert sind. Nach der Erarbeitung der wesentlichen Grundzüge des Interessengefüges, seiner speziellen Eigenschaften und der äußerlich auf es einwirkenden Faktoren war eine Betrachtung der Funktionsweise der zuvor ermittelten Abwägungswerkzeuge des Datenschutzrechts unter Einbeziehung der Erkenntnisse über das netz-

I. Zusammenfassung und Ergebnisse der Untersuchung der Ausgangsfragen  

295

werkspezifische Interessengefüge möglich. Diese ergab, dass die untersuchten Ausgleichsinstrumente regelmäßig eine herausgehobene praktische Bedeutung für den Interessenausgleich in der Netzwerkumgebung besitzen, jedoch teilweise nur eingeschränkt ihre vom Gesetzgeber ursprünglich intendierte Funktion entfalten können: Die genannten wirtschaftlichen, technologischen und gesellschaftlichen Faktoren führen vielfach dazu, dass Abwägungswerkzeuge in der Netzwerkumgebung von gesteigerter praktischer Relevanz sind, etwa weil besonders häufig und umfangreich Einwilligungen eingeholt werden, der Personenbezug aus Sicht des Betreibers besonders leicht herstellbar ist oder Kinder und Jugendliche zur hauptsächlichen Ziel- und Nutzergruppe sozialer Netzwerk-Plattformen gehören. Während aber Mechanismen der Verhältnismäßigkeit, Erforderlichkeit und der ausdrücklich angeordneten Interessenabwägung einen weiten Abwägungsspielraum eröffnen und dadurch Abwägungsvorgänge zu unbestimmt werden lassen, sind gerade auslegungsfähige Begriffe wie etwa die Definition der Verantwortlichkeit teilweise zu eng und gestatten aus diesem Grund nicht in ausreichendem Maße die Berücksichtigung netzwerkspezifischer Besonderheiten. Datenschutzspezifische Mechanismen dagegen greifen häufig ins Leere weil die informationellen und strukturellen Ungleichgewichte, Vernetzungen und Rollenauflösungen bereits so stark ausgeprägt sind, dass die von der DS-GVO vorgesehenen Ausgleichsmechanismen wie etwa Auskunfts- und Informationsrechte, Datenportabilität, das Recht auf Vergessenwerden, datenschutzfreundliche Voreinstellungen und datenschutzfreundliche Gestaltung, technisch-organisatorische Schutzvorkehrungen und Garantien, Standardisierungsvorgaben und Maßnahmen der einheitlichen Anwendung, Durchsetzung und Überwachung der Einhaltung des Datenschutzrechts in der derzeitigen Ausgestaltung nicht mehr ausreichen, um die Nachteilsstellung des Nutzers in der Netzwerkumgebung gegenüber anderen Akteuren auszugleichen. Ebenso führen insbesondere Probleme bei der Anwendung und Auslegung gesetzgeberischer Kriterien dazu, dass die gesetzgeberischen Wertungen nicht mehr unbedingt für Sachverhalte in der Netzwerkumgebung gelten oder die Anwendbarkeit von Kriterien bereits nicht festgestellt werden kann (so gestaltet es sich in der Praxis etwa schwierig, Daten von Kindern im Netzwerk zu identifizieren oder festzustellen, ob ein Betroffener selbst im Netzwerk Daten veröffentlicht hat; unklar ist außerdem unter welchen Voraussetzungen Daten in der Netzwerkoberfläche als öffentlich zugänglich gelten können oder in welchem Umfang Dienst der Informationsgesellschaft noch als vom Nutzer ausdrücklich gewünscht gelten kann). Tiefgreifende Konflikte des Selbstbestimmungskonzepts und der Privatautonomie mit den Gegebenheiten in der Netzwerkumgebung und die Tatsache, dass der Verordnungsgeber an einigen Stellen absichtlich Wertungen gänzlich offen gelassen hat (insbesondere hinsichtlich des in der Umgebung sozialer Netzwerke fundamental wichtigen Ausgleichs zwischen Datenschutz(grund-)rechten und der Meinungsund Informationsfreiheit) tragen noch weiter dazu bei, dass der vom Verordnungsgeber angestrebte Interessenausgleich im Netzwerkkontext verschwommen bleibt. Dennoch sind für viele Kriterien (etwa Datenmenge, Betroffenenzahl, Direktwerbung, Auswirkungen, berechtigte Erwartungen, Zeitablauf, Sensibilität, Personen­

296

F. Ergebnisse, Stellungnahme und Ausblick 

bezug) keine speziellen Inkompatibilitäten mit den Voraussetzungen im Netzwerkkontext aufgedeckt worden, sondern ihre besondere Einschlägigkeit lässt im Gegenteil darauf schließen, dass sie geeignet sind, die Interessenlage im Umfeld sozialer Online-Netzwerke im Rahmen des Interessenausgleichs argumentativ zu erfassen. Im Gegensatz zu jenen Werkzeugen, deren Anwendung im Umfeld sozialer Netzwerke problematisch bzw. unmöglich ist oder zumindest zu einer Verzerrung der vom Gesetzgeber ursprünglich implizierten Wertungen führt, ist ihre Anwendung bei der Erarbeitung des Interessenausgleichs daher weitgehend unproblematisch und sinnvoll. 4. Überprüfung der Resultate anhand von Beispielen Zuletzt wurden die gefundenen Resultate anhand der Untersuchung von vier für die Netzwerkumgebung typischen Beispielssachverhalten überprüft. Dabei zeigte sich, dass die Werkzeuge des datenschutzrechtlichen Interessenausgleichs in der Anwendung erwartungsgemäß die zuvor erarbeiteten Schwachpunkte – d. h. stellenweise Veränderungen oder Beeinträchtigungen in ihrer Wirkung – aufwiesen, was die Herstellung eines Interessenausgleichs im konkreten Fall jeweils deutlich behinderte. 5. Zusammenfassende Thesen Folgende Thesen charakterisieren somit zusammenfassend die Ergebnisse der Untersuchung und liefern zugleich Antworten auf die ausgangs aufgeworfenen Fragen: (1) Das europäische Datenschutzrecht formt gezielt Instrumente mit unterschiedlichen Funktionen für die Herstellung eines entsprechend vorgezeichneten Interessenausgleichs. (2) Das Interessengefüge im Umfeld von sozialen Online-Netzwerken ist durch spezielle Eigenschaften geprägt und das Netzwerkumfeld kennzeichnet sich durch besondere äußere Voraussetzungen. (3) Bei der Anwendung der vom Gesetzgeber bereitgestellten Instrumente für den Interessenausgleich in sozialen Netzwerkumgebungen ergeben sich aufgrund des speziellen Interessengefüges Besonderheiten, spezifische Konflikte und Inkompatibilitäten.

In der Folge können die im Datenschutzrecht verwendeten Instrumente des Interessenausgleichs für die Herstellung ebendieses Ausgleichs im Kontext sozialer Online-Netzwerke aufgrund funktioneller Beeinträchtigungen nur eingeschränkt geeignet sein.

II. Einordnung der Ergebnisse 

297

II. Einordnung der Ergebnisse 1. Ursachen Zu weite oder umgekehrt zu geringe Ausgleichsspielräume, die eingeschränkte Wirkweise verschiedener Mechanismen, die Problematiken bei der Auslegung und praktischen Anwendung von Kriterien sowie die Inkompatibilität wesentlicher Konzepte des Datenschutzrechts mit den Voraussetzungen im Umfeld sozialer Netzwerke sind vielfach darauf zurückzuführen, dass (aus der DS-RL teilweise bereits bekannte) Konflikte, die sich durch technologischen Fortschritt und die Veränderungen der wirtschaftlichen und gesellschaftlichen Rahmenbedingungen im Datenschutzrecht im Zusammenhang mit spezifischen Erscheinungen wie sozialen Online-Netzwerken ergeben oder verschärft haben, vom europäischen Datenschutzrecht nicht ausreichend spezifisch adressiert werden.1 Zum Teil ist dieser Umstand der Tatsache geschuldet, dass die DS-GVO das Ergebnis eines jahrelangen Ringens um den europäischen Datenschutzrahmen unter erheblicher Einflussnahme einer durchsetzungsstarken Lobby darstellt. Es handelt sich mithin um den kleinsten gemeinsamen Nenner, auf den die Mitgliedstaaten sich zu einigen und den sie zugleich gegen die Einflussnahme anderer Interessengruppen zu verteidigen im Stande waren. Zahlreiche ‚Herzstücke‘ des immerhin bereits mehr als zwei Jahrzehnte alten Richtlinientextes, darunter insbesondere die Formulierung der Erlaubnistatbestände (jetzt Art. 6 Abs. 1 DS-GVO), zahlreicher Begriffsdefinitionen (jetzt: Art.  4 DS-GVO) und einiger Verarbeitungsgrundsätze (jetzt Art. 5 DS-GVO) wurden folglich mit lediglich geringen Anpassungen übernommen.2 Auch die dem europäischen Datenschutz zugrundeliegende Systematik (etwa die dem Konzept innewohnende Rollenverteilung zwischen den Beteiligten, das generelle Verbot mit Erlaubnisvorbehalt, das Konzept der Einwilligung) hat sich im Kern nicht verändert – hinzu kamen lediglich vorsichtige Ansätze einer Ausweitung der Informationspflichten, eines Systems der Risiko­ abstufung, des verstärkten Datenschutzes durch Technik und Verfahren. Die Verordnung beinhaltet als ein Ergebnis komplexer Verhandlungen also zum einen relativ abstrakte und allgemeine Vorschriften, zum anderen hat eine umfassende Modernisierung der Vorschriften nicht stattgefunden. Zugleich ist eine Generalisiertheit der Regelungen in vielen Bereichen auch gewollt, denn es soll mit der in der Union einheitlich anwendbaren Verordnung ein technikneutraler ‚One Size Fits All‘-Ansatz,3 welcher Öffnungen für Spezial 1 Es sei keine einzige Vorschrift in der DS-GVO zu finden, die die Probleme moderner Datenverarbeitung ausdrücklich adressiere: Roßnagel/Nebel, Die neue Datenschutz-Grundverordnung, S. 6. 2 Ähnliche Kritik etwa bei Roßnagel, in: Roßnagel (Hrsg.), DS-GVO, § 1 Einleitung: Das neue Datenschutzrecht, Rdnr. 9. 3 Roßnagel/Nebel/Richter, ZD 2015, 455 (460), bemängeln bereits hinsichtlich der Entwürfe zur DS-GVO deren „Unterkomplexität“. Sehr deutliche Kritik an der endgültigen Fas-

298

F. Ergebnisse, Stellungnahme und Ausblick 

regulierungen nur in wenigen ausgewählten Bereichen vorsieht, verfolgt werden (Erwgr. 15 DS-GVO): Die universelle Anwendung der Datenschutzvorschriften, die ausdrücklich nicht von der Verwendung bestimmter Technologien abhängig gemacht wird, soll das Risiko der Umgehung dieser Vorschriften mindern. Dementsprechend gelten als Vorteile des Konzepts der Technologieneutralität dessen Flexibilität und Zukunftstauglichkeit – eine Möglichkeit für das Recht, mit technischen Entwicklungen Schritt zu halten oder ihnen sogar vorzugreifen, anstatt sinnbildlich hinterherzuhinken.4 2. Konsequenzen Es hat sich in der vorliegenden Untersuchung jedoch gezeigt, dass diese Herangehensweise bei derart speziellen Konzepten wie sozialen Netzwerken schon im Anfang an ihre Grenzen stoßen muss: Der hohe Abstraktionsgrad der Regelungen der DS-GVO führt einerseits dazu, dass die vom Gesetzgeber vorgenommene Determinierung des Interessenausgleichs bei dessen Anwendung im Netzwerkumfeld unscharf wird oder nicht mehr gezielt vonstattengeht, was sich in der Terminologie der vorangehenden Untersuchung als eine zu große Flexibilität von Mechanismen oder Unsicherheiten hinsichtlich der Anwendbarkeit und des Anwendungsbereichs von Kriterien ausdrückt. Andererseits zielen die datenschutzspezifischen Mechanismen und manche der Ausgleichskriterien auf Interessenlagen, Konstellationen und Rollenverteilungen, die im Umfeld sozialer Online-Netzwerke längst nicht mehr der Realität entsprechen und laufen somit leer. Einige Besonderheiten bei der Anwendung von Ausgleichsinstrumenten, z. B. die besonders weitreichende Einschlägigkeit von Kriterien oder eine spezifische Relevanz aufgrund ihrer praktischen Bedeutung in der Netzwerkumgebung sind dagegen der Funktionsweise des Interessenausgleichs an sich nicht abträglich, sondern führen im Gegenteil dazu, dass die von Gesetzgeber, Rechtsprechung und Literatur implizierten Wertungen bei der Abwägung im konkreten Fall im Rahmen einer Argumentation anhand der jeweiligen Kriterien angemessen zur Geltung kommen. Wo aber tiefgreifende Konflikte oder Inkompatibilitäten einzelner Kriterien oder Defizite bei den Mechanismen (zu wenig oder nicht passender Abwägungsspielraum bzw. zu weiter Abwägungsspielraum) aufgedeckt wurden, ist deren Anwendung in der Netzwerkumgebung nicht vorbehaltlos möglich. Sowohl eine Anwendung trotz vorhandener Konflikte als auch die Vermeidung der Anwendung unpassender oder eingeschränkt funktionstüchtiger Kriterien und Mechanismen können allerdings dazu führen, dass sich die Parameter sung: Roßnagel, Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur DatenschutzGrundverordnung am 24. Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages, S. 2. 4 Sydow/Kring, ZD 2014, 271 (272).

II. Einordnung der Ergebnisse 

299

des vom Gesetzgeber ursprünglich intendierten Interessenausgleichs verschieben oder dass der Interessenausgleich zum Glücksspiel wird, wo Parameter überhaupt nicht mehr vorgegeben sind oder Wertungen nicht greifen können. So führt etwa die Anwendung des Verantwortlichkeitsbegriffes im Umfeld sozialer Netzwerke regelmäßig dazu, dass das Geschäftsmodell und das damit einhergehende Konstrukt des informellen Zusammenwirkens der Beteiligten datenschutzrechtlich nicht vollständig erfasst werden können. Würde das Kriterium der Ausübung der Selbstbestimmung über die eigenen Daten im Kontext sozialer Netzwerke außen vor gelassen, um tiefgreifenden Konflikten beim Aufeinandertreffen beider Konzepte vorzugreifen, hätte dies im Netzwerkkontext eine weitreichende Vernachlässigung der Selbstbestimmungskomponente zur Folge, welche jedoch in Art. 8 Abs. 2 GRC sogar grundrechtlich verankert5 ist. Bleibt es dem Netzwerkbetreiber selbst überlassen, die Zulässigkeit seiner Verarbeitungstätigkeiten auf der Grundlage von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO zu beurteilen, ist ihm ein derart weiter Spielraum zuerkannt, dass Ausnutzung und Missbrauch umfangreich möglich sind – auch bei einer soweit als möglichen gewissenhaften Nutzung des Tatbestandes besteht aber für beide Seiten erhebliche Rechtsunsicherheit, weil keinesfalls mit ausreichender Wahrscheinlichkeit prognostizierbar ist, wie der EuGH und die nationalen Gerichte einzelne Interessenlagen in Zukunft bewerten werden. 3. Lösungsansätze Die vorangehende Analyse hat aufgezeigt, dass bei einer Anwendung der vom Datenschutzrecht derzeit zum Zwecke des Ausgleichs der relevanten Interessen eingesetzten Werkzeuge im Umfeld sozialer Netzwerke weitreichende Besonderheiten, Konflikte und sogar Inkompatibilitäten bestehen. Nach dem oben Gesagten stellt dabei weder eine Anwendung dieser Werkzeuge über Konflikte und Inkompatibilitäten hinweg noch eine Nichtanwendung inkompatibler Werkzeuge eine befriedigende Lösung dar. Im Folgenden sollen daher knapp einige Lösungsansätze vorgestellt und auf ihr Potenzial hin untersucht werden, über die aufgedeckten Probleme hinwegzuhelfen.

5 Heckmann/Paschke, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art.  7 DS-GVO, im Erscheinen. Zwar ist nicht ganz eindeutig, ob die von Art. 8 Abs. 2 GRC installierten Selbstbestimmungselemente den Gehalt des Grundrechts auf Datenschutz ergänzen – in diese Richtung wohl Kosta, Consent in European Data Protection Law, S. 141. Stattdessen könnte der Wortlaut der Norm auch als eine legitime Beschränkung des in Abs.  1 definierten Grundrechtsgehalts verstanden werden, wobei die Einwilligung sowohl als Rechtfertigung für einen Eingriff in das Grundrecht als auch als ein den Eingriff von Anfang an ausschließender Tatbestand bewertet werden könnte. Die gesetzgeberische Anerkenntnis der Existenz von Selbstbestimmungselementen als Institut muss aber im Ergebnis jedenfalls unbestritten bleiben, in diese Richtung auch: Pötters, RDV 2015, 10 (15); Albrecht, CRi 2016, 33 (36).

300

F. Ergebnisse, Stellungnahme und Ausblick 

a) Schaffung adäquater Ausgleichsinstrumente im Rahmen von Spezialnormen Die Analyse des Interessengefüges hat ergeben, dass dieses im Kontext sozialer Netzwerke eine spezielle Prägung besitzt. Um technologische, wirtschaftliche, gesellschaftliche und mediensoziologische Faktoren auszugleichen sowie strukturellen und informationellen Besonderheiten und Grenzauflösungen zu begegnen, läge es zunächst nahe, ‚Spezialwerkzeuge‘ des Interessenausgleichs in der Form von Spezialvorschriften für soziale Netzwerke und die in diesem Kontext durchgeführten Datenverarbeitungen zu implementieren. Denkbar wäre dies im Datenschutzrecht auf europäischer Ebene sowohl im Rahmen einer unmittelbar anwendbaren Spezialverordnung, aber auch durch eine Öffnungsklausel in der Grundverordnung in Verbindung mit der Befugnis zum Erlass delegierter Rechtsakte durch europäische Organe oder zum Erlass von Spezialvorschriften durch die Mitgliedstaaten. So ließen sich Spezialtatbestände und Detailregelungen im Datenschutzrecht schaffen, um einerseits die Besonderheiten sozialer Netzwerke im Einzelfall besser berücksichtigen und andererseits Rechtsunsicherheit und Missbrauchsgefahr durch die Vermeidung der Anwendung allzu weiter Vorschriften eindämmen zu können. Letztlich wäre dadurch ein deutlich exakterer Interessenausgleich möglich.6 Die Anwendbarkeit von Spezialvorschriften für Datenverarbeitungen im Kontext sozialer Online-Netzwerke müsste hierzu allerdings weitreichend an netzwerkspezifische Voraussetzungen gebunden sein, wodurch auch das Umgehungsrisiko deutlicher hervorträte. Es verbliebe hinsichtlich einer zumindest teilweisen Wahrung der Technikneutralität zwar die Möglichkeit, die Anwendbarkeit von Spezialvorschriften an nicht-technische Voraussetzungen wie Verarbeitungszwecke zu knüpfen. Aber auch in diesen Fällen droht mit zunehmender Spezialität der Voraussetzungen allgemein ein zunehmendes Risiko der Umgehung und eine unübersichtliche Zersplitterung des Datenschutzrechts.7

6 Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 166–167. 7 Hinzu kommen selbstredend die allgemeinen Argumente, die für und gegen die gesetzliche Regelung im Rahmen detaillierter Vorschriften (pro: demokratische Legitimierung, Rechtssicherheit, Verständlichkeit und Durchsetzbarkeit; contra: Rechtsunsicherheit, Unangepasstheit, Ineffizienz) bzw. weiter Generalklauseln streiten, vgl. dazu etwa mit Bezug auf den Datenschutz: Maxwell, IDPL 2015, 205 (212–214).

II. Einordnung der Ergebnisse 

301

b) Schärfung der Ausgleichsinstrumente durch die stärkere Berücksichtigung ökonomischer, gesellschaftlicher und technologischer Gegebenheiten aa) Daten als Wirtschaftsgut auf dem Datenmarkt Die Verarbeitung personenbezogener Daten ist, gerade im Zusammenhang mit sozialen Medien, zu einem eigenständigen Geschäftszweig mit spezifischen datenverarbeitungsorientierten Geschäftsmodellen gewachsen. Eine Möglichkeit, dieses Problem gezielt zu adressieren, bestünde darin, für den Umgang mit Daten einen funktionierenden Markt8 zu schaffen, auf dem Daten als Wirtschaftsgüter9 nach den Regeln eines ausgeglichenen Wettbewerbs gehandelt werden können. Eine Behandlung von Daten als Wirtschaftsgüter10 könnte die Zuweisung von Daten auf dem Markt und der zugehörigen Verwertungsrechte klären,11 die Stellung des Datensubjekts gegenüber Datenverarbeitern maßgeblich stärken12 und damit insbesondere dazu beitragen, das strukturelle Gefälle im Netzwerkkontext auszugleichen. Zusätzlich würde eine marktwirtschaftlich orientierte Herangehensweise der besonderen Funktionsweise der Geschäftsmodelle im Umfeld sozialer Netzwerke, die auf eine Kommerzialisierung von personenbezogenen Daten13 abzielen, und dem faktisch bestehenden Austauschverhältnis 8 Allgemein zum Ansatz der Verbesserung des Datenschutzniveaus unter Zuhilfenahme bekannter Marktmechanismen: Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S. 123 (146). 9 Härting/Schneider, CR 2015, 819 (826). 10 Die herfür beschrittenen dogmatischen Ansätze sind ebenso vielfältig wie kreativ; mögliche Konzepte seien etwa die Schaffung eines Dateneigentumsrechts, Stärkung der Vertragsfreiheit oder Schaffung von Immaterialgüterrechten: Jöns, Daten als Handelsware, S. 66–74; zum Vorschlag eines dinglichen Rechts zur Gestaltung des eigenen Online-Images Hoeren, ZRP 2010, 251 (252); in Anlehnung an Ladeur, NJW 2000, 1977 (1980–1981); mit einem Vergleich zum Urheberrecht Kilian, CR 2002, 921 (926–928); zur über die datenschutzrechtliche Perspektive hinaus mit der rechtlichen Zuordnung von Daten befassten Idee eines Rechts des Datenerzeugers: Zech, CR 2015, 137; zur US-amerikanischen Perspektive: Schwartz, HLR 2004, 2056. Kritisch hinsichtlich eigentumsähnlicher ausschließlicher Zuordnung von Persönlichkeitsrechten aber Simitis, NJW 1984, 398 (400); Simitis, in: Simitis (Hrsg.), BDSG, § 1  BDSG, Rdnr.  39; Di Martino, Datenschutz im europäischen Recht, S.  47–49; Buchner, Informationelle Selbstbestimmung im Privatrecht, S.  230; Weichert, in: Bäumler (Hrsg.), E-Privacy, S. 158 (183). Differenzierend von einem Sammelbegriff der „Datenhoheit“, welcher Verfügbarkeit und Verfügungsbefugnis über Daten, Vertraulichkeit der Datennutzung und Integrität des verwendeten Systems beschreibt, bei dem es sich jedoch nicht um ein eigenständiges Recht handeln soll, sprechen Bosesky/Hoffmann/Schulz, DuD 2013, 95 (97). 11 Jöns, Daten als Handelsware, S. 69. 12 Härting/Schneider, CR 2015, 819 (826). 13 Ausführlich zur Kommerzialisierung von Daten unter den Gegebenheiten des deutschen Rechts, insbesondere des Grundrechts auf informationelle Selbstbestimmung: Unseld, Die Kommerzialisierung personenbezogener Daten. Grundsätzliche Vorbehalte gegen die Veräußerlichkeit personenbezogener Daten bestünden nur, soweit die Menschenwürde berührt würde; dazu am Rande Lewinski, Die Matrix des Datenschutzes, S. 53–54.

302

F. Ergebnisse, Stellungnahme und Ausblick 

(Nutzerdaten gegen [Netzwerk-]dienstleistung)14, besser Rechnung tragen. Damit könnte insgesamt das spezielle Interessengefüge im Umfeld sozialer Netzwerke gezielter berücksichtigt werden.15 Ein zaghafter Ansatz einer Öffnung des europäischen Datenschutzes hin zu einem Verfügungsrecht über die eigenen Daten wird etwa in der Festschreibung des Rechts auf Datenportabilität erkannt.16 Wollte der Gesetzgeber dabei weiterhin an den bestehenden Grundstrukturen des datenschutzrechtlichen Interessenausgleichs festhalten, so wäre ein „Aushandlungsspielraum“ für die Preisgabe und Verwendung personenbezogener Daten auf dem Datenmarkt erst dort anzusetzen, wo bei einer Abwägung zunächst die Interessen des Betroffenen überwiegen.17 Auch eine Ausweitung der Privatautonomie18 Betroffener im Hinblick auf die vertragliche Ausgestaltung einer wirtschaftlichen Verwertung ihrer Daten ist allerdings grundsätzlich denkbar. Die schwächere Position der Nutzer aufgrund des informationellen und strukturellen Ungleichgewichts auf dem Datenmarkt müsste, wie auch sonst in einer sozialen Marktwirtschaft, durch Regeln des Wettbewerbs-,19 Kartell-20 und Verbraucher 14

Jöns, Daten als Handelsware, S. 48; Bräutigam, MMR 2012, 635 (638); Hoffmann/Luch/ Schulz/Borchers, Die digitale Dimension der Grundrechte, S. 51–52. 15 Der Ansatz der Privatautonomie ist nach Ansicht von Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 109–110, der einzige, der „dem mannigfaltigen und vielgestaltigen Interessengeflecht im Bereich privater Datenverarbeitung gerecht werden [kann]“. 16 Jülicher/Röttgen/Schönfeld, ZD 2016, 358 (361). 17 Weichert, in: Bäumler (Hrsg.), E-Privacy, S.  158 (177). Umgekehrt für eine „Maxime eines privatautonomen Datenschutzes“ aber: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 117. 18 Dafür offenbar Reiners, ZD 2015, 51 (54–55). 19 Das Verhältnis von Datenschutzrecht und Wettbewerbsrecht wird von deutschen Gerichten regelmäßig thematisiert, wenn es um die wettbewerbsrechtliche Relevanz von Datenschutzverstößen geht. Ein Überblick zum teilweise kontroversen Meinungsstand in Rechtsprechung und Literatur hinsichtlich der für das Eingreifen des Wettbewerbsrechts meist relevanten Beurteilung von Datenschutzregelungen als Marktverhaltensvorschriften bei Galetzka, K&R 2015, 77 (79–80). Das in der dort dargestellten Rechtsprechung und Literatur wiederholt hervortretende Argument, Datenschutzvorschriften seien nicht als Marktverhaltensregelungen zu qualifizieren, weil sie lediglich dem Schutz des Persönlichkeitsrechts dienten (so noch § 1 Abs. 1 BDSG), verliert unter dem ausweislichen Bezug auf Binnenmarktziele und den freien Datenverkehr (Erwgr. 2 und 3 DS-GVO) im Zusammenhang mit der DS-GVO aber deutlich an Durchschlagskraft. 20 Ein Zusammenwirken von Kartellrecht und Datenschutzrecht wird nach der derzeitigen Rechtslage regelmäßig relevant, wenn Datenschutzverstöße von Datenverarbeitern in marktbeherrschenden Stellungen zugleich marktmissbräuchliches Verhalten i. S. v. § 19 GWB darstellen. Das Bundeskartellamt hat im Jahr 2016 ein Verfahren gegen Facebook zur Prüfung der kartellrechtlichen Relevanz von Datenschutzrechtsverstößen eröffnet, Bundeskartellamt, Bundeskartellamt eröffnet Verfahren gegen Facebook wegen Verdachts auf Marktmissbrauch durch Datenschutzverstöße, Pressemeldung v. 02.03.2016 Zum Verhältnis zwischen Kartellrecht und Datenschutzrecht allgemein sowie speziell zum Verfahren gegen Facebook: Bischke/ Brack, NZG 2016, 502 (504). Eine Erweiterung des Kartellrechts zum „Datenkartellrecht“ (Lewinski, Die Matrix des Datenschutzes, S. 62), z. B. zum Zwecke der kartellrechtlichen Erfassung des synallagmatischen Austausches von Nutzerdaten gegen Netzwerkdienstleistungen (entsprechender Vorschlag durch das Bundeskartellamt, Digitale Ökonomie – Internet-

II. Einordnung der Ergebnisse 

303

schutzrechts,21 im Falle des Datenschutzes möglicherweise noch spezieller durch ein die Spezifika des Umgangs mit Daten auf dem Markt regelndes „Datenverkehrsrecht“22, abgefedert werden. Gerade das Verbraucherschutzrecht als eine Rechtsmaterie, die darauf gerichtet ist, informationelle und strukturelle Ungleichgewichte zwischen Unternehmern und Verbrauchern auszugleichen,23 könnte eine entsprechende Wirkung auch im Datenschutzrecht verstärkt entfalten. Ansätze einer Anhebung des Datenschutzniveaus durch Marktanreize stellen z. B. die nun in Art. 42 und 43 DS-GVO geregelten Zertifizierungsoptionen24 oder aber die Bestrebungen der Herstellung einer Datenportabilität25 (Art. 20 DS-GVO) dar. Allerdings wirft, neben den allgemein bekannten Problemen eines „Marktversagens“ im speziellen Bereich des Datenschutzes aufgrund von Informations­ defiziten,26 die zu vorhersehbar irrationalen Entscheidungen des Individuums in Bezug auf die Preisgabe seiner Daten führen,27 gerade die vernetzte, einer trennscharfen Abgrenzung zwischen den Interessen und Beteiligten nur noch sehr begrenzt zugängliche Netzwerkumgebung ganz akut die Problematik der Mehrfachzuweisung28 von Daten zu Subjekten auf, was die Behandlung von Daten, sowohl plattformen zwischen Wettbewerbsrecht, Privatsphäre und Verbraucherschutz, S. 16), könnte vorhandene Schutzlücken effektiv schließen. 21 Allgemein zu den Zusammenhängen zwischen Datenschutzrecht und Verbraucherrecht: Brönneke/Bobrowski, in: Bäumler (Hrsg.), E-Privacy, S. 141; Bodenschatz, Der europäische Datenschutzstandard, S. 127; insbesondere zum AGB-Recht: Weichert, VuR 2006, 377 (381– 382). Jüngst wurde durch Art.  3 Nr.  1 lit.  c)  cc)  des Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts v. 17.02.2016 (BGBl. I 2016, S. 233 ff.) die zuvor noch eingeschränkte (dazu etwa: Köpernik, VuR 2014, 240) Klagemöglichkeit für Verbraucherverbände im Zusammenhang mit Datenschutzverstößen maßgeblich ausgeweitet. Für Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht mit satzungsmäßigen Zielen im öffentlichen Interesse sowie Tätigkeiten im Bereich des Schutzes der Rechte und Freiheiten Betroffener hinsichtlich des Schutzes ihrer personenbezogenen Daten sieht Art. 80 DS-GVO künftig ebenfalls Handlungsmöglichkeiten (insbesondere besteht die Möglichkeit, im Auftrag der betroffenen Person deren Rechte gerichtlich wahrzunehmen, Abs. 1) sowie darüber hinausgehende Regelungsbefugnisse für die Mitgliedstaaten (Abs.  2; zur Bewertung des neuen Verbandsklagerechts auf deutscher Ebene mit Blick auf die DS-GVO: Halfmeier, NJW 2016, 1126 (1127)) vor; zur entsprechenden Fassung im Kommissionsentwurf bereits Heckmann, in: Leible (Hrsg.), Der Schutz der Persönlichkeit im Internet, S. 17 (21). 22 Lewinski, Die Matrix des Datenschutzes, S. 55. 23 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 109. 24 Zum direkten Zusammenhang zwischen Zertifizierungsoptionen und Marktanreizen: Hornung/Hartl, ZfD 2014, 219 (220). 25 Zur Stärkung des Wettbewerbs durch Datenportabilität speziell im Falle der Anbieter sozialer Netzwerke: Hornung, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, S. 123 (142–143). 26 Allgemein zur für die Funktion von Märkten schädlichen Rolle von Informationsasymmetrien: Cooter/Ulen, Law and Economics, S. 48–49. 27 Sandfuchs, Privatheit wider Willen?, S. 212–221. 28 Dazu auch allgemeiner und bezugnehmend auf den Akt der Eingabe oder Schaffung von Daten als denkbare weitere Zuweisungskriterien neben dem Personenbezug: Lewinski, Die Matrix des Datenschutzes, S. 51–53.

304

F. Ergebnisse, Stellungnahme und Ausblick 

speziell als Objekte mit einem dem Eigentum ähnlichen Zuweisungsgehalt als auch allgemein als Wirtschaftsgüter auf einem Markt, erheblich erschwert29. bb) Datenschutz als Gesellschaftsgut Die von einem in die vernetzte Kommunikation eingebundenen Individuum30 produzierten persönlichen Daten betreffen regelmäßig auch andere Individuen; schon aus diesem Grund ist Datenschutz jedenfalls eine Frage der kollektiven Koordination.31 Weil aber die Preisgabe personenbezogener Daten stets nicht nur einen Privatsphäreverlust für ein Individuum, sondern auch einen Beitrag zum gesamtgesellschaftlichen Privatsphärenmangel („overall lack of privacy“) darstellt,32 besitzt der Schutz personenbezogener Daten neben der Individualperspektive auch eine Bedeutung als Gemeinschaftsgut.33 Umgekehrt verspricht die interessengerechte ökonomische Nutzung von Daten nicht nur Vorteile für Einzelne, sondern für die Gesellschaft und Wirtschaft als Ganzes.34 Dies muss ganz besonders für den Datenschutz im Kontext sozialer Netzwerke gelten, weil sie als Medium der Vernetzung einerseits die Drittbezogenheit des Datenschutzes besonders problematisieren, andererseits aufgrund ihrer Beliebtheit und weiten Verbreitung das Gesamtniveau des Datenschutzes in der Gesellschaft maßgeblich mittragen. Das derzeit vorhandene Regelungsgefüge deckt aber die über das einzelne Individuum hinausgehenden „gesamthaften“ Aspekte des Datenschutzes nicht35 oder nur unvollständig ab. Anstelle oder in Ergänzung der in ihrer Wirksamkeit nicht ausreichenden Regulierung der Datenverarbeitung bezüglich der Perspektive des Einzelnen36 29 Allerdings ist eine Rechtezuordnung nicht völlig ausgeschlossen. So mit Verweisen auf die Multirelationalität von Rechten im Bereich des Persönlichkeitsrechts und des Urheberrechts: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 221–230. 30 Vom „Individuum[…] der ‚Gesellschaft der Netzwerke‘“ und einer „kollektiven[n] transindividuelle[n] Dimension der Kommunikation“ spricht im Zusammenhang mit den konzeptionellen Grenzen des Datenschutzrechts Ladeur, in: Süssengut (Hrsg.), Die Gesellschaft der Daten, S. 225 (238). 31 Fairfield/Engel, DLJ 2015, 385 (387). 32 Fairfield/Engel, DLJ 2015, 385 (423). Eng mit den Theorien öffentlichen Gemeinwohls verwoben ist auch der Ansatz der kontextuellen Integrität von Privatheit, wonach Privatsphäre keinem statischen Anspruch auf Geheimhaltung oder Kontrolle entspricht, sondern sich vielmehr an einem dem sozialen Kontext und den sich darauf beziehenden Normen messen lassen muss: Nissenbaum, Privacy in Context, S. 107. Ähnlich: Cohen, HLR 2013, 1904 (1908). 33 „[…] one could go further and say that the overall scope of data protection law is the protection of a societal interest rather than a single individual’s concern: that is, there is a need for personal data (in general) to receive appropriate protection by law[…]“: Balboni/Cooper/ Imperiali/Macenaite, IDPL 2013, 244 (247). 34 Reiners, ZD 2015, 51 (52). 35 Lewinski, Die Matrix des Datenschutzes, S. 55–56. 36 Zu alternativ oder ergänzend zur klassischen Ge- und Verbotsregulierung im Datenschutz einsetzbaren technischen Werkzeugen des Selbstdatenschutzes und der rechtlichen Rahmung vgl. Karaboga/Masur/Matzner/Mothes/Nebel/Ochs/Schütz/Fhom, Selbstdatenschutz.

II. Einordnung der Ergebnisse 

305

sei der Gesetzgeber daher gefordert, den agierenden Gruppen die erforderlichen Werkzeuge an die Hand zu geben, um ein höheres Datenschutzniveau als Gemeinwohlziel anstreben zu können.37 Als wirksame Maßnahmen werden die Erhöhung des Pro-Kopf-Ertrags für Individuen im Falle von datenschutzfreundlichem Verhalten (der persönliche Vorteil des Individuums also), die Ermöglichung einer effizienten Kommunikation und eines umfassenden Austausches zwischen den beteiligten Individuen (wobei eine effiziente Möglichkeit des Austausches zwar möglicherweise den Verlust von Anonymität bedingt, datenschutzfreundlich aber durch pseudonyme Nutzungsformen ersetzt werden kann), die Begünstigung informeller sozialer Sanktionen innerhalb relevanter Gruppen durch die Schaffung plattformübergreifender pseudonymer Online-Identitäten sowie die Rahmung des gesellschaftspolitischen Datenschutzdiskurses mit positiven Assoziationen ausgemacht.38 Alle genannten Methoden beziehen sich dabei auf entsprechende Erkenntnisse der Sozialforschung, welche Faktoren allgemein den Beitrag von Individuen zur Herstellung von Gemeinschaftsgütern beeinflussen.39 Hinzu kommen mögliche gesamtgesellschaftliche Regulierungsansätze, z. B. die Festlegung von absoluten Grenzen für Datenverarbeitungen, die Bereitstellung entsprechender Gegengewichte bzw. Werkezeuge zum Ausgleich des Informationsungleichgewichts (etwa durch die Schaffung von Transparenzpflichten, Informationszugangsrechten, die Aufteilung von Datenmacht auf mehrere Akteure oder gezielte Beschränkung der Datenmacht einzelner Akteure).40 Verschiedene der aufgedeckten netzwerkspezifischen Inkompatibilitäten lassen sich gerade darauf zurückführen, dass soziale Online-Netzwerke eine Vielzahl von Akteuren versammeln, die zusammenwirken, vernetzt sind und eine ganz eigene soziale und wirtschaftliche Dynamik entwickeln. Dies kollidiert mit einer von der Zentralperspektive des Datensubjekts oder dem Modell einer linearen Beziehung zwischen Datenverarbeiter und Datensubjekt ausgehenden Konzeption maßgeblich. Ein an den kollektiven Aspekten des Datenschutzes und den entsprechenden Erkenntnissen zur Herstellung von Gemeinschaftsgütern orientiertes Regelungsregime könnte also gezielt dort ansetzen, wo Ansätze des Individualschutzes und der Individualförderung zu kurz greifen; dabei drohen aber gerade im Hinblick auf das hinsichtlich des Schutzes von Daten an der Selbstbestimmung des Individuums ausgerichtete deutsche Verfassungsrecht spätestens dann Konflikte, wenn die Fokussierung auf Gemeinwohlaspekte zu einer Vernachlässigung des Schutzes aus der Perspektive des betroffenen Individuums führt und damit dem vom Gesetzgeber aus den grundrechtlichen Schutz- und Förderpflichten41 37

Fairfield/Engel, DLJ 2015, 385 (456–457). Fairfield/Engel, DLJ 2015, 385 (449–456). 39 Fairfield/Engel, DLJ 2015, 385 (433–448). 40 Lewinski, Die Matrix des Datenschutzes, S. 56–62. 41 Zur Schutzpflichtendimension des Grundrechts auf informationelle Selbstbestimmung beispielsweise Di Fabio, in: Maunz/Dürig/Herzog et al. (Hrsg.), GG Bd. I, Art. 2  GG, Rdnr. 189. Auch das Grundrecht auf die Vertraulichkeit und Integrität informationstechnischer Systeme 38

306

F. Ergebnisse, Stellungnahme und Ausblick 

heraus herzustellenden Schutzniveau nicht mehr genügt. Auch im europäischen Recht sind mit Art. 7 GRC, der jedenfalls Selbstbestimmungselemente beinhaltet,42 einem gemeinwohlorientierten Ansatz zumindest relative Grenzen gesetzt. Auf faktischen Widerstand stößt der Ansatz der Förderung von Datenschutz als Gemeinschaftsgut aber spätestens dort, wo Akteure auf den Plan treten, die ausschließlich wirtschaftliche Ziele verfolgen und deshalb an Gemeinwohlaspekten des Datenschutzes kein oder nur geringes Interesse besitzen.43 Dies dürfte gerade für die aus massiven wirtschaftlichen und finanziellen Interessen heraus agierenden Akteure im Umfeld des sozialen Netzwerks relevant sein.44 cc) Weiterentwicklung risikobasierter Ansätze Denkbar wäre hinsichtlich einer stärkeren Berücksichtigung technologischer Entwicklungen auch eine deutlichere Betonung risikobasierter Ansätze (auch solche befinden sich zumindest ansatzweise bereits in der Verordnung, vgl. etwa Art.  35  DS-GVO) bis hin zu einer vollständigen Orientierung des datenschutzrechtlichen Regelungsregimes am jeweiligen Risiko für den Betroffenen oder die Gesellschaft. Allgemein soll die Ausrichtung datenschutzrechtlichen Schutz­ umfanges am jeweils bestehenden Risiko dazu dienen, „Nutzen und Risiken in flexibler Weise zueinander in Beziehung zu setzen“45. Bislang hat die von der DS-GVO vorgesehene Risikoanalyse jedoch lediglich Einfluss auf die vom Verantwortlichen zu ergreifenden technischen, organisatorischen und sonstigen Maßnahmen46 und eine eventuelle Pflicht zur Konsultation der Aufsichtsbehörde. Dazu besagt Erwgr. 89 DS-GVO ausdrücklich, dass Meldepflichten unter der Verordnung nur dann noch bestehen, wenn wegen der Art und Weise der Verarbeitung oder aufgrund sonstiger Umstände ein hohes Risiko für Betroffene zu erwarten ist. Eine unmittelbare Koppelung der Risikoanalyse an die Gestattung von Datenverarbeitungen ist hingegen nicht explizit vorgesehen,47 sondern kann lediglich implizit z. B. bei der Anwendung der Interessenabwägungsgeneralklausel eine Rolle

entfaltet Schutz- und Förderpflichten, vgl. Heckmann, in: FS Käfer, S. 129 ff. Zu den Schutzpflichten hinsichtlich des europäischen Grundrechts auf den Schutz personenbezogener Daten z. B.: Streinz, EuZW 2011, 384 (387). 42 Siehe zum Schutzumfang von Art. 7 GRC unter B. II. 2. Nicht ganz so eindeutig ist die Bedeutung der Selbstbestimmungskomponente für den Schutzgehalt von Art. 8 GRC zu bestimmen, dazu unter D. III. 4. a). 43 Ähnlich Heckmann, K&R 2010, 770 (774). 44 Ihnen könnte aber dennoch zumindest implizit am Vertrauen der Nutzer und damit an einem zumindest indirekt auf Gemeinwohlaspekte ausgerichteten Datenschutzkonzept gelegen sein. 45 Dammann, ZD 2016, 307 (314). 46 Ausführlich zur Risikofolgenabschätzung in der DS-GVO: Friedelwald/Obersteller/Nebel/Bieker/Rost, Datenschutz-Folgenabschätzung. 47 Roßnagel, DuD 2016, 561 (565).

II. Einordnung der Ergebnisse 

307

spielen.48 Im Falle einer solchen Koppelung aber wäre eine detailliert abgestufte Regelung sowohl der zulässigen Datenverarbeitungsvorgänge als auch der zu ergreifenden technisch-organisatorischen Maßnahmen, Auskunftspflichten, Informationsrechte etc. denkbar und auch die im Rahmen einer Einwilligung zu erteilenden Informationen könnten sinnvoll durch konkrete Angaben zum jeweils bestehenden Risiko für Betroffene ergänzt werden49. Die Datenverarbeitungen im Kontext sozialer Medien würden sich als mit einem entsprechenden Risiko klassifizierte Verarbeitungsformen in das Konzept einfügen und bedürften darüber hinaus keiner gesonderten Regulierung mehr, weil die durch das speziell geprägte Interessengefüge verursachten Besonderheiten bereits bei der Risikoklassifizierung berücksichtigt werden könnten.50 Eine Risikoklassifizierung müsste dementsprechend anhand im Datenschutzrecht bereits bekannter (z. B. Art der Daten, Art und Weise der Datenverarbeitung, etc.) und noch weiterer zu ergänzender Kriterien51, welche die gesellschaftliche, wirtschaftliche und technologische Entwicklung angemessen berücksichtigen (denkbar wären z. B. zusätzliche Unterscheidungen anhand von Geschäftsmodellen, technologischen Voraussetzungen etc.), durchgeführt werden. Ein entsprechender Kriterienkatalog und das zugehörige Einstufungsverfahren wären anhand eines vom demokratisch legitimierten Gesetzgeber fixierten Verfahrens und entsprechenden Grundsätzen von per Gesetz definierten zuständigen Stellen zu erarbeiten und in regelmäßigem Turnus zu evaluieren. Um die demokratische Legitimation nicht zu gefährden, müsste dabei, auch wenn die nähere Ausgestaltung des Kriterienkatalogs der Flexibilität halber in der Praxis zuständigen Stellen der Exekutive übertragen ist, die Letztentscheidungskompetenz über die Einstufungskriterien und das Einstufungsverfahren im Rahmen eines Zustimmungserfordernisses oder Widerspruchsrechts beim Gesetzgeber verbleiben. Die Klassifizierung selbst könnte dann sowohl von staatlichen Stellen als auch von staatlich überprüften privaten Stellen durchgeführt werden. Für die Erarbeitung der Einstufungs­k riterien, des Einstu 48 Ähnlich: Veil, ZD 2015, 347 (352). Zumindest für eine weiter reichende Risikotransparenz gegenüber dem Betroffenen: Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 79; Roßnagel, Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24. Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages, S. 2–3. Gellert, IDPL 2015, 3, dagegen versteht die gesamte europäische Datenschutzkonzeption als einen Ansatz der Risikoregulierung. 49 Zur Idee einer „datenschutzrechtlichen Vorbewertung in Form eines farblichen Leitsystems“, welche die Informiertheit bei der Ausübung des Selbstbestimmungsrechts stärken soll: Pollmann/Kipker, DuD 2016, 378 (380–381). 50 Umgekehrt könnten wenig eingriffsgeneigte Datenverarbeitungsvorgänge einer entsprechend niedrigeren Risikoklassifizierung unterzogen und geringeren Zulässigkeitshürden gegenübergestellt werden, was eine Konzentration des Datenschutzes auf die wesentlichen, missbräuchlichen oder das Datensubjekt konkret gefährdenden Verarbeitungsvorgänge (dafür auch Heckmann, in: Leible [Hrsg.], Der Schutz der Persönlichkeit im Internet, S. 17 [31]) ermöglichen würde. 51 Zur praktischen Schwierigkeit der Einigung über Risikobewertungskriterien aber aufgrund divergierender Rechtssysteme und Gesellschaftskonventionen: Veil, ZD 2015, 347 (352).

308

F. Ergebnisse, Stellungnahme und Ausblick 

fungsverfahrens und der gesetzlich an verschiedene Einstufungen geknüpften Verbote, Erlaubnisse und Anforderungen sind Anleihen sowohl bei den bisher bekannten Verfahren der Datenschutzfolgenabschätzung (bzw. des Privacy Impact Assessments),52 der Technikfolgenabschätzung53 und des Risikomanagements54 denkbar. Konflikte scheinen zunächst in grundrechtstheoretischer Hinsicht zu bestehen, weil das Konzept der Risikobewertung, das Abstufungen zulässt und vorhandene Risiken möglicherweise sogar als hinnehmbar einstuft, dem absolut wirkenden Charakter des Grundrechtsschutzes zu widersprechen scheint.55 Wird jedoch die Risikobewertung an ein entsprechendes System der gesetzlichen Erlaubnisse, Verbote und Anforderungen geknüpft, so handelt es sich um nichts weiter als ein Werkzeug zur Bewertung der Betroffeneninteressen anhand einer jeweils situationsgerechten Berücksichtigung äußerer Faktoren, welches sodann die Schaffung eines Interessenausgleichs zwischen den Beteiligten anhand konkret am jeweiligen Risiko orientierter gesetzlicher Vorgaben ermöglicht. Ein solcher Ausgleich wäre im Rahmen der Anwendung gesetzlicher Tatbestände allgemein, bei einer entsprechend grundrechtskonformen Auslegung auch auf der Grundrechtsebene, ohnehin anzustreben. Der Tatsache, dass jede Datenverarbeitungsmaßnahme, unab­hängig von dem dadurch konkret geschaffenen Risiko und unabhängig von ihrer Legitimität, in Betroffenenrechte eingreift, wäre bei der Einstufung von Datenverarbeitungsvorgängen dadurch Rechnung zu tragen, dass eine grundlegende 52 Vgl. etwa die bislang in § 4d Abs. 5 BDSG geforderte Vorabüberprüfung des Verfahrens, das sechsstufige Privacy Impact Assessment Modell der britischen Datenschutzaufsichtsbehörde (ICO, Conducting privacy impact assessments), die Empfehlungen der französischen Datenschutzaufsichtsbehörde (CNIL, Privacy Impact Assessment [PIA]) und die bisherigen Empfehlungen der Europäischen Kommission im Zusammenhang mit der Verwendung neuer Technologien (Empfehlung der Kommission zu Vorbereitungen für die Einführung intelligenter Messsysteme, vom 09.03.2012, ABl. EU Nr. L 73 v. 13.03.2012, S. 9 ff.; Empfehlung der Kommission zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen v. 12.05.2009, ABl. EU Nr. L 122 v. 16.05.2009, S 47 ff.); zu allen im Überblick Friedelwald/Obersteller/Nebel/Bieker/Rost, Datenschutz-Folgenabschätzung, S. 8–13. 53 Zur Tradition und den Aspekten der Technikfolgenabschätzung im Recht ausführlich Roßnagel, Rechtswissenschaftliche Technikfolgenforschung. 54 „Risikomanagement ist das systematische Denken und Handeln im Umgang mit Risiken“; das von Unternehmen durchgeführte Risikomanagement orientiert sich dabei häufig an gesetzlichen Vorgaben oder anderweitigen Standards (Definition und Übersicht bei Gleißner, Grundlagen des Risikomanagements im Unternehmen, S. 11; 38–49). Auch die Art. 29Datenschutzgruppe, WP 217, S. 38–39 bezieht sich für die Durchführung der Abwägung im Rahmen von Art. 7 lit. f DS-RL auf Begrifflichkeiten und Verfahren der allgemeinen Risikoanalyse, grenzt die dortige Vorgehensweise aber strikt von den unter der DS-RL ebenfalls möglichen oder vorgesehenen Datenschutzfolgenabschätzungen ab. 55 In diese Richtung auch die Argumentation bei Friedelwald/Obersteller/Nebel/Bieker/ Rost, Datenschutz-Folgenabschätzung, S. 17; Art. 29-Datenschutzgruppe, WP 218, S. 3. Wohl auch Zanfir, in: Gutwirth/Leenes/Hert (Hrsg.), Reforming European Data Protection Law, S. 227 (301), die eine Gestattung auf der Grundlage einer risikoorientierten Kosten-NutzenRechnung jedenfalls dann für unangemessen hält, wenn ein tatsächlicher Schaden für Individuen droht.

II. Einordnung der Ergebnisse 

309

Schutzbedürftigkeit von Daten auch bei geringem oder sogar ausgeschlossenem Risiko angenommen wird.56 Probleme zeigen sich jedoch auch in der praktischen Durchführung dieses Ansatzes, denn mit zunehmender Automatisierung und Digitalisierung sind Datenverarbeitungen häufig ein natürliches Nebenprodukt wirtschaftlicher und technischer Transaktionen. Eine allgemeine Pflicht zur Risikoklassifizierung vor oder spätestens mit Beginn der Datenverarbeitung birgt dementsprechend deutliche Hemmnisse für die Wirtschaft und ist mit erheblichem Aufwand und hohen Kosten verbunden. Eine Risikoklassifizierung würde überdies voraussetzen, dass der Datenverarbeiter die Details der Datenverarbeitung und ihrer Umstände umfassend preisgibt. Dabei besteht nicht nur die Gefahr eines Konflikts mit Geschäftsgeheimnissen der Datenverarbeiter, sondern es kommt zu einer umfangreichen und staatlicherseits zentralisiert erfassten Registrierung und Bewertung von Datenverarbeitungsvorgängen, worin wiederum selbst ein Gefährdungspotenzial für Betroffene liegen könnte. dd) Umkehrung des Verbots mit Erlaubnisvorbehalt, Post Privacy Vielfach ist im Zusammenhang mit dem wirtschaftlichen, gesellschaftlichen und technologischen Wandel in der Informationsgesellschaft bereits eine Umkehrung des generellen Verbots mit Erlaubnisvorbehalt im Datenschutzrecht gefordert worden.57 Vertreter der sogenannten Post Privacy-Bewegung gehen noch weiter und stellen gar die bekannten Konzepte von Privatsphäre und Datenschutz insgesamt in Frage.58 Die unaufhaltsame Datensammlung führe zwangsläufig zu einem Kontrollverlust, zur immer weiteren Auflösung des als Raum des Verborgenen geschützten Privaten.59 Mit dem Verschwinden der Privatsphäre hätte die Gesellschaft sich abzufinden,60 es verblieben lediglich „Post-Privacy Taktiken“61, Strategien zur Bewältigung des Übergangs in das Zeitalter nach der Privatsphäre. Die wachsende Diskrepanz zwischen rechtspolitischen Regulierungsabsichten und tatsächlicher Datenverarbeitungspraxis scheint den Vertretern der Post Privacy-Bewegung zunächst Recht zu geben: Obwohl zweifelsfrei feststeht, dass der Gesetzgeber im europäischen Datenschutzrecht einen Ausgleich der Interessen al 56

Friedelwald/Obersteller/Nebel/Bieker/Rost, Datenschutz-Folgenabschätzung, S. 26. Z. B. Härting/Schneider, CR 2015, 819 (819; 822–823); implizit Rogall-Grothe, ZRP 2012, 193 (194); Kramer, DuD 2013, 380 (380–382); Bull/Kammer, Netzpolitik, S. 136. Kritisch aber Heckmann, in: Leible (Hrsg.), Der Schutz der Persönlichkeit im Internet, S.  17 (23–25); Weichert, DuD 2013, 246 (246–249). 58 So formuliert etwa Heller, Post Privacy, S. 7 einleitend: „Die Privatsphäre ist ein Auslaufmodell. […] Wir treten ein in das Zeitalter der ‚Post Privacy‘: in ein Leben nach der Privat­ sphäre.“ 59 Heller, Post Privacy, S. 22–24. 60 Heller, Post Privacy, S. 7. 61 Dazu ausführlich Heller, Post Privacy, S. 124–150. 57

310

F. Ergebnisse, Stellungnahme und Ausblick 

ler Beteiligter unter Beachtung sämtlicher einschlägiger Grundrechte und Grundfreiheiten bezweckt und obwohl Literatur und Rechtsprechung sich bereits umfangreich mit der Herstellung dieses Interessenausgleichs auseinandergesetzt haben, hat sich gezeigt, dass die Ausgleichswerkzeuge im Umfeld sozialer OnlineNetzwerke häufig zugleich besondere Relevanz, aber auch eine eingeschränkte Funktionstüchtigkeit entfalten. Dem stehen faktisch62 umfangreiche Aktivitäten sämtlicher Beteiligter in der Netzwerkumgebung gegenüber.63 Naheliegend wäre also der Schluss, die vorhandenen rechtlichen Ausgleichswerkzeuge insgesamt aufzugeben und gänzlich neuartige, an anderen (realistischeren) Ausgleichszielen orientierte Instrumente zu schaffen. Ob und inwieweit die Aufgabe von Privatheitsansprüchen mit dem Wesen des Menschen und mit dem Menschenbild, das die moderne Demokratie64 zeichnen möchte, vereinbar ist, kann an dieser Stelle nicht geklärt werden. Fest steht aber, dass eine derart veränderte Haltung gegenüber einem Recht auf Privatsphäre und Datenschutz zunächst die Modifikation des europäischen (und deutschen) Grundrechtsrahmens erfordern würde. Solange nämlich Art. 7 und 8 GRC diese Werte schützen und ihre Achtung garantieren (Art.  8 GRC verbürgt ausdrücklich den Grundsatz, dass Datenverarbeitungen nur stattfinden dürfen, wenn hierfür eine legitime gesetzliche Grundlage oder Einwilligung existiert – dies kommt einer primärrechtlichen Umschreibung des Verbotsgrundsatzes sehr nahe65), kann sich der Gesetzgeber diesem grundsätzlichen Anspruch bei dem Streben nach der Herstellung eines Interessenausgleichs im Datenschutzrecht und der Schaffung entsprechender Ausgleichswerkzeuge ebenso wenig völlig verschließen wie die Rechtsanwender bei deren Anwendung. c) ‚Nicht-legislative‘ technologische Ausgleichsinstrumente Eine wesentliche Problematik, die die vorangegangene Analyse aufgezeigt hat, besteht in der Komplexität und Vernetztheit der Technologien, die eine Ausübung 62

Wo das Recht die Realität nicht mehr regulieren kann, treten durch die „normative Kraft des Faktischen“ andere Regulierungsmechanismen hervor, Heckmann, K&R 2010, 770 (775). Dennoch sollte in einem Rechtsstaat der angestrebte Zustand der eines Interessenausgleichs durch das Recht und nicht durch faktische Umstände sein, Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 9, Rdnr. 77; allgemeiner zum Wirklichkeitsbezug und den Wechselwirkungen zwischen Realität und Rechtssetzung: Heckmann, Geltungskraft und Geltungsverlust von Rechtsnormen, S. 173–183. 63 Allgemein sind im Alltag Datenverarbeitungen „die Regel, nicht die Ausnahme“, Heckmann, NJW 2012, 2631 (2631). 64 Zu den in diesem Zusammenhang nicht zu vernachlässigenden Verknüpfungen zwischen Privatsphäre, dem Schutz personenbezogener Daten, staatsbürgerlicher Autonomie und demokratischer Willensbildung: Boehme-Neßler, IDPL 2016, 222. 65 Dieser Ansicht wohl auch Kampert, Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda, S. 169.

II. Einordnung der Ergebnisse 

311

der Selbstbestimmung im Kontext sozialer Online-Netzwerke maßgeblich behindert. Wenn aber der Mensch nicht mehr in der Lage ist, komplexe technologische Zusammenhänge zu begreifen, zu verarbeiten und zur Grundlage selbstbestimmter Entscheidungen zu machen, und Instrumente des Rechts es nicht vermögen, geeignete äußere Voraussetzungen für selbstbestimmte Entscheidungen zu schaffen, so liegt es durchaus nahe, technologische Instrumente zu Hilfe nehmen, um Selbstbestimmungsdefizite auszugleichen und so Betroffene in die Lage zu versetzen, einen Interessenausgleich selbst herzustellen. So könnte etwa überforderten Nutzern eine kompetente Software (ein ‚virtueller Datenschutzassistent‘) zur Verfügung gestellt werden, die registriert, welche Datenspuren sie produzieren und wer diese Daten speichert. Einwilligungserklärungen und Informationstexte könnten durch die Software an die Bedürfnisse des jeweiligen Nutzers angepasst (Alter, Intellekt, Interessen, Einstellung zum Datenschutz etc.), aufbereitet und vom Datenschutzassistenten in der für den Nutzer optimal rezipierbaren Form präsentiert werden. Zudem würde es möglich, Datenpreisgaben über lange Zeiträume hinweg sichtbar und nachvollziehbar zu machen und auch mögliche (Spät-)Folgen einer Sammlung von Daten oder Kombination verschiedener Datensätze sowie die durch deren Auswertung mithilfe von Big Data-Anwendungen entstehenden neuen Möglichkeiten abzuschätzen. Nutzer vergessen, dass sie ein- und demselben Anbieter bereits zuvor schon einmal Daten bereitgestellt haben und wissen auch nicht mehr, um welche Daten es sich gehandelt hat. Eine Software könnte solche Spuren langfristig erfassen und bei erneuter Datenpreisgabe vor Kombinationsmöglichkeiten und Mustererkennung warnen. Nutzer sind sich auch des Hinterlassens von Datenspuren nur noch selten bewusst und wissen unter Umständen nicht, ob die Daten verschiedener Dienste bei einem Anbieter zusammenlaufen. Eine Datenverwaltungssoftware könnte den Nutzer bei der unbedachten Produktion von Daten oder dem unbewussten Übersenden von Metadaten notifizieren und auch etwa davor warnen, dass zwei Dienste zu einem Anbieter oder Konzern von Anbietern gehören, deren Datenschutzerklärungen einen Datenaustausch untereinander vorsehen. Mögliche Risiken für die Persönlichkeitsrechte des Betroffenen liegen aber auf der Hand, wenn Datenpreisgaben in sämtlichen Zusammenhängen mithilfe einer Software erfasst, umfassend analysiert und gesammelt auf einem lokalen Speicher des Nutzers oder womöglich sogar in einer Cloud hinterlegt werden. Entsprechende Anwendungen und ihre Anbieter66 müssten daher einer strengen Zertifizierung und gesonderten Datensicherheitsvorschriften unterliegen, um eine Verbesserung der Position des Nutzers langfristig bewirken zu können.

66

Mit dem Vorschlag der Schaffung von Zwischeninstanzen („Profile Information Reporting Agencies“), die für die Verwaltung und Freigabe von Persönlichkeitsprofilen und persönlichen Datensätzen nach entsprechender Anweisung des Betroffenen zuständig sind: Kesan/ Hayes/Masooda, ILJ 2016, 267 (346–349).

312

F. Ergebnisse, Stellungnahme und Ausblick 

d) Zusammenfassung Sämtliche der vorgestellten Lösungsansätze nehmen sich jeweils eines bestimmten Defizits datenschutzrechtlicher Ausgleichswerkzeuge an und gleichen dieses Defizit aus. Dabei werfen sie aber jeweils neue Probleme auf, für die sie eine Gesamtlösung nicht bieten können. Unter welchen Umständen eine Kombination verschiedener Lösungsansätze derart möglich ist, dass möglichst wenige Inkompatibilitäten verbleiben und zugleich die Instrumente des Datenschutzrechts möglichst zielgerichtet zum Einsatz kommen, bleibt künftig auszuloten.

III. Abschließende Stellungnahme Eine Ergebniszusammenfassung und Gegenüberstellung der Befunde mit den Ausgangsfragen ergab, dass die vom europäischen Datenschutzrecht für den Interessenausgleich bereitgestellten Werkzeuge nur eingeschränkt geeignet sind, einen solchen Ausgleich auch in der spezifischen Umgebung sozialer Netzwerke herzustellen. Stattdessen weist alles darauf hin, dass die DS-GVO als Regelwerk für den Bereich sozialer Netzwerke kein geeignetes, ja nicht einmal ein akzeptables Instrumentarium für die Lösung von Interessenkonflikten bieten kann: Die Wirkweise der Instrumente des Interessenausgleichs ist an zahlreichen Stellen wesentlich beeinträchtigt, wovon im Falle der Verarbeitung personenbezogener Daten regelmäßig auch die Grundrechtsebene und der verhältnismäßige Grundrechtausgleich betroffen sind. Die Werkzeuge, mit denen der Verordnungsgeber also sinnbildlich die Waage ‚präpariert‘, um die Interessen der Nutzer an einer Wahrung ihrer Privatsphäre und an einem Schutz ihrer Daten im Umfeld sozialer OnlineNetzwerke mit den Interessen und Rechten anderer Akteure jeweils zum Ausgleich zu bringen, sind teilweise stumpf und ungeeignet, was die Parameter der Abwägung zumindest verschiebt und im schlimmsten Fall die Herstellung des Interessenausgleichs sogar unmöglich macht. Dies ist umso dramatischer, als der DS-GVO keine Altersdefizite vorwerfbar sind. Es sind vielmehr konzeptionelle Schwächen, die der europäische Gesetzgeber  – in voller Kenntnis wesentlicher wirtschaftlicher, gesellschaftlicher und technologischer Problemstellungen – aus wirtschafts- und gesellschaftspolitischen Gründen geschaffen hat. Die Notwendigkeit, zahlreiche Kompromisslösungen bei der Erarbeitung des europäischen Datenschutzrechts zu finden, hat zu einer Generalität der datenschutzrechtlichen Regelungen geführt, weshalb diese bei allgemein technikneutraler Anwendbarkeit die Anforderungen derart spezieller Erscheinungen wie sozialer Netzwerke und der damit zusammenhängenden wirtschaftlichen, technischen und gesellschaftlichen Gegebenheiten dennoch nur unzureichend berücksichtigen können. Verschiedene angedachte Lösungsansätze (wie etwa die Schaffung von besser geeigneten Ausgleichswerkzeugen im Rahmen von Spezialvorschriften, die stärkere Berücksichtigung ökonomischer Faktoren durch die Behandlung von Daten als Wirtschaftsgut, die Hervorhebung gesellschaftlicher Faktoren durch die rechtliche

III. Abschließende Stellungnahme 

313

Behandlung von Daten als Gesellschaftsgut, die striktere Bindung von Datenverarbeitungsvorschriften an durch spezifische Verarbeitungsstrategien und Technologien verursachte Risiken, die Weiterentwicklung technologischer Ansätze wie etwa einer Datenverwaltungssoftware zur Stärkung der Stellung des Nutzers oder die Kapitulation vor den realen Gegebenheiten und Neufassung von Privatheitsund Datenschutzkonzepten) versprechen jeweils eine Optimierung der Funktionsweise des datenschutzrechtlichen Instrumentariums zur Herstellung des Interessenausgleichs bezüglich einzelner Aspekte des Datenschutzregimes, werfen aber zugleich neue Problembereiche auf, für die unter den vorgestellten Ansätzen zumindest keine gänzlich befriedigenden Lösungen bereitstehen. Es ist also deutlich geworden, dass weder innerhalb des gesetzlichen Rahmens der DS-GVO noch unter Heranziehung verschiedener naheliegender Lösungsstrategien eine umfassende Optimierung des datenschutzrechtlichen ‚Werkzeugkastens‘ für die Herstellung des Interessenausgleichs im Umfeld sozialer Netzwerke auf einfache Weise möglich sein wird. Dies ist umso schwerwiegender, als eine korrigierende Wirkung der Grundrechte in diesem Fall durch die festgestellten Defizite der Ausgleichswerkzeuge gleichermaßen behindert ist: Den absoluten Rahmen für ein korrigierendes Eingreifen der Judikative bilden für gewöhnlich die einschlägigen Grundrechte. Wo also die aufgezeigten Problematiken bei der Anwendung der datenschutzrechtlichen Abwägungswerkzeuge im konkreten Fall zur Verletzung von Grundrechten – insbesondere von Art. 7 und 8 GRC – führen, hätte eine Anwendung der Ausgleichsinstrumente in grundrechtskonformer Auslegung derart zu geschehen, dass dem vom Gesetzgeber intendierten Interessengleichgewicht zwischen den berührten Grundrechten jeweils Rechnung getragen wird. Hier schließt sich jedoch der Zirkel, denn gerade das Herstellen des mit dem Willen des Gesetzgebers in Einklang stehenden Interessenausgleichs ist durch die Defizite der Ausgleichsmechanismen und -kriterien im Umfeld sozialer Online-Netzwerke auch auf der Grundrechtsebene erheblich beeinträchtigt. Dennoch wird lediglich eine umfangreiche Aufarbeitung der aufgeworfenen Problematiken auf der Primär- und Sekundärrechtsebene durch den EuGH und durch nationale Gerichte zukünftig verlässliche Leitlinien für den Interessenausgleich schaffen und damit die Anwendung defizitärer Ausgleichswerkzeuge erleichtern können. Ob die aufgedeckten Problematiken auf der einfachgesetzlichen Ebene dauerhaft bestehen bleiben oder ob es künftig zu einem korrigierenden Eingreifen auch vonseiten des Gesetzgebers kommen wird, ist allerdings eine Frage der demokratischen Willensbildung und nicht anhand der hier durchgeführten Analyse, die sich ledig­lich der Funktionsweise und Geeignetheit der Ausgleichswerkzeuge widmete, prognostizierbar. Die Ursache für die veränderte und eingeschränkte Funktion vieler Ausgleichswerkzeuge lag vordergründig in den das Interessengefüge im Netzwerkumfeld prägenden Faktoren und in den dieses Gefüge kennzeichnenden speziellen Eigenschaften, die im Datenschutzrecht einem stark generalisierten und an Technikneutralität orientierten Rechtsrahmen gegenüberstehen, der nicht das geeignete

314

F. Ergebnisse, Stellungnahme und Ausblick 

‚Spezialwerkzeug‘ bereitstellt, um Interessenkonflikte in spezifischen Zusammenhängen vollständig zu erfassen und zu lösen. Dementsprechend ist es über die vorliegend gewonnenen Erkenntnisse hinaus durchaus naheliegend, dass die erarbeiteten Ergebnisse oder aber zumindest die für ihre Erarbeitung gewählte Vorgehensweise für die Beurteilung der datenschutzrechtlichen Ausgleichsinstrumente in anderen Zusammenhängen (etwa im Rahmen des ‚Internet of Things‘ oder des Cloud Computings, welche sich ohnehin teilweise mit der Thematik sozialer Netzwerke überschneiden67) übertragbar sind, soweit diese Zusammenhänge ebenfalls ein spezifisches – weil durch äußere Faktoren geprägtes und durch besondere Eigenschaften gekennzeichnetes – Interessengefüge hervorbringen, das die Funktionsweise der datenschutzrechtlichen Ausgleichsinstrumente beeinträchtigt.

IV. Ausblick Das Ergebnis einer teilweisen Unzulänglichkeit der datenschutzrechtlichen Werkzeuge für die Erarbeitung von Abwägungsergebnissen im Kontext sozialer Online-Netzwerke ist denkbar unbefriedigend, zumal eine geradlinige ‚Reparaturanleitung‘ für die mit der vorliegenden Analyse aufgedeckten Fehlfunktionen nicht ohne Weiteres aufgezeigt werden konnte. Es bleibt aber dennoch eine wesentliche Erkenntnis, deren Bedeutung für den Umgang mit europäischem Datenschutzrecht und für dessen Fortentwicklung im Umfeld technischen Fortschritts und vernetzter Kommunikationsmedien kaum überschätzt werden kann: Die Abwägung, das zentralste und wichtigste Prinzip des Datenschutzrechts, hat bislang lediglich punktuell und vereinzelt Aufmerksamkeit erfahren. Ihre Funktionsweise und Mechanik ist, jedenfalls unter Einbeziehung des ‚großen Ganzen‘, des gesetzgeberischen ‚Gesamtplans‘, kaum durchdrungen. Dies wiegt umso schwerer, als sich mit der fortschreitenden Europäisierung des Datenschutzrechts Probleme der Zuständigkeit (Kompetenzen der Mitgliedstaaten und der Union), im Gesetzgebungsverfahren (schwerfälliger Einigungsprozess auf EU-Ebene), inhaltlicher, dogmatischer und methodischer Art (Begriffsverständnis, Struktur und Systematik der mitgliedstaatlichen Rechtsregime unterscheiden sich; es müssen Entscheidungen über grundlegende Neuausrichtungen des Regelungssystems getroffen werden) sowie praktischer Natur (Einfluss der Lobby; Kooperation mit Handelspartnern der Union) stellen, die die ohnehin anspruchsvolle Gestaltung und Bewältigung der Abwägung noch weiter verkomplizieren. Die hier entwickelte Strategie zur Erfassung der Funktionsweise des Abwägungskonzepts im Datenschutzrecht soll vor diesem Hintergrund gezielt dazu beitragen, zunächst die funktionellen Schwächen des Regelungsregimes aufzudecken; das Auffinden der Schwachpunkte einer Regelung wiederum muss immer der erste Schritt auf dem Weg zu ihrer gezielten Optimierung sein. Mit dem vorliegend verwendeten funktionellen Ansatz, der das Datenschutzrecht als einen ‚Werkzeugkasten‘ für die 67

Dazu unter D. II. 2. a) aa) und D. II. 2. a) cc).

IV. Ausblick 

315

Herstellung von Grundrechts- und Interessenausgleichen begreift, ist über die Erarbeitung konkreter Analyseergebnisse hinaus eine Möglichkeit präsentiert und erprobt worden, den Problemkreis der datenschutzrechtlichen Abwägung effizient zu erschließen, um in weiteren Schritten die gewonnenen Erkenntnisse für Reformen fruchtbar machen zu können.

Rechtsgrundlagenverzeichnis AEUV, Vertrag über die Arbeitsweise der Europäischen Union, Fassung aufgrund des am 01.12.2009 in Kraft getretenen Vertrages von Lissabon v. 09.05.2008 (ABl. EG Nr. C 115 v. 09.05.2008, S. 47 ff.), zuletzt geändert durch die Akte über die Bedingungen des Beitritts der Republik Kroatien und die Anpassungen des Vertrags über die Europäische Union, des Vertrags über die Arbeitsweise der Europäischen Union und des Vertrags zur Gründung der Europäischen Atomgemeinschaft v. 24.04.2012 (ABl. EU Nr. L 112, S. 21 ff.) m. W. v. 01.07.2013. BGB, Bürgerliches Gesetzbuch in der Fassung der Bekanntmachung v. 02.01.2002 (BGBl. I S. 42 ff., 2909 ff.; 2003 I S. 738 ff.), zuletzt geändert durch Art. 3 des Gesetzes v. 24.05.2016 (BGBl. I S. 1190 ff.). BDSG, Bundesdatenschutzgesetz in der Fassung der Bekanntmachung v. 14.01.2003 (BGBl. I S. 66 ff.), zuletzt geändert durch Art. 1 des Gesetzes v. 14.08.2009 (BGBl. I S. 2814 ff.). BDSG n. F., Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 05.07.2017 (BGBl.  I S. 2097 ff.). BVerfGG, Bundesverfassungsgerichtsgesetz in der Fassung der Bekanntmachung v. 11.08.1993 (BGBl. I S. 1473 ff.), zuletzt geändert durch Art. 8 der Verordnung v. 31.08.2015 (BGBl. I S. 1474 ff.). CookieRL, Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz v. 25.11.2009 (ABl. EG Nr. L 337 v. 18.12.2009, S. 11 ff.). DSAnpUG-EU, Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/ 679 und zur Umsetzung der Richtlinie (EU) 2016/680 in der Fassung der Bekanntmachung vom 05.07.2017 (BGBl. I S. 2097 ff.). DS-GVO, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), v. 27.04.2016 (ABl. EU Nr. L 119 v. 04.05.2016, S. 1 ff.). DS-GVO [Kommissionsentwurf], Vorschlag für eine Verordnung des Eurpäischen Parla­ments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) v. 25.01.2012 (KOM(2012) endgültig). DS-GVO [Parlamentsfassung], Legislativer Beschluss des EU-Parlaments nach der ersten Lesung v. 12.03.2014 (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). DS-GVO [Trilogfassung] – Einigung im Trilog-Verfahren am 15.12.2015 [inhaltlich identisch mit der endgültigen Fassung].

Rechtsgrundlagenverzeichnis

317

DS-RL, Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995 (ABl. EG Nr. L 281 v. 23.11.1995, S. 31 ff.). DVÜ-Rat, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data v. 28.01.1981 (Council of Europe Treaty Series, Nr. 108). EMRK, Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten v. 04.11.1950 (BGBl. 1952 II, S. 685 ff.), zuletzt geändert durch Protokoll Nr. 14 v. 13.05.2004 m. W. v. 01.06.2010. E-PrivacyRL, Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutz-Richtlinie für elektronische Kommunikation) v. 12.07.2002 (ABl. EG Nr. L 201, S. 37 ff.), in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates v. 23.11.2009 (ABl. EU Nr. L 337 v. 18.12.2009, S. 11 ff.) geänderten Fassung. EUV, Vertrag über die Europäische Union, Fassung aufgrund des am 10.12.2009 in Kraft getretenen Vertrages von Lissabon, konsolidierte Fassung bekanntgemacht im ABl. EG Nr. C 115 v. 09.05.2008, S. 13 ff., zuletzt geändert durch die Akte über die Bedingungen des Beitritts der Republik Kroatien und die Anpassungen des Vertrags über die Europäische Union, des Vertrags über die Arbeitsweise der Europäischen Union und des Vertrags zur Gründung der Europäischen Atomgemeinschaft (ABl. EU Nr. L 112 v. 24.4.2012, S. 21 ff.) m. W. v. 01.07.2013. GastG, Gaststättengesetz in der Fassung der Bekanntmachung v. 20.11.1998 (BGBl. I S. 3418 ff.), zuletzt geändert durch Art. 286 der Verordnung v. 31.08.2015 (BGBl. I S. 1474 ff.). GewO, Gewerbeordnung in der Fassung der Bekanntmachung v. 22.02.1999 (BGBl. I S. 202 ff.), zuletzt geändert durch Art. 13 des Gesetzes v. 30.06.2016 (BGBl. I S. 1514 ff.). GG, Grundgesetz für die Bundesrepublik Deutschland in der im BGBl. III, Gliederungsnr. 100–1 veröffentlichten bereinigten Fassung, zuletzt geändert durch Art. 1 des Gesetzes v. 11.07.2012 (BGBl. I S. 1478 ff.). GRC, Charta der Grundrechte der Europäischen Union (GRC) v. 18.12.2000 (ABl. EG Nr. C 364 v. 18.12.2000, S. 1 ff.), in der Fassung v. 26.10.2012 (ABl. EU Nr. C 326 v. 26.10.2012, S. 391 ff.). GWB, (Gesetz gegen Wettbewerbsbeschränkungen in der Fassung der Bekanntmachung v. 26.06.2013 (BGBl. I S. 1750 ff.), zuletzt geändert durch Art. 1 des Gesetzes v. 17.02.2016 (BGBl. I S. 203 ff.). IFG, Informationsfreiheitsgesetz v. 05.09.2005 (BGBl. I S.  2722 ff.), zuletzt geändert durch Art. 2 Abs. 6 des Gesetzes v. 07.08.2013 (BGBl. I S. 3154 ff.). KR-RL, Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste 07.03.2002 (ABl. Nr. L 108 v. 24.04.2002 S. 33 ff.), in der durch Art. 1 der Richtlinie 2009/140/EG v. 25.11.2009 (ABl. Nr. L 337 v. 18.12.2009, S. 37 ff., berichtigt: ABl. Nr. L 241 v. 10.09.2013, S. 8 ff.) geänderten Fassung.

318

Rechtsgrundlagenverzeichnis

KUG, Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie, in der im BGBl. III, Gliederungsnr. 440–3 veröffentlichten bereinigten Fassung, zuletzt geändert durch Art. 3 § 31 des Gesetzes v. 16.02.2001 (BGBl. I S. 266 ff.). LSP-OECD, Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, v. 23.09.1980 (C(80)58/FINAL), zuletzt geändert am 11.07.2013 (C(2013)79). OE DS-VO, Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, v. 18.12.2000 (ABl. EG Nr. L 8 v. 12.01.2001, S. 1 ff.). PJ DS-RL, Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, v. 27.04.2016 (ABl. EU Nr. L 119 v. 04.05.2016, S. 89 ff.) Rom-I-VO, Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates über das auf vertragliche Schuldverhältnisse anzuwendende Recht, v. 17.06.2008 (ABl. EG Nr. L 177 v. 04.07.2008, S. 6 ff., ber. ABl. Nr. L 309 v. 24.11.2009, S. 87 ff.). Rom-II-VO, Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates über das auf außervertragliche Schuldverhältnisse anzuwendende Recht, v. 11.07.2007 (ABl. EG Nr. L 199 v. 31.07.2007, S. 40 ff.). SGB I, Das Erste Buch Sozialgesetzbuch  – Allgemeiner Teil  – (Art.  I des Gesetzes v. 11.12.1975, BGBl. I S. 3015 ff.), zuletzt geändert durch Art. 3 des Gesetzes v. 19.07.2016 (BGBl. I S. 1757 ff.). StGB, Strafgesetzbuch in der Fassung der Bekanntmachung v. 13.11.1998 (BGBl. I S. 3322 ff.), zuletzt geändert durch Art. 16 Abs. 8 des Gesetzes v. 30.06.2016 (BGBl. I S. 1514 ff.). TKG, Telekommunikationsgesetz v. 22.06.2004 (BGBl. I S. 1190 ff.), zuletzt geändert durch Art. 4 Abs. 108 des Gesetzes v. 07.08.2013 (BGBl. I S. 3154 ff.). TMG, Telemediengesetz v. 26.02.2007 (BGBl. I S. 179 ff.), zuletzt geändert durch Art. 1 des Gesetzes v. 31.05.2010 (BGBl. I S. 692 ff.). UN-RL, Guidelines for the Regulation of Computerized Personal Data Files v. 14.12.1990 (A/Res/45/95). VDS-RL, Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden und zur Änderung der Richtlinie 2002/58/EG v. 15.03.2006 (ABl. EG Nr. L 105, S. 54 ff.). VVG, Versicherungsvertragsgesetz v. 23.11.2007 (BGBl. I S. 2631 ff.), zuletzt geändert durch Art. 15 des Gesetzes v. 19.02.2016 (BGBl. I S. 254 ff.).

Literaturverzeichnis Achtruth, Björn: Der rechtliche Schutz bei der Nutzung von Social Networks. Münster 2014. Acquisti, Alessandro/Gritzalis, Stefanos/Lambrinoudakis, Costos/Di Vimercati, Sabrina (Hrsg.): Digital Privacy. Theory, Technologies, and Practices. New York 2008. Acquisti, Alessandro/Grossklags, Jens: What Can Behavioral Economics Teach Us about Privacy?, in: Acquisti/Gritzalis/Lambrinoudakis et al. (Hrsg.), Digital Privacy, Theory, Technologies, and Practices, S. 363–380. New York 2008. Adrian, Axel: Grundzüge einer allgemeinen Wissenschaftstheorie auch für Juristen. Konsequenzen aus Zweifeln postmoderner/zeitgenössischer Philosophie für eine allgemeine Wissenschaftstheorie sowie für jede juristische Methodenlehre. Berlin 2014. Albarran, Alan (Hrsg.): The Social Media Industries. New York 2013. Albrecht, Jan: The EU’s New Data Protection Law. How a Directive Evolved Into A Regulation. Overview of the designated final text of the EU’s General Data Protection Regulation and consideration of the background to it, after agreement in the Trilogue. In: Computer Law Review International (CRi) 2016, S. 33–43. Albrecht, Jan/Janson, Nils: Datenschutz und Meinungsfreiheit nach der Datenschutzgrund­ verordnung. Warum die EU-Mitgliedstaaten beim Ausfüllen von DSGVO-Öffnungsklauseln an europäische Grundrechte gebunden sind  – am Beispiel von Art.  85 DSGVO. In: Computer und Recht (CR) 2016, S. 500–509. Alby, Tom: Web 2.0. Konzepte, Anwendungen, Technologien. München/Wien 2008. Aleinikoff, Alexander: Constitutional Law in the Age of Balancing. In: The Yale Law Journal (YLJ) 1987 (Jg. 96 Nr. 5), S. 943–1005. Alexy, Robert: Die Gewichtsformel, in: Jickeli/Kreutz/Reuter et al. (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein, S. 771–792. Berlin 2003. Alexy, Robert: On Balancing and Subsumption. A Structural Comparison. In: Ratio Juris (RJ) 2003, S. 433–449. Alexy, Robert: Theorie der Grundrechte. Baden-Baden 1985. Alpaydin, Ethem: Maschinelles Lernen. München 2008. Alphabet Investor Relations: Google Code of Conduct. Abrufbar unter: https://abc.xyz/investor/ other/google-code-of-conduct.html (Stand: 29.07.2016). Alvarez, Philipp de Souza Soares: Schufa für die Welt? Kreditech. Artikel v. 19.03.2013. In: Die Zeit [Online]. Abrufbar unter: http://www.zeit.de/2013/46/kreditech-scoring-kredit wuerdigkeit-schufa (Stand: 29.07.2016). Anderson, Chris: The Long Tail. Artikel v. 10.01.2004. In: Wired [Online]. Abrufbar unter: http://www.wired.com/wired/archive/12.10/tail_pr.html (Stand: 05.08.2016).

320

Literaturverzeichnis

Apple: iPhoto. Abrufbar unter: http://www.apple.com/de/mac/iphoto/ (Stand: 16.08.2016). Art. 29-Datenschutzgruppe: WP 218. Statement on the role of a risk-based approach in data protection legal frameworks (14/EN). 30.05.2014. Abrufbar unter: http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2014/wp218_ en.pdf (Stand: 07.07.2016). Art. 29-Datenschutzgruppe: WP 217. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EG (844/14/EN). 09.04.2014. Abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp217_de.pdf (Stand: 10.08.2016). Art. 29-Datenschutzgruppe: WP 187. Stellungnahme 15/2011 zur Definition von Einwilligung (01197/11/DE). 13.07.2011. Abrufbar unter: http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf (Stand: 09.04. 2016). Art. 29-Datenschutzgruppe: WP 174. Opinion 4/2010 on the European code of conduct of FEDMA for the use of personal data in direct marketing (00065/2010/EN). 13.07.2010. Abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2010/wp174_en.pdf (Stand: 28.04.2016). Art. 29-Datenschutzgruppe: WP 171. Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting (00909/10/DE). 22.06.2010. Abrufbar unter: http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp171_de.pdf (Stand: 10.08.2016). Art. 29-Datenschutzgruppe: WP 169. Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“ (00264/10/DE). 16.02.2010. Abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf (Stand: 07.04.2016). Art. 29-Datenschutzgruppe: WP 168. Die Zukunft des Datenschutzes. Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten (02356/09/DE). 01.12.2009. Abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp168_de.pdf (Stand: 24.08.2016). Art. 29-Datenschutzgruppe: WP 163. Stellungnahme 5/2009 zur Nutzung sozialer OnlineNetzwerke (01189/09/DE). 12.06.2009. Abrufbar unter: http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2009/wp163_de.pdf (Stand: 13.03.2016). Art. 29-Datenschutzgruppe: WP 160. Stellungnahme 2/2009 zum Schutz der personenbezogenen Daten von Kindern (Allgemeine Leitlinien und Anwendungsfall Schulen) (398/09/DE). 11.02.2009. Abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/ wp160_de.pdf (Stand: 01.08.2016). Art. 29-Datenschutzgruppe: WP 148. Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen (00737/DE). 04.04.2008. Abrufbar unter: http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2008/wp148_de.pdf (Stand: 13.03.2016). Art. 29-Datenschutzgruppe: WP 136. Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ (01248/07/DE). 20.06.2007. Abrufbar unter: http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2007/wp136_de.pdf (Stand: 09.07.2016).

Literaturverzeichnis

321

AsianAvenue: Homepage. Abrufbar unter: http://www.asianave.com (Stand: 29.07.2016). Auer-Reinsdorff, Astrid/Conrad, Isabell (Hrsg.): Handbuch IT- und Datenschutzrecht. 2. Aufl. München 2016 (zitiert: „Bearbeiter, in: Auer-Reinsdorff/Conrad, Hdb. IT- und Datenschutz“). Bader, Johann/Ronellenfitsch, Michael (Hrsg.): Beck’scher Online-Kommentar VwVfG. 33. Ed. München 2016 (zitiert: „Bearbeiter, in: Bader/Ronellenfitsch, BeckOK VwVfG“). Bager, Jo: Timing-Attacke deanonymisiert Website-Besucher teilweise. Artikel v. 13.09.2016. In: Heise [Online]. Abrufbar unter: http://www.heise.de/newsticker/meldung/Timing-Attackedeanonymisiert-Website-Besucher-teilweise-3319599.html (Stand: 14.09.2016). Bakshy, Eytan/Messing, Solomon/Adamic, Lada: Exposure to ideologically diverse news and opinion on Facebook. In: Science 2015 (Jg. 348 Nr. 6239), S. 1130–1132. Balboni, Paolo/Cooper, Daniel/Imperiali, Rosario/Macenaite, Milda: Legitimate interest of the data controller. New data protection paradigm: legitimacy grounded on appropriate protection. In: International Data Privacy Law (IDPL) 2013, S. 244–261. Barion, Hans/Forsthoff, Ernst/Weber, Werner (Hrsg.): Festschrift für Carl Schmitt zum 70. Geburtstag. Dargebracht von Freunden und Schülern. Berlin 1959. Barnes, Susan: A privacy paradox. Social networking in the United States. In: First Monday [Online]. Abrufbar unter: http://firstmonday.org/ojs/index.php/fm/article/view/1394/1312 (Stand: 25.08.2016). Bauer, Stephan: Personalisierte Werbung auf Social Community-Websites. Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und Nutzungsprofilen. In: Multi Media und Recht (MMR) 2008, S. 435–438. Bäumler, Helmut (Hrsg.): E-Privacy. Datenschutz im Internet. Wiesbaden 2000. Beck, Klaus/Schweiger, Wolfgang: Handbuch Online-Kommunikation. Wiesbaden 2010. Bender, Gunnar: Informationelle Selbstbestimmung in sozialen Netzwerken. In: Kommunikation & Recht (K&R) 2013, S. 218. Berendt, Bettina/Hotho, Andreas/Mladenič, Dunja/Semeraro, Giovanni (Hrsg.): From Web to Social Web. Discovering and Deploying User and Content Profiles. Workshop on Web­ Mining. Berlin 2007. Bergmann, Lutz/Möhrle, Roland/Herb, Armin (Hrsg.): Datenschutzrecht. Kommentar Bundesdatenschutzgesetz. Datenschutzgesetze der Länder und Kirchen. Bereichsspezifischer Datenschutz. Bd. I. 50. Ergl. Stuttgart/München/Hannover/Berlin/Weimar/Dresden 2016 (zitiert: „Bearbeiter, in: Bergmann/Möhrle/Herb, Datenschutzrecht“). Bergt, Matthias: Die Bestimmbarkeit als Grundproblem des Datenschutzrechts. Überblick über den Theorienstreit und Lösungsvorschlag. In: Zeitschrift für Datenschutz (ZD) 2015, S. 365–371. bevh: Die Wirtschaftslage im deutschen Interaktiven Handel B2C 2014/2015. Geschäftslage und -erwartungen. Social Media. Mobile Commerce. Studienauszug. Abrufbar unter: http:// www.bevh.org/uploads/media/150609_Studienauszug.pdf (Stand: 07.04.2016). Beyer, Helmut/Heinz, Ludwig/Krabbe, Gitta/Lehnhoff, Jochen: Das Kreditgeschäft. Einführung in die Grundlagen. Wiesbaden 1993.

322

Literaturverzeichnis

Beyvers, Eva: Like Button – gefällt dem LG Düsseldorf nicht? Urteilsanmerkung zu LG Düsseldorf, Urt. v. 09.03.2016  – 12 O 51/15. In: Recht der Datenverarbeitung (RDV) 2016, S. 154–161. Beyvers, Eva: Stellungnahme der Artikel-29-Datenschutzgruppe zur datenschutzrechtlichen Interessenabwägung. Alter Hut oder neuer Besen? In: Privacy in Germany (PinG) 2015, S. 60–64. Beyvers, Eva/Gärtner, Hauke/Kipker, Dennis-Kenji: Data Processing for Research Purposes. Current Basics and Future Needs from a Legal Point of View. In: Privacy in Germany (PinG) 2015, S. 241–250. Beyvers, Eva/Helm, Paula/Hennig, Martin/Keckeis, Carmen/Kreknin, Innokentij/Püschel, Florian (Hrsg.): Räume und Kulturen des Privaten. Wiesbaden (im Erscheinen). Beyvers, Eva/Helm, Paula/Hennig, Martin/Kreknin, Innokentij/Keckeis, Carmen/Püschel, Florian: Einleitung, in: Beyvers/Helm/Hennig et al. (Hrsg.), Räume und Kulturen des Privaten, S. 1–17. Wiesbaden (im Erscheinen). Beyvers, Eva/Herbrich, Tilman: Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook. Der Neue Ansatz des EuGH und die Rechtsfolgen. In: Zeitschrift für Datenschutz (ZD) 2014, S. 558–562. BfDI: Datenschutzgrundverordnung. Info 6.  2016. Abrufbar unter: http://www.bfdi.bund.de/ SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=7 (Stand: 10.08.2016). Bieker, Felix/Hansen, Marit/Friedelwald, Michael: Die grundrechtskonforme Ausgestaltung der Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grund­ verordnung. In: Recht der Datenverarbeitung (RDV) 2016, S. 188–197. Bignami, Francesca: The Case for Tolerant Constitutional Patriotism. The Right to Privacy before the European Courts. In: Cornell International Law Journal (CILJ) 2008 (Jg. 41 Nr. 2), S. 210–249. Birnhack, Michael: The EU Data Protection Directive: An engine of a global regime. In: Computer Law & Security Report (CLSR) 2008, S. 508–520. Bischke, Alf-Henrik/Brack, Sebastian: Neuere Entwicklungen im Kartellrecht. „Big data“ zunehmend im Visier der Kartellbehörden: Das BKartA untersucht das Geschäftsverhalten von Facebook. In: Neue Zeitschrift für Gesellschaftsrecht (NZG) 2016, S. 502–505. Bissels, Alexander/Lützeler, Martin: Social Media-Leitfaden für Arbeitgeber. In: Arbeitsrecht Aktuell (ArbAktuell) 2011, S. 499–502. Bissels, Alexander/Lützeler, Martin/Wisskirchen, Gerlind: Facebook, Twitter & Co. Das Web 2.0 als arbeitsrechtliches Problem. In: Betriebsberater (BB) 2010, S. 2433. Bissels, Alexander/Ziegelmayer, David/Kiehn, Bastian: Gesucht, gefunden, angesprochen: Rechtliche Tücken des „Active Sourcing“. In: Betriebsberater (BB) 2013, S. 2869–2875. BITKOM: Social Media. Leitfaden. 3. Aufl. 2015. Abrufbar unter: https://www.bitkom.org/ Publikationen/2015/Leitfaden/Social-Media-Guidelines/150521-LF-Social-Media.pdf (Stand: 10.08.2016).

Literaturverzeichnis

323

BITKOM: Stellungnahme zum Vorschlag der EU-Kommission für eine EU-DatenschutzGrundverordnung vom 25.01.2012.18.05.2012. Abrufbar unter: https://www.bitkom.org/ Publikationen/2012/Positionspapiere/EU-Datenschutz-Grundverordnung/3-BITKOMStellungnahme-EU-VO-20120518.pdf (Stand: 10.08.2016). BITKOM: Drei von vier Unternehmen nutzen Social Media. Presseinformation v. 29.04.2015. Abrufbar unter: http://www.bitkom-research.de/WebRoot/Store19/Shops/63742557/5547/ 218E/1183/C0CF/C26E/C0A8/2AB8/4CD1/BITKOM-Presseinfo_SocialMedia_final.pdf (Stand: 05.07.2016). BlackPlanet: Homepage. Abrufbar unter: http://www.blackplanet.com (Stand: 29.07.2016). Blume, Peter: An alternative model for data protection law: changing the roles of controller and processor. In: International Data Privacy Law (IDPL) 2015, S. 292–297. Blume, Peter: The Data Subject. In: European Data Protection Law Review (EDPL) 2015, S. 258–264. Bobbio, Norberto: Democracy and Dictatorship. The Nature and Limits of State Power. Translated by Peter Kennealy. Minneapolis 1989. Bodenschatz, Nadine: Der europäische Datenschutzstandard. Frankfurt a. M./Berlin/Bern/New York/Oxford/Wien 2010. Boehme-Neßler, Volker: Privacy: a matter of democracy. Why democracy needs privacy and data protection. In: International Data Privacy Law (IDPL) 2016, S. 222–229. Boehme-Neßler, Volker: Das Recht auf Vergessenwerden. Ein neues Internet-Grundrecht im Europäischen Recht. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 2014, S. 825–830. Bomhoff, Jacco/Zucca, Lorenzo: Evans v. UK. European Court of Human Rights. In: European Constitutional Law Review (ECL) 2006 (Jg. 2 Nr. 3), S. 424–442. Bosesky, Pino/Hoffmann, Christian/Schulz, Sönke: Datenhoheit im Cloud-Umfeld. In: Datenschutz und Datensicherheit (DuD) 2013, S. 95–100. Boyd, Danah/Ellison, Nicole: Social Network Sites. Definition, History, and Scholarship. In: Journal of Computer-Mediated Communication (JCMC) 2007 (Jg. 13 Nr. 1), S. 210–230. Boyd, Danah/Hargittai, Eszter: Facebook privacy settings. Who cares? In: First Monday [Online]. Abrufbar unter: http://journals.uic.edu/ojs/index.php/fm/article/view/3086/2589#p4 (Stand: 24.08.2016). Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken. Zivilrechtlicher Austausch von IT-Leistung gegen personenbezogene Daten. In: MultiMedia und Recht (MMR) 2012, S. 635–641. Bräutigam, Peter/Sonnleithner, Bernhard von: Vertragliche Aspekte der Social Media, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch Social Media, S. 35–77. Berlin, Heidelberg 2015. Breckwoldt, Maike/Kleiber, Michael: Grundrechtskombinationen. Zu Struktur und Rationa­lität der Abwägung bei Prinzipienmehrheiten, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 1–33. Tübingen 2013.

324

Literaturverzeichnis

Brink, Stefan/Eckhardt, Jens: Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts. In: Zeitschrift für Datenschutz (ZD) 2015, S. 205–212. Brink, Stefan/Schmidt, Stephan: Die rechtliche (Un-)Zulässigkeit von Mitarbeiterscreenings. Vom schmalen Pfad der Legalität. In: MultiMedia und Recht (MMR) 2010, S. 592–596. Brisch, Klaus/Pieper, Fritz: Das Kriterium der „Bestimmbarkeit“ bei Big Data-Analyseverfahren. Anonymisierung, Vernunft und rechtliche Absicherung bei Datenübermittlungen. In: Computer und Recht (CR) 2015, S. 724–729. Brock, Volker/Ehlenz, Hans-Dieter: Alles über Kredite. Köln 1996. Brönneke, Tobias/Bobrowski, Michael: Datenschutz als Kernanliegen des Verbraucherschutzes im E-Commerce, in: Bäumler (Hrsg.), E-Privacy, Datenschutz im Internet, S. 141–152. Wiesbaden 2000. BSI: Sicherheitsempfehlungen für Cloud Computing Anbieter. Mindestanforderungen in der Informationssicherheit. Eckpunktepapier. Abrufbar unter: https://www.bsi.bund.de/Shared Docs/Downloads/DE/BSI/Publikationen/Broschueren/Eckpunktepapier-Sicherheitsempfeh lungen-CloudComputing-Anbieter.pdf?__blob=publicationFile&v=6 (Stand: 04.07.2016). Buchholtz, Gabriele: Das „Recht auf Vergessen“ im Internet. Vorschläge für ein neues Schutzkonzept. In: Zeitschrift für Datenschutz (ZD) 2015, S. 570–577. Buchner, Benedikt: Grundsätze der Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO. In: Datenschutz und Datensicherheit (DuD) 2016, S. 155–161. Buchner, Benedikt: Die Einwilligung im Datenschutzrecht. Vom Rechtfertigungsgrund zum Kommerzialisierungsinstrument. In: Datenschutz und Datensicherheit (DuD) 2010, S. 39. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht. Tübingen 2006. Bull, Hans Peter/Kammer, Matthias: Netzpolitik. Freiheit und Rechtsschutz im Internet. Baden-Baden 2013. Büllesbach, Alfred/Gijrath, Serge/Poullet, Yves/Prins, Corien (Hrsg.): Concise European IT Law. 2. Aufl. Alphen aan den Rijn 2010 (zitiert: „Bearbeiter, in: Büllesbach/Gijrath/Poullet/ Prins, IT Law“). Bundesdruckerei: eID-Service. Komfortables und sicheres Identitätsmanagement für Online-Diensteanbieter. Abrufbar unter: https://www.bundesdruckerei.de/de/197-e-id-service (Stand: 29.07.2016). Bundeskartellamt: Antworten des Bundeskartellamtes auf die Fragen für das Fachgespräch „Kartellrecht und Plattformen“ des Ausschusses Digitale Agenda am 13.04.2016. Ausschussdrs. 18(24)98.13.04.2016. Abrufbar unter: https://www.bundestag.de/blob/418192/64d99d53bce 77ba300e01a41f19db157/stellungnahme-bundeskartellamt-data.pdf (Stand: 19.04.2016). Bundeskartellamt: Digitale Ökonomie – Internetplattformen zwischen Wettbewerbsrecht, Privatsphäre und Verbraucherschutz. Tagung des Arbeitskreises Kartellrecht. Hintergrundpapier. 01.10.2015. Abrufbar unter: http://www.bundeskartellamt.de/SharedDocs/Publikation/DE/ Diskussions_Hintergrundpapier/AK_Kartellrecht_2015_Digitale_Oekonomie.pdf?__blob =publicationFile&v=2 (Stand: 29.06.2016). Bundeskartellamt: Bundeskartellamt eröffnet Verfahren gegen Facebook wegen Verdachts auf Marktmissbrauch durch Datenschutzverstöße. Pressemeldung v. 02.03.2016. Abrufbar unter: http://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2016/ 02_03_2016_Facebook.html?nn=3591568 (Stand: 29.07.2016).

Literaturverzeichnis

325

Burghardt, Markus: Web Services. Aspekte von Sicherheit, Transaktionalität, Abrechnung und Workflow. Wiesbaden 2004. Bygrave, Lee: The Place of Privacy in Data Protection Law. In: University of New South Wales Law Journal (UNSWL) 2001 (Jg. 24 Nr. 1), S. 277–283. Bygrave, Lee/Schartum, Dag: Consent, Proportionality and Collective Power, in: Gutwirth/ Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 157–173. Dordrecht, London 2009. Calliess, Christian/Ruffert, Matthias (Hrsg.): EUV/AEUV. Das Verfassungsrecht der Euro­ päischen Union mit Europäischer Grundrechtecharta. 5. Aufl. München 2016 (zitiert: „Bearbeiter, in: Caliess/Ruffert, Verfassungsrecht der EU“). Camenisch, Jan/Crispo, Bruno/Fischer-Hübner, Simone/Leenes, Ronald/Russello, Giovanni (Hrsg.): Privacy and Identity Management for Life. Heidelberg 2012. Caspar, Johannes: Soziale Netzwerke  – Endstation informationelle Selbstbestimmung. Ein Bericht aus der Behördenpraxis. In: Datenschutz und Datensicherheit (DuD) 2013, S. 767. Cha, Jiyoung: Business Models of Most-Visited U. S. Social Networking Sites, in: Albarran (Hrsg.), The Social Media Industries, S. 60–85. New York 2013. Claes, Erik/Duff, Anthony/Gutwirth, Serge (Hrsg.): Privacy and the Criminal Law. Antwerpen/ Oxford 2006. Clifton, Brian: Advanced Web Metrics mit Google Analytics. Praxis-Handbuch. Heidelberg/ München/Landsberg/Frechen/Hamburg 2010. CNIL: Privacy Impact Assessment (PIA). Methodology (how to carry out a PIA). 2015. Abrufbar unter: https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methodology. pdf (Stand: 10.08.2016). Cohen, Julie: What Privacy is For. In: Harvard Law Review (HLR) 2013 (Jg. 126 Nr.  7), S. 1904–1933. Cooter, Robert/Ulen, Thomas: Law and Economics. Glenview/London 1988. Da Silva, Virgílio: Der Vergleich des Inkommensurablen. Prinzipien, Abwägung und rationale Entscheidung, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 236–270. Tübingen 2013. Dachwitz, Ingo: Facebook hält an Kategorisierung nach „ethnischer Affinität“ fest. Artikel v. 12.11.2016. In: Heise [Online]. Abrufbar unter: https://netzpolitik.org/2016/facebook-haeltan-zielgerichteter-werbung-mit-ethnischer-affinitaet-fest/ (Stand: 16.11.2016). Daft, Richard/Lengel, Robert: Organizational Information Requirements, Media Richness and Structural Design. In: Management Science (MS) 1986 (Jg. 32 Nr. 5), S. 554–571. Dammann, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung. Erwarteter Fortschritt, Schwächen und überraschende Innovationen. In: Zeitschrift für Datenschutz (ZD) 2016, S. 307–314. Dannhäuser, Ralph (Hrsg.): Praxishandbuch Social Media Recruiting. Experten Know-How/ Praxistipps/Rechtshinweise. Wiesbaden 2013.

326

Literaturverzeichnis

Dannhäuser, Ralph: Trends im Recruiting, in: Dannhäuser (Hrsg.), Praxishandbuch Social Media Recruiting, Experten Know-How/Praxistipps/Rechtshinweise, S. 1–18. Wiesbaden 2013. DataSift: Homepage. Abrufbar unter: http://datasift.com/ (Stand: 29.07.2016). Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo (Hrsg.): Bundesdatenschutzgesetz. Kompaktkommentar zum BDSG. 5. Aufl. Frankfurt a. M. 2016 (zitiert: „Bearbeiter, in: Däubler/Klebe/Wedde/Weichert, BDSG“). Debatin, Bernhard/Lovejoy, Jennette/Horn, Ann-Kathrin/Hughes, Brittany: Facebook and Online Privacy: Attitudes, Behaviors, and Unintended Consequences. In: Journal of ComputerMediated Communication (JCMC) 2009 (Jg. 15 Nr. 1), S. 83–108. Dechsling, Rainer: Das Verhältnismäßigkeitsgebot. Eine Bestandsaufnahme der Literatur zur Verhältnismäßigkeit staatlichen Handelns. München 1989. Deutsche Post AG: Identifizierungsverfahren. Die Postident Verfahren im Überblick. Abrufbar unter: https://www.deutschepost.de/de/p/postident/identifizierungsverfahren.html (Stand: 29.07.2016). Deutscher Bundestag: BT-Drs. 18/11325. Gesetzesentwurf der Bundesregierung. Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU – DSAnpUG-EU). 24.02.2017. Abrufbar unter: https://dip21.bundestag.de/ dip21/btd/18/113/1811325.pdf (Stand: 07.08.2017). Deutscher Bundestag: BT-Drs. 17/10379. Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Herbert Behrens, Sevim Dagödelen, weiterer Abgeordneter und der Fraktion DIE LINKE. Repression gegen Jugendliche wegen virtueller Proteste gegen die GEMA. 24.07.2012. Abrufbar unter: http://dip21.bundestag.de/dip21/btd/ 17/103/1710379.pdf (Stand: 11.04.2016). Deutscher Bundestag: BT-Drs. 16/12011. Gesetzesentwurf der Bundesregierung. Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften. 18.02.2009. Abrufbar unter: http://dip21.bundestag.de/dip21/btd/16/120/161 2011.pdf (Stand: 13.12.2016). Deutscher Bundestag: BT-Drs. 13/7385. Gesetzesentwurf der Bundesregierung. Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz  – IuKDG). 09.04.1997. Abrufbar unter: http://dip21.bundestag.de/dip21/btd/13/073/1307385.pdf (Stand: 13.12.2016). Dewey, Caitlin: 98 personal data points that Facebook uses to target ads to you. Artikel v. 10.08.2016. In: The Washington Post [Online]. Abrufbar unter: https://www.washingtonpost. com/news/the-intersect/wp/2016/08/19/98-personal-data-points-that-facebook-uses-totarget-ads-to-you/ (Stand: 09.09.2016). Di Martino, Alessandra: Datenschutz im europäischen Recht. Baden-Baden 2005. Dietrich, Thomas: Canvas Fingerprinting. Rechtliche Anforderungen an neue Methoden der Nutzerprofilerstellung. In: Zeitschrift für Datenschutz (ZD) 2015, S. 199–204.

Literaturverzeichnis

327

DIVSI: Internet-Milieus. Die digitalisierte Gesellschaft in Bewegung. 2016. Abrufbar unter: https://www.divsi.de/wp-content/uploads/2016/06/DIVSI-Internet-Milieus-2016.pdf (Stand: 10.08.2016). Docksey, Christopher: Four fundamental rights: finding the balance. In: International Data Privacy Law (IDPL) 2016, S. 195–209. Dovas, Maria-Urania: Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? Regelung der gemeinsamen datenschutzrechtlichen Verantwortlichkeit in der DS-GVO. In: Zeitschrift für Datenschutz (ZD) 2016, S. 512–517. Drechsler, Stefan: Grundlagen und Grenzen der richterlichen Rechtsfortbildung. In: Zeitschrift für das juristische Studium (ZJS) 2015, S. 344–355. Dreier, Johannes: Die normative Steuerung der planerischen Abwägung. Berlin 1995. Drewes, Stefan: Dialogmarketing nach der DSGVO ohne Einwilligung der Betroffenen. Berechtigte Unternehmensinteressen bleiben maßgebliche Rechtsgrundlage. In: Computer und Recht (CR) 2016, S. 721–729. Duden Online: Stichwort ‚abwägen‘. Abrufbar unter: http://www.duden.de/node/804254/ revisions/1137190/view (Stand: 05.07.2016). Duden Online: Stichwort ‚Interesse‘. Abrufbar unter: http://www.duden.de/node/641062/ revisions/1306047/view (Stand: 10.08.2016). Dupuy, Pierre-Marie/Petersmann, Ernst-Ulrich/Francioni, Francesco (Hrsg.): Human Rights in International Investment Law and Arbitration. Oxford/New York 2009. Düsseldorfer Kreis: Datenschutzrechtliche Aspekte des Mitarbeiter-Screenings in international tätigen Unternehmen. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. 23./24.04.2009. Abrufbar unter: http://www.bfdi.bund.de/ SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/April09Mitarbeiter Screening.pdf;jsessionid=F5F290F9123ADF7A95EDFF3463A851B1.1_cid344?__blob= publicationFile (Stand: 13.09.2016). Dworkin, Ronald: Taking rights seriously. London/New Dheli/New York/Sydney 2013 [Nachdruck der Neuaufl. 1997]. Ebersbach, Anja/Glaser, Markus/Heigl, Richard: Social Web. 2. Aufl. Stuttgart 2012. EDRi: Position on the Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regula­tion). Abrufbar unter: https://edri.org/files/1012EDRi_full_position.pdf (Stand: 20.04.2016). Edunov, Sergey/Diuk, Carlos/Filiz, Ismail/Bhagat, Smriti/Burke, Moira: Three and a half degrees of separation. Blogbeitrag v. 04.02.2016. Abrufbar unter: https://research.facebook.com/ blog/three-and-a-half-degrees-of-separation/ (Stand: 29.07.2016). Ehmann, Eugen/Selmayr, Martin (Hrsg.): Datenschutz-Grundverordnung. München (im Erscheinen) (zitiert: „Bearbeiter, in: Ehmann/Selmayr, DS-GVO“). Eisenlauer, Volker: A Critical Hypertext Analysis of Social Media. The True Colours of Facebook. London 2013.

328

Literaturverzeichnis

ENISA: Study on monetising privacy. An economic model for pricing personal information. 27.02.2012. Abrufbar unter: https://www.enisa.europa.eu/publications/monetising-privacy (Stand: 25.07.2016). Epping, Volker: Grundrechte. 6. Aufl. Heidelberg/Dordrecht/London/New York 2015. Epping, Volker/Hillgruber, Christian (Hrsg.): Beck’scher Online-Kommentar GG. 20. Ed. München 2016 (zitiert: „Bearbeiter, in: Epping/Hillgruber, BeckOK GG“). Erbs, Georg/Kohlhaas, Max/Ambs, Friedrich (Hrsg.): Strafrechtliche Nebengesetze. Bd. I. 210. Ergl. München 2016 (zitiert: „Bearbeiter, in: Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze“). Erd, Rainer: Datenschutzrechtliche Probleme sozialer Netzwerke. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 2011, S. 19–22. Erkeling, Sabrina: Datenschutz in Online-Spielen und anderen Virtuellen Welten. Die Verknüpfung der realen Identität mit der Virtuellen Welt. In: Datenschutz und Datensicherheit (DuD) 2011, S. 116–121. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung. Anmerkungen zur Definition nach Art. 4 Nr. 11 DS-GVO. In: Zeitschrift für Datenschutz (ZD) 2017, 110–114. Ernst, Stefan: Social Networks und Arbeitnehmer-Datenschutz. In: Neue Juristische OnlineZeitschrift (NJOZ) 2011, S. 953–958. Ernst, Stefan: Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem. In: Neue Juristische Online-Zeitschrift (NJOZ) 2010, S. 1917–1919. EUR-Lex: Procedure 2012/0011/COD. Abrufbar unter: http://eur-lex.europa.eu/legal-content/ DE/HIS/?uri=CELEX:52012PC0011 (Stand: 29.07.2016). Europäische Kommission: Special Eurobarometer 431. Data Protection. Report. 2015. Abruf bar unter: http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf (Stand: 07.07.2016). Europäische Kommission: Einigung über die EU-Datenschutzreform der Kommission wird digitalen Binnenmarkt voranbringen. Pressemitteilung v. 15.12.2015. Abrufbar unter: http:// europa.eu/rapid/press-release_IP-15-6321_de.htm (Stand: 02.08.2016). Europäische Kommission: How will the data protection reform affect social networks? Abrufbar unter: http://ec.europa.eu/justice/data-protection/files/3_social_network_en.pdf (Stand: 05.07.2016). Facca, Frederico: Combining Web Usage Mining and XML Mining in a Real Case Study, in: Berendt/Hotho/Mladenič et al. (Hrsg.), From Web to Social Web, Discovering and Deploying User and Content Profiles, Workshop on Web Mining, S. 21–40. Berlin 2007. Facebook: Analytics für Apps. Abrufbar unter: https://developers.facebook.com/docs/analytics (Stand: 29.07.2016). Facebook: Apps, Spiele und Zahlungen. Abrufbar unter: https://de-de.facebook.com/help/493 707223977442/ (Stand: 10.05.2016). Facebook: App-Zentrum. Abrufbar unter: https://www.facebook.com/appcenter/ (Stand: 02.09.2016).

Literaturverzeichnis

329

Facebook: Bedingungen für Self-Service Werbeanzeigen. Abrufbar unter: https://de-de.facebook. com/legal/self_service_ads_terms (Stand: 08.08.2016). Facebook: Building  a Better News Feed for You. Abrufbar unter: http://newsroom.fb.com/ news/2016/06/building-a-better-news-feed-for-you/ (Stand: 08.08.2016). Facebook: Data Science. Abrufbar unter: https://www.facebook.com/data (Stand: 12.05.2016). Facebook: Datenrichtlinie v. 29.09.2016. Abrufbar unter: https://www.facebook.com/full_data_ use_policy (Stand: 13.12.2016). Facebook: Freunde. Abrufbar unter: https://de-de.facebook.com/help/360212094049906/ (Stand: 10.05.2016). Facebook: Grundlagen zu Seitenstatistiken. Abrufbar unter: https://de-de.facebook.com/business/ learn/facebook-page-insights-basics (Stand: 05.07.2016). Facebook: Grundlegende Privatsphäre-Einstellungen. Abrufbar unter: https://de-de.facebook. com/help/325807937506242/ (Stand: 11.05.2016). Facebook: Gruppen. Abrufbar unter: https://de-de.facebook.com/help/162866443847527/ (Stand: 10.05.2016). Facebook: Konten im Gedenkzustand. Abrufbar unter: https://www.facebook.com/help/1038 97939701143 (Stand: 20.07.2016). Facebook: Mobile Apps. Abrufbar unter: https://de-de.facebook.com/help/251803581597761/ (Stand: 10.05.2016). Facebook: Nachrichten. Abrufbar unter: https://de-de.facebook.com/help/326534794098501/ (Stand: 10.05.2016). Facebook: Nutzungsbedingungen v. 30.01.2015. Abrufbar unter: https://de-de.facebook.com/ legal/terms (Stand: 31.08.2016). Facebook: Posten und teilen. Abrufbar unter: https://de-de.facebook.com/help/3331401601006 43/ (Stand: 10.05.2016). Facebook: Profil & Chronik. Abrufbar unter: https://de-de.facebook.com/help/4676103266016 39/ (Stand: 10.05.2016). Facebook: Registrierung. Abrufbar unter: https://de-de.facebook.com/ (Stand: 10.05.2016). Facebook: Shop-Bereich auf Seiten. Abrufbar unter: https://de-de.facebook.com/business/help/ 846547442125798?helpref=faq_content (Stand: 20.09.2016). Facebook: Social Plugins. Abrufbar unter: https://developers.facebook.com/docs/plugins (Stand: 10.05.2016). Facebook: Social Plugins FAQs. What information does Facebook get when I implement  a Social Plugin, and how is it used? Abrufbar unter: https://developers.facebook.com/docs/ plugins/faqs#faq_574746276036649 (Stand: 08.08.2016). Facebook: Suche. Abrufbar unter: https://de-de.facebook.com/help/460711197281324/ (Stand: 10.05.2016). Facebook: Über soziale Plug-ins. Abrufbar unter: https://www.facebook.com/help/4434832723 59009 (Stand: 17.12.2016).

330

Literaturverzeichnis

Facebook: Über Werbung auf Facebook. Abrufbar unter: https://www.facebook.com/about/ ads/#568137493302217 (Stand: 28.04.2016). Facebook: Veranstaltungen. Abrufbar unter: https://de-de.facebook.com/help/1313254770076 22/ (Stand: 10.05.2016). Facebook: Werbeanzeigenauktionen. Abrufbar unter: https://de-de.facebook.com/business/help/ 430291176997542 (Stand: 08.08.2016). Facebook: Werbeanzeigenmanager. Abrufbar unter: http://de-de.facebook.com/help/www/633 662000000451 (Stand: 11.05.2016). Facebook: Wie erstelle ich ein Sammelalbum für mein Kind? Abrufbar unter: https://www. facebook.com/help/595357237266594 (Stand: 20.07.2016). Facebook: Zugriff auf deine Facebook-Daten. Abrufbar unter: https://de-de.facebook.com/help/ 405183566203254/ (Stand: 11.05.2016). Facebook: Zugriffsschlüssel. Abrufbar unter: https://developers.facebook.com/docs/facebooklogin/access-tokens/ (Stand: 18.05.2016). Facebook ID Scraper: Homepage. Abrufbar unter: http://facebookidscraper.com/ (Stand: 29.07.2016). Facebook Inc: Annual Report 2015. Abrufbar unter: https://s21.q4cdn.com/399680738/files/ doc_financials/annual_reports/2015-Annual-Report.pdf (Stand: 20.09.2016). Fairfield, Joshua/Engel, Christoph: Privacy as  a Public Good. In: Duke Law Journal (DLJ) 2015 (Jg. 65 Nr. 3), S. 385–457. Farny, Dieter: Produktions- und Kostentheorie der Versicherung. Karlsruhe 1965. Faust, Sebastian/Spittka, Jan/Wytibul, Tim: Milliardenbußgelder nach der DS-GVO? Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz. In: Zeitschrift für Datenschutz (ZD) 2016, S. 120–125. Fazlioglu, Muge: Forget me not. The clash of the right to be forgotten and freedom of expression on the internet. In: International Data Privacy Law (IDPL) 2013, S. 149–157. Feierabend, Sabine/Plankenhorn, Theres/Rathgeb, Thomas: JIM-Studie 2015. Jugend, Information, (Multi-) Media. Basisstudie zum Medienumgang 12- bis 19-Jähriger in Deutschland. 2015. Abrufbar unter: http://www.mpfs.de/fileadmin/JIM-pdf15/JIM_2015.pdf (Stand: 22.04.2016). Fleiner, Fritz: Institutionen des deutschen Verwaltungsrechts. Tübingen 1911. Flickr: Homepage. Abrufbar unter: http://www.flickr.com/ (Stand: 11.05.2016). Forgó, Nikolaus/Krügel, Tina: Der Personenbezug von Geodaten. Cui bono, wenn alles bestimmbar ist? In: MultiMedia und Recht (MMR) 2010, S. 17–23. Forst, Gerrit: Bewerberauswahl über soziale Netzwerke im Internet? In: Neue Zeitschrift für Arbeitsrecht (NZA) 2010, S. 427–432. Forsthoff, Ernst: Die Umbildung des Verfassungsgesetzes, in: Barion/Forsthoff/Weber (Hrsg.), Festschrift für Carl Schmitt zum 70. Geburtstag, Dargebracht von Freunden und Schülern, S. 35–62. Berlin 1959.

Literaturverzeichnis

331

Fox, Dirk: Social networks. In: Datenschutz und Datensicherheit (DuD) 2009, S. 53. Franck, Lorenz: Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO). In: Recht der Datenverarbeitung (RDV) 2016, S. 111–119. Friedelwald, Michael/Obersteller, Hannah/Nebel, Maxi/Bieker, Felix/Rost, Martin: Datenschutz-Folgenabschätzung. Ein Werkzeug für einen besseren Datenschutz? White Paper. 2. Aufl. 2016. Abrufbar unter: https://www.forum-privatheit.de/forum-privatheit-de/texte/ veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_ Paper_Datenschutz-Folgenabschaetzung_2016.pdf (Stand: 10.08.2016). Fuest, Benedikt/Heuteroth, Thomas/Doll, Nikolaus/Wilton, Jennifer: Kann Facebook Populisten mehrheitsfähig machen? Artikel v. 21.11.2016. In: Welt N24 [Online]. Abrufbar unter: https://www.welt.de/wirtschaft/article159632404/Kann-Facebook-Populisten-mehrheits faehig-machen.html (Stand: 25.11.2016). Galetzka, Christian: Datenschutz und unlauterer Wettbewerb. Sind Verstöße gegen datenschutzrechtliche Vorschriften wettbewerbsrechtlich abmahnfähig? In: Kommunikation & Recht (K&R) 2015, S. 77–83. Geiger, Andreas: Die Einwilligung in die Verarbeitung von persönlichen Daten als Ausübung des Rechts auf informationelle Selbstbestimmung. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 1989, S. 35–38. Gellert, Raphael: Data protection: a risk regulation? Between the risk management of everything and the precautionary alternative. In: International Data Privacy Law (IDPL) 2015, S. 3–19. Gerlach, Carsten: Personenbezug von IP-Adressen. Praktische Konsequenzen aus dem Urteil des LG Berlin vom 31.01.2013. In: Computer und Recht (CR) 2013, S. 478–484. Gersdorf, Hubertus/Paal, Boris (Hrsg.): Beck’scher Online-Kommentar Informations- und Medienrecht. 11. Ed. München 2016 (zitiert: „Bearbeiter, in: Gersdorf/Paal, BeckOK Info- und MedienR“). Gleißner, Werner: Grundlagen des Risikomanagements im Unternehmen. Controlling, Unternehmensstrategie und wertorientiertes Management. 2. Aufl. München 2011. Goerlich, Helmut: Wertordnung und Grundgesetz. Kritik einer Argumentationsfigur des Bundesverfassungsgerichts. Baden-Baden 1973. Göker, Ayse/Davies, John: Information Retrieval. Searching in the 21st Century 2009. Gola, Peter/Pötters, Stephan/Thüsing, Gregor: Art. 82 DSGVO: Öffnungsklausel für nationale Regelungen zum Beschäftigtendatenschutz. Warum der deutsche Gesetzgeber jetzt handeln muss. In: Recht der Datenverarbeitung (RDV) 2016, S. 57–61. Gola, Peter/Schomerus, Rudolf/Klug, Christoph/Körffer, Barbara (Hrsg.): Bundesdatenschutzgesetz. BDSG. Kommentar. 12. Aufl. München 2015 (zitiert: „Bearbeiter, in: Gola/Schomerus/Klug/Körffer, BDSG“). Golan, Marc: Die NSA-Affäre. Eine datenschutzrechtliche Betrachtung. Hamburg 2015. González-Fuster, Gloria: The emergence of personal data protection as a fundamental right of the EU. Cham/Heidelberg/New York/Dordrecht/London 2014.

332

Literaturverzeichnis

Google+: Homepage. Abrufbar unter: http://www.googleplus.com (Stand: 05.07.2016). Göpfert, Burkhard/Wilke, Elena: Facebook-Aktivitäten als Kündigungsgrund. In: Arbeitsrecht Aktuell (ArbAktuell) 2011, S. 159–161. Göpfert, Burkhard/Wilke, Elena: Recherchen des Arbeitgebers in sozialen Netzwerken. In: Neue Zeitschrift für Arbeitsrecht (NZA) 2010, S. 1329–1333. Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union. EUV/AEUV. Bd. II. 59. Ergl. München 2016 (zitiert: „Bearbeiter, in: Grabitz/Hilf/ Nettesheim, Recht der EU“). Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin/Wolf, Manfred (Hrsg.): Das Recht der Europäischen Union. Sekundärrecht (A. Verbraucher- und Datenschutzrecht). Bd. IV. 40. Aufl. München 2009 (zitiert: „Bearbeiter, in: Grabitz/Hilf/Nettesheim/Wolf, Recht der EU“). Granovetter, Mark: The Strength of Weak Ties. In: American Journal of Sociology (AJS) 1973 (Jg. 78 Nr. 6), S. 1360–1380. Graubner-Müller, Alexander: Web Mining in Social Media. Use cases, business value, and algorithmic aproaches for corporate intelligence. Köln 2011. Grimm, Dieter: Der Datenschutz vor einer Neuorientierung. In: Juristenzeitung (JZ) 2013 (68 12), S. 585–592. Groeben, Hans von der/Schwarze, Jürgen/Hatje, Armin (Hrsg.): Europäisches Unionsrecht. Vertrag über die Europäische Union, Vertrag über die Arbeitsweise der Europäischen Union, Charta der Grundrechte der Europäischen Union. 7.  Aufl. Baden-Baden 2015 (zitiert: „Bearbeiter, in: Groeben/Schwarze/Hatje, EU-Recht“). Gstrein, Josef: The Cascade Of Decaying Information. Putting the „Right to be Forgotten“ in Perspective. In: Privacy in Germany (PinG) 2015, S. 9–16. Gstrein, Josef: Die umfassende Verfügungsbefugnis über die eigenen Daten. Das „Recht auf Vergessenwerden“ und seine konkrete Umsetzbarkeit. In: Zeitschrift für Datenschutz (ZD) 2012, S. 424–428. Gutwirth, Serge/Leenes, Ronald/Hert, Paul de (Hrsg.): Reforming European Data Protection Law. Dordrecht 2015. Gutwirth, Serge/Leenes, Ronald/Hert, Paul de/Poullet, Yves (Hrsg.): European Data Protection. In Good Health? Dordrecht/Heidelberg/London/New York 2012. Gutwirth, Serge/Poullet, Yves/Hert, Paul de/Terwangne, Cécile de/Nouwt, Sjaak (Hrsg.): Reinventing Data Protection? Dordrecht/London 2009. Halfmeier, Axel: Die neue Datenschutzverbandsklage. In: Neue Juristische Wochenschrift (NJW) 2016, S. 1126–1129. Hanloser, Stefan: „opt-in“ im Datenschutzrecht und Wettbewerbsrecht. Konvergenzüberlegungen zum Einwilligungsbegiff bei der E-Mail-Werbung. In: Computer und Recht (CR) 2008, S. 713–718. Hansen-Oest, Stephan: Datenschutzrechtliche Dokumentationspflichten nach dem BDSG und der Datenschutz-Grundverordnung. In: Privacy in Germany (PinG) 2016, S. 79–84.

Literaturverzeichnis

333

Harding, Luke: The node pole. Inside Facebook’s Swedish hub near the Arctic Circle. Remote datacentre in Lulea cools itself using freezing outside air, has a fence to keep moose out and processes your selfies. Artikel v. 25.09.2015. In: The Guardian [Online]. Abrufbar unter: https://www.theguardian.com/technology/2015/sep/25/facebook-datacentre-lulea-swedennode-pole (Stand: 10.08.2016). Härting, Niko: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis. Köln 2016. Härting, Niko: Art. 23 Abs. 1 DS-GVO (Privacy by Design). Cupcake ohne Rezept. In: Privacy in Germany (PinG) 2015, S. 193–194. Härting, Niko: Starke Behörden, schwaches Recht – der neue EU-Datenschutzentwurf. In: Betriebsberater (BB) 2012, S. 459–466. Härting, Niko: Wird der Datenschutz nun endlich internettauglich? Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht. In: Zeitschrift für Datenschutz (ZD) 2012, S. 199–203. Härting, Niko: Datenschutz zwischen Transparenz und Einwilligung. Datenschutzbestimmungen bei Facebook, Apple und Google. In: Computer und Recht (CR) 2011 (3), S. 169–175. Härting, Niko/Schätzle, Daniel: Rechtsverletzungen in Social Networks. In: IT-Rechts-Berater (ITRB) 2010, S. 39–42. Härting, Niko/Schneider, Jochen: Das Ende des Datenschutzes – es lebe die Privatsphäre. Eine Rückbesinnung auf die Kern-Anliegen des Privatsphärenschutzes. In: Computer und Recht (CR) 2015, S. 819–827. Hartmann, Sarah: Angebot „Free Basics“ von Facebook in Ägypten und Indien eingestellt. In: MMR-aktuell 2016, 374894. Hassler, Marco: Web Analytics. Metriken auswerten, Besucherverhalten verstehen, Website optimieren. 3. Aufl. Heidelberg 2012. Hauser, Tobias: AJAX. Web 2.0-Anwendungen mit JavaScript und XML. München 2007. Hax, Karl: Grundlagen des Versicherungswesens. Wiesbaden 1964. Heck, Philipp: Interessenjurisprudenz. Gastvorlesung an der Universität Frankfurt a. M. Gehalten am 15. Dezember 1932. Tübingen 1933. Heck, Philipp: Begriffsbildung und Interessenjurisprudenz. Tübingen 1932. Heck, Philipp: Gesetzesauslegung und Interessenjurisprudenz. In: Archiv für die civilistische Praxis (AcP) 1914 (Jg. 112 Nr. 1), S. 1–318. Heckmann, Dirk: Big Data: Mehr Maschine – weniger Mensch? Gedanken zu Recht und Ethik einer überspannten Datennutzung, in: Hruschka/Joerden (Hrsg.), Recht und Ethik im Internet, Jahrbuch für Recht und Ethik, Themenschwerpunkt, S. 17–31. Berlin 2015. Heckmann, Dirk (Hrsg.): Juris-PraxisKommentar Internetrecht. [Telemediengesetz, E-Commerce, E-Government]. 4. Aufl. Saarbrücken 2014 (zitiert: „Bearbeiter, in: Heckmann, jurisPKInternetrecht“). Heckmann, Dirk: Concordisierung der Rechtsordnung, in: Jansen/Schröter/Stehr (Hrsg.), Fragile Stabilität – stabile Fragilität, ​Wie gesellschaftliche Fragilität und Stabilität aufeinander bezogen sind, S. 151–163. Wiesbaden 2013.

334

Literaturverzeichnis

Heckmann, Dirk: Anonymität als Dilemma. Freie Internet-Nutzung erfordert Schutz für die Schwächeren. In: DIVSI Magazin 2012 (Nr. 2), S. 20–21. Heckmann, Dirk: Das EU-Datenschutzpaket: Keine Jahrhundertreform, in: Leible (Hrsg.), Der Schutz der Persönlichkeit im Internet, S. 17–32. Stuttgart 2012. Heckmann, Dirk: Grundprinzipien des Datenschutzrechts, in: Schmidt/Weichert (Hrsg.), Datenschutz, Grundlagen, Entwicklungen und Kontroversen, S. 267–279. Bonn 2012. Heckmann, Dirk: Persönlichkeitsschutz im Internet. Anonymität der IT-Nutzung und permanente Datenverknüpfung als Herausforderungen für Ehrschutz und Profilschutz. In: Neue Juristische Wochenschrift (NJW) 2012, S. 2631–2635. Heckmann, Dirk: Smart Life – Smart Privacy Management. Privatsphäre im total digitalisierten Alltag. In: Kommunikation & Recht (K&R) 2011, S. 1–6. Heckmann, Dirk: Öffentliche Privatheit. Der Schutz der Schwächeren im Internet. In: Kommunikation & Recht (K&R) 2010, S. 770–777. Heckmann, Dirk: Vertrauen in virtuellen Räumen? Rechtssichere Internetnutzung zwischen Fake und Faszinosum. In: Kommunikation & Recht (K&R) 2010, S. 1–7. Heckmann, Dirk: Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit. Erste Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“, in: Rüssmann (Hrsg.), Festschrift für Gerhard Käfer, S. 129–164. Saarbrücken 2009. Heckmann, Dirk: Geltungskraft und Geltungsverlust von Rechtsnormen. Elemente einer Theorie der autoritativen Normgeltungsbeendigung. Tübingen 1997. Heinemann, Marcus: Grundrechtlicher Schutz informationstechnischer Systeme. Unter besonderer Berücksichtigung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Berlin 2015. Helbing, Thomas: Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung. In: Kommunikation & Recht (K&R) 2015, S. 145–150. Helfrich, Markus: Scoring reloaded? In: Zeitschrift für Datenschutz (ZD) 2013, S. 473. Heller, Christian: Post Privacy. Prima leben ohne Privatsphäre. München 2011. Henkel, Thomas: Begriffsjurisprudenz und Billigkeit. Zum Rechtsformalismus der Pandektistik nach G. F. Puchta. Köln 2004. Hennemann, Moritz: Datenportabilität. In: Privacy in Germany (PinG) 2017, S. 5–8. Hennrich, Thorsten: Cloud Computing. Herausforderungen an den Rechtsrahmen für Datenschutz. Berlin 2015. Herbrich, Tilman/Beyvers, Eva: Anwendbares Recht bei Bezugnahme auf materielles Datenschutzrecht. Eine kritische Würdigung der Rechtslage. In: Recht der Datenverarbeitung (RDV) 2016, S. 3–10. Herbst, Tobias: Was sind personenbezogene Daten? In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 2016, S. 902–906.

Literaturverzeichnis

335

Hert, Paul de/Czerniawski, Michal: Expanding the European data protection scope beyond territory. Article 3 of the General Data Protection Regulation in its wider context. In: International Data Privacy Law (IDPL) 2016, S. 230–243. Hert, Paul de/Gutwirth, Serge: Privacy, Data Protection and Law Enforcement. Opacity of the Individual and Transparency of Power, in: Claes/Duff/Gutwirth (Hrsg.), Privacy and the Criminal Law, S. 61–104. Antwerpen, Oxford 2006. Hesse, Konrad: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland. 20. Aufl. Heidelberg 1999. Highfield, Tim: Social Media and Everyday Politics. Cambridge/Malden 2016. Hijmans, Hielke: The European Union as Guardian of Internet Privacy. The Story of Art 16 TFEU 2016. Hildebrandt, Mireille: Who is Profiling Who? Invisible Visibility, in: Gutwirth/Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 239–252. Dordrecht, London 2009. Hoeren, Thomas: IT-Vertragsrecht. Praxis-Lehrbuch. 2. Aufl. Köln 2012. Hoeren, Thomas: Anonymität im Web. Grundfragen und aktuelle Entwicklungen. In: Zeitschrift für Rechtspolitik (ZRP) 2010, S. 251–253. Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.): Handbuch Multimedia-Recht. Rechtsfragen des elektronischen Geschäftsverkehrs. 43. Ergl. München 2016 (zitiert: „Bearbeiter, in: Hoeren/Sieber/Holznagel, Hdb. Multimedia-Recht“). Hoffmann, Christian/Luch, Anika/Schulz, Sönke/Borchers, Kim: Die digitale Dimension der Grundrechte. Das Grundgesetz im digitalen Zeitalter. Baden-Baden 2015. Hofmann, Ekkehard: Abwägung im Recht. Chancen und Grenzen numerischer Verfahren im Öffentlichen Recht. Tübingen 2007. Hofmann, Johanna/Johannes, Paul: DS-GVO: Anleitung zur Autonomen Auslegung des Personenbezugs. Begriffsklärung der entscheidenden Frage des sachlichen Anwendungsbereichs. In: Zeitschrift für Datenschutz (ZD) 2017, S. 221–226. Hornung, Gerrit: Datenschutzrechtliche Aspekte der Social Media, in: Hornung/Müller-Terpitz (Hrsg.), Rechtshandbuch Social Media, S. 79–130. Berlin, Heidelberg 2015. Hornung, Gerrit: Europa und darüber hinaus. Konzepte für eine Neuregelung des Datenschutzes im Internet und in sozialen Netzwerken, in: Schliesky/Hill (Hrsg.), Die Neubestimmung der Privatheit, E-Volution des Rechts- und Verwaltungssystems IV, S.  123–151. Baden-­ Baden 2014. Hornung, Gerrit/Hartl, Korbinian: Datenschutz durch Marktanreize – auch in Europa? Stand der Diskussion zu Datenschutzzertifizierung und Datenschutzaudit. In: Zeitschrift für Datenschutz (ZfD) 2014, S. 219–225. Hornung, Gerrit/Hofmann, Kai: Rechtliche Herausforderungen des Internets der Dinge, in: Sprenger/Engemann (Hrsg.), Internet der Dinge, Über smarte Objekte, intelligente Umgebungen und die technische Durchdringung der Welt, S. 181–203. Bielefeld 2015. Hornung, Gerrit/Hofmann, Kai: Ein „Recht auf Vergessenwerden“? Anspruch und Wirklichkeit eines neuen Datenschutzrechts. In: Juristenzeitung (JZ) 2013, S. 163–170.

336

Literaturverzeichnis

Hornung, Gerrit/Müller-Terpitz, Ralf (Hrsg.): Rechtshandbuch Social Media. Berlin/Heidelberg 2015. Howald, Bert: Datenerhebung im Internet bei Einstellungsverfahren. In: Zeitschrift für das öffentliche Arbeits- und Tarifrecht (öAT) 2013, S. 133. Howe, Peter: Zivilrechtlicher Eingriff und Interessenabwägung beim Persönlichkeitsrecht auf Wahrung der privaten Geheimsphäre. Ein Beitrag zur Rechtsdogmatik. Berlin 1990. Hruschka, Joachim/Joerden, Jan (Hrsg.): Recht und Ethik im Internet. Jahrbuch für Recht und Ethik. Themenschwerpunkt. Berlin 2015. Hubmann, Heinrich: Wertung und Abwägung im Recht. Köln/Berlin/Bonn/München 1977. Hubmann, Heinrich: Grundsätze der Interessenabwägung. In: Archiv für die civilistische Praxis (AcP) 1956 (Jg. 155), S. 85–134. Hutter, Thomas: Neue Insights zur Nutzung von Facebook in Deutschland. Demographische Daten Deutschland. Artikel v. 30.05.2014. Abrufbar unter: http://www.thomashutter.com/ index.php/2014/05/facebook-neue-insights-zur-nutzung-von-facebook-in-deutschland/ (Stand: 29.07.2016). ICO: Conducting privacy impact assessments. Code of practice. 2014. Abrufbar unter: https://ico. org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf (Stand: 10.08.2016). Inan, Hurol: Measuring the success of your website. A customer-centric approach to website management. Sydney 2002. Ingerling, Richard: Das Credit-Scoring-System im Konsumentenkreditgeschäft. Konzeption und Wirkung eines Rationalisierungsmittels in der Kreditwürdigkeitsprüfung. Berlin 1980. Instagram: Homepage. Abrufbar unter: https://www.instagram.com/ (Stand: 04.08.2016). Iraschko-Luscher, Stephanie: Einwilligung – ein stumpfes Schwert des Datenschutzes? In: Datenschutz und Datensicherheit (DuD) 2006, S. 706–710. Irish DPC: Report of Audit. Facebook Ireland Limited. 21.12.2011. Abrufbar unter: https:// www.dataprotection.ie/documents/facebook%20report/final%20report/report.pdf (Stand: 10.08.2016). Isensee, Josef/Kirchhof, Paul (Hrsg.): Handbuch des Staats Rechts der Bundesrepublik Deutschland. Allgemeine Grundrechtslehren. Bd. 9. 3. Aufl. Heidelberg 2011 (zitiert: „Bearbeiter, in: Isensee/Kirchhof, Hdb. Staatsrecht IX“). Jääskinen, Niilo: Schlussanträge in der Rechtssache C-131/12.25.06.2013. Abrufbar unter: http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&pageIndex=0& doclang=DE&mode=req&dir=&occ=first&part=1 (Stand: 13.09.2016). Jandt, Silke: Big Data und die Zukunft des Scoring. In: Kommunikation & Recht (K&R) 2015 (Beihefter 2), S. 6–8. Jandt, Silke/Roßnagel, Alexander: Rechtsgutachten zum Datenschutz und zu Persönlichkeitsrechten im Social Web, insbesondere von Social Networking-Sites. Teil III, in: Schenk/Niemann/Reinmann et al. (Hrsg.), Digitale Privatsphäre, Heranwachsende und Datenschutz auf Sozialen Netzwerkplattformen, S. 309–395. Berlin 2012.

Literaturverzeichnis

337

Jandt, Silke/Roßnagel, Alexander: Datenschutz in Social Networks. Kollektive Verantwortlichkeit für die Datenverarbeitung. In: Zeitschrift für Datenschutz (ZD) 2011, S. 160–166. Jandt, Silke/Roßnagel, Alexander: Social Networks für Kinder und Jugendliche. Besteht ein ausreichender Datenschutz? In: MultiMedia und Recht (MMR) 2011, S. 637–642. Jansen, Dorothea: Einführung in die Netzwerkanalyse. Grundlagen, Methoden, Forschungsbeispiele. 4. Aufl. Wiesbaden 2011. Jansen, Stephan/Schröter, Eckhard/Stehr, Nico (Hrsg.): Fragile Stabilität – stabile Fragilität.​ Wie gesellschaftliche Fragilität und Stabilität aufeinander bezogen sind. Wiesbaden 2013. Jarass, Hans (Hrsg.): Charta der Grundrechte der Europäischen Union. Unter Einbeziehung der vom EuGH entwickelten Grundrechte, der Grundrechtsregelungen der Verträge und der EMRK. 3. Aufl. München 2016 (zitiert: „Bearbeiter, in: Jarass, Charta“). Jasmontaite, Lina/Hert, Paul de: The EU, children under 13 years, and parental consent: a human rights analysis of a new, age-based bright-line for the protection of children on the Internet. In: International Data Privacy Law (IDPL) 2015, S. 20–33. Jers, Cornelia: Konsumieren, Partizipieren und Produzieren im Web 2.0. Ein sozial-kognitives Modell zur Erklärung der Nutzungsaktivität. Köln 2012. Jhering, Rudolf von: Scherz und Ernst in der Jurisprudenz. Neu herausgegeben von Max Leitner. Wien 2009 [Nachdruck der 13. Aufl. 1924]. Jhering, Rudolf von: Der Zweck im Recht. Bd. I. Leipzig 1877. Jickeli, Joachim/Kreutz, Peter/Reuter, Dieter/Sonnenschein, Jürgen (Hrsg.): Gedächtnisschrift für Jürgen Sonnenschein. Berlin 2003. Jöns, Johanna: Daten als Handelsware. Hamburg/Kiel 2016. Abrufbar unter: https://www.divsi. de/wp-content/uploads/2016/03/Daten-als-Handelsware.pdf (Stand: 10.08.2016). Jotzo, Florian: Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr? In: MultiMedia und Recht (MMR) 2009, S. 232–237. Jülicher, Tim/Röttgen, Charlotte/Schönfeld, Max von: Das Recht auf Datenübertragbarkeit. Ein datenschutzrechtliches Novum. In: Zeitschrift für Datenschutz (ZD) 2016, S. 358–362. Jung, Alexander: Webcrawling. Praxisrelevante Daten-Analyse im datenschutzrechtlichen Spannungsverhältnis. In: Privacy in Germany (PinG) 2015, S. 170–174. Jürgensmann, Susanne/Pekrul, Sören/Düffer, Martin/Meyer, Holger/Heuer, Andreas: Datenschutz und Suche in digitalen sozialen Netzwerken. Ein Vergleich von sechs Business-Community-Plattformen. In: Datenbank-Spektrum (DS) 2010 (Nr. 10), S. 25–39. Kampert, David: Datenschutz in sozialen Online-Netzwerken de lege lata und de lege ferenda 2016. Kaplan, Andreas/Haenlein, Michael: Users of the world, unite! The challenges and opportunities of Social Media. In: Business Horizons (BH) 2010 (Nr. 53), S. 59–68. Karaboga, Murat/Masur, Philipp/Matzner, Tobias/Mothes, Cornelia/Nebel, Maxi/Ochs, Karsten/ Schütz, Philip/Fhom, Hervais: Selbstdatenschutz. White Paper. 2014. Abrufbar unter: https:// www.forum-privatheit.de/forum-privatheit-de/texte/veroeffentlichungen-des-forums/ themenpapiere-white-paper/Forum_Privatheit_White_Paper_Selbstdatenschutz_2.Auf lage.pdf (Stand: 01.07.2016).

338

Literaturverzeichnis

Karg, Moritz: Anonymität, Pseudonyme und Personenbezug revisited? In: Datenschutz und Datensicherheit (DuD) 2015, S. 520–526. Karg, Moritz: Biometrische Verfahren zur Gesichtserkennung und Datenschutz in Sozialen Netzwerken. In: Humboldt Forum Recht (HFR) 2012 (Nr. 7), S. 120–134. Karg, Moritz: Anmerkung zu BGH, Urt. v. 13.01.2011 – III ZR 146/10. In: MultiMedia und Recht (MMR) 2011, S. 345–346. Karg, Moritz/Fahl, Constantin: Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken. In: Kommunikation & Recht (K&R) 2011, S. 453–458. Kelsey, Elizabeth: Google Spain SL and Google Inc v AEPD and Mario Costeja Gonzalez. Protection of personal data, freedom of information and the „right to be forgotten“. In: European Human Rights Law Review (EHRLR) 2014, S. 395–400. Keppeler, Lutz: „Objektive Theorie“ des Personenbezugs und „berechtigtes Interesse“ als Untergang der Rechtssicherheit? Eine Analyse der Schlussanträge des Generalanwalts in der Rechtssache C-582/14. In: Computer und Recht (CR) 2016, S. 360–367. Keppeler, Lutz: Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz. In: MultiMedia und Recht (MMR) 2015, S. 779–783. Kesan, Jay/Hayes, Carol/Masooda, Bashir: A Comprehensive Empirical Study of Data Privacy, Trust, and Consumer Autonomy. In: Indiana Law Journal (ILJ) 2016 (Jg. 91 Nr. 2), S. 267–352. Khosla, Madhav: Proportionality: An assault on human rights? A reply. In: International Journal of Constitutional Law (IJCL) 2010 (Jg. 8 Nr. 2), S. 298–306. Kietzmann, Jan/Hermkens, Kristopher/McCarthy, Ian/Silvestre, Bruno: Social media? Get serious! Understanding the functional building blocks of social media. In: Business Horizons (BH) 2011 (Jg. 54 Nr. 3), S. 241–251. Kilian, Wolfgang: Informationelle Selbstbestimmung und Marktprozesse. Zur Notwendigkeit der Modernisierung des Modernisierungsgutachtens zum Datenschutzrecht. In: Computer und Recht (CR) 2002, S. 921–929. Kilian, Wolfgang/Heussen, Benno (Hrsg.): Computerrechts-Handbuch. Informationstechnologie in der Rechts- und Wirtschaftspraxis. 32. Ergl. 2013 (zitiert: „Bearbeiter, in: Kilian/ Heussen, Computerrechts-Hdb.“). Kipker, Dennis-Kenji/Voskamp, Friederike: Datenschutz in sozialen Netzwerken nach der Datenschutzgrundverordnung. In: Datenschutz und Datensicherheit (DuD) 2012, S. 737–742. Kirkpatrick, David: The Facebook Effect. The Inside Story of the Company that is Connecting the World. London 2010. Klappert, Uwe: Web 2.0 mit ASP.NET und Ajax. Praxiseinstieg in die Erstellung interaktiver Webseiten. Frechen 2010. Klatt, Matthias (Hrsg.): Prinzipientheorie und Theorie der Abwägung. Tübingen 2013. Klatt, Matthias/Meister, Moritz: Verhältnismäßigkeit als universelles Verfassungsprinzip, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 62–104. Tübingen 2013.

Literaturverzeichnis

339

Klatt, Matthias/Schmidt, Johannes: Abwägung unter Unsicherheit, in: Klatt (Hrsg.), Prinzipientheorie und Theorie der Abwägung, S. 105–150. Tübingen 2013. Kloss, Ingomar: Werbung. Handbuch für Studium und Praxis. 4. Aufl. München 2007. Knies, Wolfgang: Schranken der Kunstfreiheit als verfassungsrechtliches Problem. München 1967. Knyrim, Rainer (Hrsg.): Datenschutz-Grundverordnung. Praxishandbuch. Wien 2016 (zitiert: „Bearbeiter, in: Knyrim, DS-GVO“). Koch, Peter: Versicherungswirtschaft. Ein einführender Überblick. 7. Aufl. Karlsruhe 2013. Koch, Peter/Weiss, Wieland (Hrsg.): Gabler Versicherungslexikon. Wiesbaden 1994. Kodde, Claudia: Die „Pflicht zu Vergessen“. „Recht auf Vergessenwerden“ und Löschung in BDSG und DS-GVO. In: Zeitschrift für Datenschutz (ZD) 2013, S. 115–118. Kollmann, Tobias: Online-Marketing. Grundlagen der Absatzpolitik in der Net Economy. 2. Aufl. Stuttgart 2013. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Positionspapier der DSK zur Datenschutz-Grundverordnung. In: Datenschutz und Datensicherheit (DuD) 2015, S. 722. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe „Soziale Netzwerke“. 14.03.2013. Abrufbar unter: https://www.datenschutz-bayern.de/technik/ orient/oh_soziale-netze.pdf (Stand: 10.08.2016). Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (AK Technik): Das Standard-Datenschutzmodell. Konzept zur Datenschutzberatung und-prüfung auf der Basis einheitlicher Gewährleistungsziele. V.0.9.2015. Abrufbar unter: https://www. datenschutzzentrum.de/uploads/sdm/SDM-Handbuch.pdf (Stand: 16.11.2016). Köpernik, Kristin: Zur Notwendigkeit einer Verbandsklage bei Datenschutzverstößen. In: Verbraucher und Recht (VuR) 2014, S. 240–243. Koreng, Ansgar/Feldmann, Thorsten: Das „Recht auf Vergessen“. Überlegungen zum Konflikt zwischen Datenschutz und Meinungsfreiheit. In: Zeitschrift für Datenschutz (ZD) 2012, S. 311–315. Korenhof, Paulan/Ausloos, Jef/Szekely, Ivan/Ambrose, Meg/Sartor, Giovanni/Leenes, Ronald: Timing the Right to Be Forgotten. A Study into „Time“ as a Factor in Deciding About Retention or Erasure of Data, in: Gutwirth/Leenes/Hert (Hrsg.), Reforming European Data Protection Law, S. 171–201. Dordrecht 2015. Kosala, Raymond/Blockeel, Hendrik: Web Mining Research. A Survey. In: Association for Computing Machinery’s Special Interest Group on Knowledge Discovery and Data Mining Explorations Newsletter (ACM SIGKDD EN) 2000 (Jg. 2 Nr. 1), S. 1–15 (Stand: 26.11.2016). Kosta, Eleni: Construing the Meaning of „Opt-Out“. An Analysis of the European, U. K. and German Data Protection Legislation. In: European Data Protection Law Review (EDPL) 2015, S. 16–31. Kosta, Eleni: Consent in European Data Protection Law. Leiden/Boston 2013. Kraft, Alfons: Interessenabwägung und gute Sitten im Wettbewerbsrecht. München/Berlin 1963.

340

Literaturverzeichnis

Kramer, Adam/Guillory, Jamie/Hancock, Jeffrey: Experimental evidence of massive-scale emotional contagion through social networks. In: Proceedings of the National Academy of Sciences of the United States of America (PNAS-USA) 2014 (Jg. 111 Nr. 24), S. 8788–8790. Kramer, Philipp: Verbot mit Erlaubnisvorbehalt zeitgemäß? Anmerkung zu Weicherts „Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz?“. In: Datenschutz und Datensicherheit (DuD) 2013, S. 380–382. Kraska, Sebastian: Datenschutz-Zertifizierungen in der EU-Datenschutzgrundverordnung. In: Zeitschrift für Datenschutz (ZD) 2016, S. 153–154. Kremer, Sascha: Datenschutzerklärungen von Social Media Diensten. Anwendbares Recht und AGB-Kontrolle. In: Recht der Datenverarbeitung (RDV) 2014, S. 73. Krewet, Maike: Wechselwirkungen zwischen dem Grundgesetz und den Primärverträgen der Europäischen Union als ihrer Verfassung. Rechtstransfer und gegenseitige Beeinflussung von selbständigen Rechtskreisen eines Mehrebenensystems am Beispiel des Grundrechtsschutzes. Berlin/Münster 2009. Krings, Günter/Mammen, Lars: Zertifizierungen und Verhaltensregeln. Bausteine eines modernen Datenschutzes für die Industrie 4.0. In: Recht der Datenverarbeitung (RDV) 2015, S. 231–236. Krohm, Niklas: Abschied vom Schriftformgebot der Einwilligung. Lösungsvorschläge und künftige Anforderungen. In: Zeitschrift für Datenschutz (ZD) 2016, S. 368–373. Kroschwald, Steffen: Kollektive Verantwortung für den Datenschutz in der Cloud. Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing. In: Zeitschrift für Datenschutz (ZD) 2013, S. 388–394. Krüger, Stefan/Maucher, Svenja-Ariane: Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis. In: MultiMedia und Recht (MMR) 2011, S. 433–439. Kugelmann, Dieter: Datenfinanzierte Internetangebote. Regelungs- und Schutzmechanismen der DSGVO. In: Datenschutz und Datensicherheit (DuD) 2016, S. 566–570. Kühling, Jürgen/Martini, Mario/Heberlein, Johanna/Kühl, Benjamin/Nink, David/Weinzierl, Quirin/Wenzel, Michael: Die DSGVO und das nationale Recht. Erste Überlegungen zum innerstaatlichen Regelungsbedarf. Münster 2016. Kühnl, Christina: Persönlichkeitsschutz 2.0. Profilbildung und -nutzung durch soziale Netzwerke am Beispiel von Facebook im Rechtsvergleich zwischen Deutschland und den USA. Berlin 2016. Kulk, Stefan/Zuiderveen Borgesius, Frederik: Google Spain v. González. Did the Court Forget About Freedom of Expression? In: European Journal of Risk Regulation (EJRR) 2014 (Nr. 5), S. 389–398. Ladeur, Karl-Heinz: Die Gesellschaft der Netzwerke und ihre Wissensordnung. Big Data, Datenschutz und die „relationale Persönlichkeit“, in: Süssengut (Hrsg.), Die Gesellschaft der Daten, Über die digitale Transformation der sozialen Ordnung, S. 225–251. Bielefeld 2015. Ladeur, Karl-Heinz: Das Recht auf informationelle Selbstbestimmung. Eine juristische Fehlkonstruktion? In: Die Öffentliche Verwaltung (DÖV) 2009, S. 45–55.

Literaturverzeichnis

341

Ladeur, Karl-Heinz: Persönlichkeitsschutz und „Comedy“. Das Beispiel der Fälle Sat 1/Stahnke und RTL 2/Schröder. In: Neue Juristische Wochenschrift (NJW) 2000, S. 1977–1982. Langhanke, Carmen/Schmidt-Kessel, Martin: Consumer Data as Consideration. In: Journal of European Consumer and Market Law (EuCML) 2015, S. 218–223. Laue, Philip/Nink, Judith/Kremer, Sascha: Das neue Datenschutzrecht in der betrieblichen Praxis. Baden-Baden 2016. Leber, Jessica: Can a Credit Score be Crowdsourced? A startup uses social networks to gauge whether it’s wise to loan to borrowers in emerging markets. Artikel v. 07.06.2012. In: MIT Technology Review [Online]. Abrufbar unter: http://www.technologyreview.com/news/ 428122/can-a-credit-score-be-crowdsourced/ (Stand: 29.07.2016). Leible, Stefan (Hrsg.): Der Schutz der Persönlichkeit im Internet. Stuttgart 2012. Leisner, Walter: „Abwägung überall“ – Gefahr für den Rechtsstaat. In: MultiMedia und Recht (MMR) 1997, S. 636–639. Leisner, Walter: Der Abwägungsstaat. Verhältnismäßigkeit als Gerechtigkeit? Berlin 1997. Lepperhoff, Niels: Dokumentationspflichten in der DS-GVO. In: Recht der Datenverarbeitung (RDV) 2016, S. 197–202. Lessig, Lawrence: Code. Version 2.0.2. Aufl. New York 2006. Leupold, Andreas/Glossner, Silke (Hrsg.): Münchener Anwaltshandbuch IT-Recht. 3.  Aufl. München 2013 (zitiert: „Bearbeiter, in: Leupold/Glossner, MAH IT-Recht“). Lewinski, Kai von: Die Matrix des Datenschutzes. Besichtigung und Ordnung eines Begriffsfeldes. Tübingen 2014. Lewinski, Kai von: Europäisierung des Datenschutzrechts. Umsetzungsspielraum des deutschen Gesetzgebers und Entscheidungskompetenz des BVerfG. In: Datenschutz und Datensicherheit (DuD) 2012, S. 564–570. Lewinski, Kai von/Herrmann, Christoph: Cloud vs. Cloud – Datenschutz im Binnenmarkt. Verantwortlichkeit und Zuständigkeit bei grenzüberschreitender Datenverarbeitung. In: Zeitschrift für Datenschutz (ZD) 2016, S. 467–474. Lichtnecker, Florian: Die Werbung in sozialen Netzwerken und mögliche hierbei auftretende Probleme. In: Gewerblicher Rechtsschutz und Urheberrecht (GRUR) 2013, S. 135–140. LinkedIn: Homepage. Abrufbar unter: http://www.linkedin.com (Stand: 29.07.2016). LobbyPlag: Homepage. Abrufbar unter: http://lobbyplag.eu/governments (Stand: 29.07.2016). Maisch, Marc: Informationelle Selbstbestimmung in Netzwerken. Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook. Berlin 2015. Manssen, Gerrit: Staatsrecht II. Grundrechte. 10. Aufl. München 2013. Mantelero, Alessandro: Competitive value of data protection. The impact of data protection regulation on online behaviour. In: International Data Privacy Law (IDPL) 2013, S. 229–238. Maras, Marie-Helen: Internet of Things. Security and privacy implications. In: International Data Privacy Law (IDPL) 2015, S. 99–104.

342

Literaturverzeichnis

Mast, Claudia: Unternehmenskommunikation. Eine Einführung. 4. Aufl. Stuttgart 2002. Maunz, Theodor/Dürig, Günter/Herzog, Roman/Scholz, Rupert/Herdegen, Matthias/Klein, Hans (Hrsg.): Grundgesetz Kommentar. Bd. I. 78. Ergl. München 2016 (zitiert: „Bearbeiter, in: Maunz/Dürig/Herzog/Scholz/Herdegen/Klein, GG Bd. I“). Maunz, Theodor/Dürig, Günter/Herzog, Roman/Scholz, Rupert/Herdegen, Matthias/Klein, Hans (Hrsg.): Grundgesetz. Kommentar. Bd. III. 78. Ergl. München 2016 (zitiert: „Bearbeiter, in: Maunz/Dürig/Herzog/Scholz/Herdegen/Klein, GG Bd. III“). Maxwell, Winston: Principles-based regulation of personal data: the case of ‚fair processing‘. In: International Data Privacy Law (IDPL) 2015, S. 205–216. McNamee, Joe: Vote on Data Protection and Passenger Name Record Package. Pressemeldung v. 13.04.2016. Abrufbar unter: https://edri.org/press-release-data-protection-and-passengername-record-package-to-be-voted-on-tomorrow/ (Stand: 05.07.2016). M-Eco: Homepage. Abrufbar unter: http://www.meco-project.eu/ (Stand: 29.07.2016). Mell, Peter/Grance, Timothy: The NIST Definition of Cloud Computing. Recommendations of the National Institute of Standards and Technology. Special Publication 800–145. Abrufbar unter: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf (Stand: 10.08.2016). Menzel, Hans-Joachim: Datenschutzrechtliche Einwilligungen. Plädoyer für eine Rückkehr zur Selbstbestimmung. In: Recht der Datenverarbeitung (RDV) 2008, S. 400–408. Messing, Solomon/Westwood, Sean: Friends that Matter. How Social Influence Affects Selec­ tion in Social Media. Working Paper. 21.10.2013. Abrufbar unter: https://dl.dropboxuser content.com/u/25710348/POQTieStrengthNOTAnon.pdf (Stand: 10.08.2016). Meyer, Gregor: Web-Services. Konzepte, Technologien und Anwendungen im Finanzdienstleistungssektor 2002. Meyer, Jürgen (Hrsg.): Charta der Grundrechte der europäischen Union. 4. Aufl. Baden-Baden 2014 (zitiert: „Bearbeiter, in: Meyer, Charta“). MiGente: Homepage. Abrufbar unter: http://www.migente.com (Stand: 29.07.2016). Miguel, Carlos Ruiz: El Derecho a la Protección de los Datos Personales en la Carta de Derechos Fundamentales de la Union Europea. Análisis Crítico. In: Revista de Derecho Comuniatrio Europeo (RDCE) 2003 (Nr. 14), S. 7–43. Mihail, Stephanie: Does Privacy Overpower Journalistic Freedom? Satakunnan Markkinapörssi Oy and Satamedia Oy v Finland, ECtHR 21 July 2015. In: European Data Protection Law Review (EDPL) 2016, S. 130–134. Milgram, Stanley/Travers, Jeffrey: An Experimental Study of the Small World Problem. In: Sociometry 1969 (Jg. 32 Nr. 4), S. 425–443. Mitchell, William: City of Bits. Space, Place, and the Infobahn. Cambridge, Mass. 1996. Monreal, Manfred: Weiterverarbeitung nach einer Zweckänderung in der DS-GVO. Chancen nicht nur für das europäische Verständnis des Zweckbindungsgrundsatzes. In: Zeitschrift für Datenschutz (ZD) 2016, S. 507–512.

Literaturverzeichnis

343

Moos, Flemming: Share this. Geteilte oder gemeinsame Verantwortung für Datenschutzkonformität in sozialen Netzwerken? In: IT-Rechts-Berater (ITRB) 2012, S. 226–229. Moser, Jana: Privacy regulation and its impact on the European economy. In: Privacy in Germany (PinG) 2015, S. 228–230. Moser-Knierim, Antonie: „Facebook-Login“  – datenschutzkonformer Einsatz möglich? Einsatz von Social Plug-ins bei Authentifizierungsdiensten. In: Zeitschrift für Datenschutz (ZD) 2013, S. 263–266. Müller, Friedrich/Christensen, Ralph: Juristische Methodik I. Grundlegung für die Arbeits­ methoden der Rechtspraxis. 11. Aufl. Berlin 2013. Müller, Friedrich/Christensen, Ralph: Juristische Methodik II. Europarecht. 2. Aufl. 2007. Müller, Friedrich/Mastronardi, Philippe (Hrsg.): Abwägung. Herausforderung für eine Theorie der Praxis. Berlin 2014. Müller-Erzbach, Rudolf: Die Rechtswissenschaft im Umbau. Ihr Vordringen zu den bestimmenden Elementen des Zusammenlebens. München 1950. Müller-Erzbach, Rudolf: Wohin führt die Interessenjurisprudenz? Die Rechtspolitische Bewegung im Dienste der Rechtssicherheit und des Aufbaus der Rechtswissenschaft. Tübingen 1932. MySpace: Homepage. Abrufbar unter: http://www.myspace.com (Stand: 29.07.2016). Nebel, Maxi: Schutz der Persönlichkeit – Privatheit oder Selbstbestimmung? Verfassungsrechtliche Zielsetzungen im deutschen und europäischen Recht. In: Zeitschrift für Datenschutz (ZD) 2015, S. 517–522. Nguyen, Hung/Walker, Elbert: A First Course in Fuzzy Logic. 3. Aufl. Boca Raton 2006. Niemann, Fabian/Scholz, Philip: Privacy by Design und Privacy by Default. Wege zu einem funktionierenden Datenschutz in Sozialen Netzwerken, in: Peters/Kersten/Wolfenstetter (Hrsg.), Innovativer Datenschutz, S. 109–145. Berlin 2012. Niemann, Julia/Schenk, Michael: Privatsphäre und Selbstoffenbarung auf Sozialen Netzwerkplattformen. Eine Einführung, in: Schenk/Niemann/Reinmann et al. (Hrsg.), Digitale Privatsphäre, Heranwachsende und Datenschutz auf Sozialen Netzwerkplattformen, S. 13–68. Berlin 2012. Nietsch, Thomas: Zur Überprüfung der Einhaltung des Datenschutzrechts durch Verbraucherverbände. In: Computer und Recht (CR) 2014, S. 272–278. Nink, Judith/Pohle, Jan: Die Bestimmbarkeit des Personenbezugs. Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze. In: MultiMedia und Recht (MMR) 2015, S. 563–567. Nissenbaum, Helen: Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford 2010. Nolte, Norbert: Das Recht auf Vergessenwerden – mehr als nur ein Hype? In: Neue Juristische Wochenschrift (NJW) 2014, S. 2238–2242. Nunez, Michael: Former Facebook Workers: We Routinely Suppressed Conservative News. Blogbeitrag v. 09.05.2016. Abrufbar unter: http://gizmodo.com/former-facebook-workerswe-routinely-suppressed-conser-1775461006 (Stand: 29.07.2016).

344

Literaturverzeichnis

Oertmann, Paul: Interesse und Begriff in der Rechtswissenschaft. Leipzig 1931. O’Reilly, Tim: What Is Web 2.0. Design Patterns and Business Models for the Next Generation of Software. Artikel v. 30.09.2005. Abrufbar unter: http://oreilly.com/web2/archive/what-isweb-20.html?page=4 (Stand: 29.07.2016). Paal, Boris/Pauly, Daniel (Hrsg.): Datenschutz-Grundverordnung. München 2017 (zitiert: „Bearbeiter, in: Paal/Pauly, DS-GVO“). Pahlen-Brandt, Ingrid: Datenschutz braucht scharfe Instrumente. Beitrag zur Diskussion um „personenbezogene Daten“. In: Datenschutz und Datensicherheit (DuD) 2008, S. 34–40. Pariser, Eli: Filter Bubble. Wie wir im Internet entmündigt werden. München 2012. Pelopidas, Donos: Datenschutz – Prinzipien und Ziele. Unter besonderer Berücksichtigung der Entwicklung der Kommunikations- und Systemtheorie. Baden-Baden 1998. Peters, Falk/Kersten, Heinrich/Wolfenstetter, Klaus-Dieter (Hrsg.): Innovativer Datenschutz. Berlin 2012. Piltz, Carlo: Soziale Netzwerke im Internet. Eine Gefahr für das Persönlichkeitsrecht? Frankfurt a. M. 2013. Plath, Kai-Uwe (Hrsg.): BDSG. Kommentar zum BDSG sowie den Datenschutzbestimmungen von TMG und TKG. Köln 2013 (zitiert: „Bearbeiter, in: Plath, BDSG“). Pohl, Dirk: Durchsetzungsdefizite der DSGVO? Der schmale Grat zwischen Flexibilität und Unbestimmtheit. In: Privacy in Germany (PinG) 2017, S. 85–91. Pollmann, Maren/Kipker, Dennis-Kenji: Informierte Einwilligung in der Online-Welt. In: Datenschutz und Datensicherheit (DuD) 2016, S. 378–381. Pötters, Stephan: Primärrechtliche Vorgaben für die Reform des Datenschutzrechts. In: Recht der Datenverarbeitung (RDV) 2015, S. 10–16. Puchta, Georg Friedrich: Lehrbuch der Pandekten. Leipzig 1838. Rammos, Thanos: Datenschutzrechtliche Aspekte verschiedener Arten „verhaltensbezogener“ Onlinewerbung. In: Kommunikation & Recht (K&R) 2011, S. 692–698. Raymundo, Oscar: 10 Surprising Big Data Insights from 2014. What’s the happiest way to commute? Where do shoppers find unrequited love? What’s the best time to launch a Kickstarter? Thanks to big data, now we know. Artikel v. 07.01.2015. In: Inc. [Online]. Abrufbar unter: http://www.inc.com/oscar-raymundo/10-most-surprising-big-data-insights-of-2014.html (Stand: 29.07.2016). Razvan, Antemir: General Data Protection Regulation. Comparison of the legal grounds for the processing of personal data, with a focus on eCommerce. In: Privacy in Germany (PinG) 2016, S. 65–70. Redeker, Helmut: IT-Recht. 5. Aufl. München 2012. Reidenberg, Joel: Lex Informatica. The Formulation of Information Policy Rules through Technology. In: Texas Law Review (TLR) 1998, S. 553–593. Reiners, Wilfried: Datenschutz in der Personal Economy. Eine Chance für Europa. In: Zeitschrift für Datenschutz (ZD) 2015, S. 51–55.

Literaturverzeichnis

345

Renz, Florian: Praktiken des Social Networking. Eine kommunikationssoziologische Studie zum online-basierten Netzwerken am Beispiel von openBC (XING). Boizenburg 2007. Richter, Frederick: Aus der Sicht der Stiftung Datenschutz. Privacy in the age of Big Data. In: Privacy in Germany (PinG) 2014, S. 203–205. Rieder, Peter: Interessenabwägung in der Rechtsprechung des BGH zum Namens- und Bezeichnungsschutz, zum Recht am Gewerbebetrieb und zum allgemeinen Persönlichkeitsrecht. Erlangen 1971. Riehm, Thomas: Abwägungsentscheidungen in der praktischen Rechtsanwendung. Argumentation, Beweis, Wertung. München 2006. Riesenhuber, Karl: Die Einwilligung des Arbeitnehmers im Datenschutzrecht. In: Recht der Arbeit (RdA) 2011, S. 257–265. Rogall-Grothe, Cornelia: Ein neues Datenschutzrecht für Europa. In: Zeitschrift für Rechtspolitik (ZRP) 2012, S. 193–196. Rogosch, Patricia: Die Einwilligung im Datenschutzrecht. Baden-Baden 2013. Rogosch, Patricia/Hohl, Erik: Data Protection and Facebook. An Empirical Analysis of the Role of Consent in Social Networks. Zürich/Wien 2012. Röller, Jürgen (Hrsg.): Personalbuch. Arbeitsrecht, Lohnsteuerrecht, Sozialversicherungsrecht. 23. Aufl. München 2016 (zitiert: „Bearbeiter, in: Röller, Personalbuch“). Rooch, Aeneas: Statistik für Ingenieure. Wahrscheinlichkeitsrechnung und Datenauswertung endlich verständlich. Berlin, Heidelberg 2014. Roosendaal, Arnold: Massive Data Collection by Mistake?, in: Camenisch/Crispo/FischerHübner et al. (Hrsg.), Privacy and Identity Management for Life, S. 274–282. Heidelberg 2012. Roosendaal, Arnold: We are All Connected to Facebook…by Facebook!, in: Gutwirth/Leenes/ Hert et al. (Hrsg.), European Data Protection, In Good Health?, S. 3–19. Dordrecht, Heidelberg, London, New York 2012. Rosen, Jeffrey: The Right to Be Forgotten. In: Stanford Law Review Online (SLRO) 2012 (Jg. 64), S. 88–92. Rössler, Beate: Der Wert des Privaten. Frankfurt am Main 2001. Roßnagel, Alexander (Hrsg.): Europäische Datenschutz-Grundverordnung. Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts. Baden-Baden 2017 (zitiert: „Bearbeiter, in: Roßnagel, DS-GVO“). Roßnagel, Alexander: Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24.  Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestages. Ausschussdrs. 18(24)94.19.02.2016. Abrufbar unter: https://www. bundestag.de/blob/409512/4afc3a566097171a7902374da77cc7ad/a-drs-18-24-94-data.pdf (Stand: 10.08.2016). Roßnagel, Alexander: Wie zukunftsfähig ist die Datenschutz-Grundverordnung? Welche Antworten bietet sie für die neuen Herausforderungen des Datenschutzrechts? In: Datenschutz und Datensicherheit (DuD) 2016, S. 561–565.

346

Literaturverzeichnis

Roßnagel, Alexander: Rechtswissenschaftliche Technikfolgenforschung. Umrisse einer Forschungsdisziplin. Baden-Baden 1993. Roßnagel, Alexander/Nebel, Maxi: Die neue Datenschutz-Grundverordnung. Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet? Policy Paper. 2016. Abrufbar unter: https://www.forum-privatheit.de/forum-privatheit-de/texte/veroeffentlichungendes-forums/positionspapiere-policy-paper/PolicyPaper-5-Die-neue-DSGVO_1.-Auflage_ Mai_2016.pdf (Stand: 17.06.2016). Roßnagel, Alexander/Nebel, Maxi: (Verlorene)  Selbstbestimmung im Datenmeer. Privatheit im Zeitalter von Big Data. In: Datenschutz und Datensicherheit (DuD) 2015, S. 455–459. Roßnagel, Alexander/Nebel, Maxi/Richter, Philipp: Was bleibt vom Europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DS-GVO. In: Zeitschrift für Datenschutz (ZD) 2015, S. 455–460. Rother, Philip: Web 2.0 Communities. Geschäftsmodellanalyse und Erfolgsfaktoren. Hamburg 2010. Rouvroy, Antoinette/Poullet, Yves: The Right to Informational Self-Determination and the Value of Self-Development. Reassessing the Importance of Privacy for Democracy, in: Gutwirth/Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 45–76. Dordrecht, London 2009. Rückert, Joachim: Abwägung. Die juristische Karriere eines unjuristischen Begriffs oder: Normenstrenge und Abwägung im Funktionswandel. In: Juristenzeitung (JZ) 2011 (66), S. 913–923. Ruddick, Graham: Admiral to price car insurance based on Facebook posts. Insurer’s algorithm analyses social media usage to identify safe drivers in unprecedented use of customer data. Artikel v. 02.11.2016. In: The Guardian [Online]. Abrufbar unter: https://www.theguardian. com/technology/2016/nov/02/admiral-to-price-car-insurance-based-on-facebook-posts. Ruddick, Graham: Facebook forces Admiral to pull plan to price car insurance based on posts. Insurer withdraws initiative with hours to go as privacy campaigners criticise ‚intrusive‘ attempt to analyse users’ data. Artikel v. 02.11.2016. In: The Guardian [Online]. Abrufbar unter: https://www.theguardian.com/money/2016/nov/02/facebook-admiral-car-insuranceprivacy-data. Rüssmann, Helmut (Hrsg.): Festschrift für Gerhard Käfer. Saarbrücken 2009. Rutzen, Douglas/Zenn, Jacob: Association and Assembly in the Digital Age. In: The International Journal of Not-for-Profit Law (IJNPL) 2011 (13 4), S. 53–69. Safe Address: Adress- und Datenhandel – Einführung. Abrufbar unter: http://safeaddress.word press.com/was-ist-adress-bzw-datenhandel/ (Stand: 29.07.2016). Saliger, Edgar: Betriebswirtschaftliche Entscheidungstheorie. Einführung in die Logik individueller und kollektiver Entscheidungen. 5. Aufl. München/Wien 2003. Salwitzek, Astrid: Automatische Gesichtserkennung – Verfahren gegen Facebook eingestellt. In: MMR-aktuell, 342688. Sandfuchs, Barbara: Privatheit wider Willen? Verhinderung informationeller Preisgabe im Internet nach deutschem und US-amerikanischem Verfassungsrecht. Tübingen 2015.

Literaturverzeichnis

347

Sandfuchs, Barbara/Kapsner, Andreas: Coercing Online Privacy. In: Journal of Law and Policy for the Information Society (I/S) 2015 (Jg. 12 Nr. 2), S. 185–230. Sartor, Giovanni: The right to be forgotten in the Draft Data Protection Regulation. In: International Data Privacy Law (IDPL) 2015, S. 64–72. Saurer, Johannes: Die Globalisierung des Verhältnismäßigkeitsgrundsatzes. In: Der Staat 2012 (Jg. 51 Nr. 1), S. 3–33. Sauter, Wolf: Proportionality in EU law. A balancing act? Tilburg Law and Economics Center Discussion Paper 2013–003.25.01.2013. Abrufbar unter: http://ssrn.com/abstract=2208467 (Stand: 23.03.2016). Schaar, Peter: Datenschutz-Grundverordnung. Arbeitsauftrag für den deutschen Gesetzgeber. In: Privacy in Germany (PinG) 2016, S. 62–65. Schaar, Peter: Datenschutz im Internet. Die Grundlagen. München 2002. Schaar, Peter: Datenschutzrechtliche Einwilligung im Internet. In: MultiMedia und Recht (MMR) 2001, S. 644–648. Schaffland, Hans-Jürgen/Wiltfang, Noeme (Hrsg.): Bundesdatenschutzgesetz (BDSG). Ergänz­ barer Kommentar nebst einschlägigen Rechtsvorschriften. 4.  Ergl. Berlin/Bielefeld/München 2016 (zitiert: „Bearbeiter, in: Schaffland/Wiltfang, BDSG“). Scharf, Andreas/Schubert, Bernd/Hehn, Patrick: Marketing. Einführung in Theorie und Praxis. 5. Aufl. Stuttgart 2012. Schefzig, Jens: Big Data = Personal Data? Der Personenbezug von Daten bei Big Data-Ana­ lysen. In: Kommunikation & Recht (K&R) 2014, S. 772–778. Schelz, Sepp (Hrsg.): Die Tyrannei der Werte. Hamburg 1979. Schenk, Michael/Niemann, Julia/Reinmann, Gabi/Roßnagel, Alexander (Hrsg.): Digitale Privat­ sphäre. Heranwachsende und Datenschutz auf Sozialen Netzwerkplattformen. Berlin 2012. Scheuch, Fritz: Marketing. 6. Aufl. München 2007. Schira, Josef: Statistische Methoden der VWL und BWL. Theorie und Praxis. 3. Aufl. München/Boston, Mass. 2009. Schliesky, Utz/Hill, Hermann (Hrsg.): Die Neubestimmung der Privatheit. E-Volution des Rechtsund Verwaltungssystems IV. Baden-Baden 2014. Schlink, Bernhard: Abwägung im Verfassungsrecht. Berlin 1976. Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.): Datenschutz. Grundlagen, Entwicklungen und Kontroversen. Bonn 2012. Schmidt-Holtmann, Christina: Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht. Zur Auslegung des Begriffs des personenbezogenen Datums. Berlin 2014. Schmitt, Carl: Die Tyrannei der Werte, in: Schelz (Hrsg.), Die Tyrannei der Werte, S.  9–43. Hamburg 1979. Schneider, Jochen: Schließt Art.  9 DS-GVO die Zulässigkeit der Verarbeitung bei Big Data aus? Überlegungen, wie weit die Untersagung bei besonderen Datenkategorien reicht. In: Zeitschrift für Datenschutz (ZD) 2017, S. 303–308.

348

Literaturverzeichnis

Schneider, Karsten: Über die Möglichkeit einer wertungsunabhängigen Unterscheidung zwischen Gefahr, Risiko und Restrisiko. In: Archiv für Rechts- und Sozialphilosophie (ARSP) 2009 (Jg. 95), S. 216–240. Schneider, Sonja: Social Media – der neue Trend in der Personalbeschaffung. Aktive Personalsuche mit Facebook, Xing & Co.? Hamburg 2012. Schneier, Bruce: Data and Goliath. The Hidden Battles to Collect Your Data and Control Your World. New York/London 2015. Schreiber, Marlene: Social Media Monitoring. In: Privacy in Germany (PinG) 2014, S. 34–36. Schröder, Markus: Anmerkung zu LG Berlin, Urt. v. 30.04.2013 – 15 O 92/12. In: Zeitschrift für Datenschutz (ZD) 2013, S. 453–454. SCHUFA Holding AG (Hrsg.): Die SCHUFA – seit jeher im Dienste auch des Verbrauchers. Grundlagenschrift. Wiesbaden 2007. Schumacher, Jörg/Meyer, Matthias: Customer Relationship Management strukturiert dargestellt. Prozesse, Systeme, Technologien. Berlin 2003. Schütz, Philip/Karaboga, Murat: Akteure, Interessenlagen und Regulierungspraxis im Datenschutz. Eine politikwissenschaftliche Perspektive. Arbeitspapier. 2015. Abrufbar unter: https:// www.forum-privatheit.de/forum-privatheit-de/texte/veroeffentlichungen-des-forums/ Schuetz-und-Karaboga-Akteure-Interessenlagen-und-Regulierungspraxis-im-Datenschutz2015.pdf (Stand: 17.06.2016). Schwaiger, Manfred/Meyer, Anton: Theorien und Methoden der Betriebswirtschaft. Handbuch für Wissenschaftler und Studierende. München 2009. Schwartmann, Rolf: Facebook-Verfassung. In: Recht der Datenverarbeitung (RDV) 2015, S. 1. Schwartz, Paul: Property, Privacy, and Personal Data. In: Harvard Law Review (HLR) 2004, S. 2056–2128. Second Life: Homepage. Abrufbar unter: http://www.secondlife.com/ (Stand: 29.07.2016). Sha, Xin/Carotti-Sha, Gabriele: Big Data. In: AI & Society (AI & Soc) 2016, S. 1–4. Short, John/Williams, Ederyn/Christie, Bruce: The Social Psychology of Telecommunications. London/New York 1976. Siemen, Birte: Datenschutz als europäisches Grundrecht. Berlin 2006. Simitis, Spiros (Hrsg.): Bundesdatenschutzgesetz. 8. Aufl. Baden-Baden 2014 (zitiert: „Bearbeiter, in: Simitis, BDSG“). Simitis, Spiros: Die Informationelle Selbstbestimmung. Grundbedingung einer verfassungskonformen Informationsordnung. In: Neue Juristische Wochenschrift (NJW) 1984, S. 398–405. Sokol, Bettina (Hrsg.): Living by Numbers. Düsseldorf 2005. Solmecke, Christian/Dam, Annika: Wirksamkeit der Nutzungsbedingungen sozialer Netzwerke. Rechtskonforme Lösung nach dem AGB- und Urheberrecht. In: MultiMedia und Recht (MMR) 2012, S. 71–74.

Literaturverzeichnis

349

Solmecke, Christian/Wahlers, Jakob: Rechtliche Situation von Social Media Monitoring-Diensten. Rechtskonforme Lösungen nach dem Datenschutz- und Urheberrecht. In: Zeitschrift für Datenschutz (ZD) 2012, S. 550–555. Solove, Daniel: Privacy Self-Management and the Consent Dilemma. In: Harvard Law Review (HLR) 2013 (Jg. 126), S. 1880–1903. Spiecker gen. Döhmann, Indra: Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken. Überlegungen zu Vollzugsdefiziten im Datenschutzrecht. In: Kommunikation & Recht (K&R) 2012, S. 717. Spindler, Gerald/Schuster, Fabian (Hrsg.): Recht der elektronischen Medien. Kommentar. 3. Aufl. München 2015 (zitiert: „Bearbeiter, in: Spindler/Schuster, Recht der elektronischen Medien“). Spranger, Tade: Die Figur der „Schutzbereichsverstärkung“. In: Neue Juristische Wochenschrift (NJW) 2002, S. 2074–2076. Sprenger, Florian/Engemann, Christoph (Hrsg.): Internet der Dinge. Über smarte Objekte, intelligente Umgebungen und die technische Durchdringung der Welt. Bielefeld 2015. StatCounter: Top 7 Social Media Sites on Aug 2016. Statista. Abrufbar unter: http://gs.statcounter. com/#all-social_media-ww-monthly-201608-201608-bar (Stand: 20.09.2016). Stayfriends: Homepage. Abrufbar unter: http://www.stayfriends.de (Stand: 29.07.2016). Stern, Klaus: Das Staatsrecht der Bundesrepublik Deutschland. Bd. 3 Halbbd. 2. München 1994. Stock-Homburg, Ruth/Groß, Matthias: Social-Media-Nutzung und Datensicherheit. Schlüssel für Innovationen oder Damoklesschwert? In: Datenschutz und Datensicherheit (DuD) 2016, S. 446–449. Streinz, Rudolf (Hrsg.): EUV/AEUV. Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union. 2. Aufl. München 2012 (zitiert: „Bearbeiter, in: Streinz, EUV/AEUV“). Streinz, Rudolf: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art.  8 GRCh) im deutschen Privatrecht. In: Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2011, S. 384–388. Süssengut, Florian (Hrsg.): Die Gesellschaft der Daten. Über die digitale Transformation der sozialen Ordnung. Bielefeld 2015. Swant, Marty: Facebook Will Track Whether Ads Lead to Store Visits and Offline Purchases. Retailers will receive real-time data on conversions. Artikel v. 14.06.2016. In: Adweek [Online]. Abrufbar unter: http://www.adweek.com/news/technology/facebook-will-track-whetherads-lead-store-visits-and-offline-purchases-171969 (Stand: 29.07.2016). Swant, Marty: Facebook’s New Tools Let Merchants Tailor Ads for Nearby Consumers. Can give insights for consumer groups within 150 feet. Artikel v. 05.11.2015. In: Adweek [Online]. Abrufbar unter: http://www.adweek.com/news/technology/facebooks-new-local-adproducts-target-and-track-nearby-consumers-167949 (Stand: 29.07.2016). Sydow, Gernot/Kring, Markus: Die Datenschutzgrundverordnung zwischen Technikneutralität und Technikbezug. Konkurrierende Leitbilder für den europäischen Rechtsrahmen. In: Zeitschrift für Datenschutz (ZD) 2014, S. 271–276.

350

Literaturverzeichnis

Szekely, Ivan: Freedom of Information Versus Privacy, in: Gutwirth/Poullet/Hert et al. (Hrsg.), Reinventing Data Protection?, S. 293–316. Dordrecht, London 2009. Taddicken, Monika: The ‚Privacy Paradox‘ in the Social Web. The Impact of Privacy Concerns, Individual Characteristics, and the Perceived Social Relevance on Different Forms of SelfDisclosure. In: Journal of Computer-Mediated Communication (JCMC) 2014 (Jg. 19 Nr. 2), S. 248–273. Taeger, Jürgen/Gabel, Detlev (Hrsg.): Kommentar zum BDSG und Datenschutzvorschriften des TKG und TMG. 2. Aufl. Frankfurt a. M. 2013 (zitiert: „Bearbeiter, in: Taeger/Gabel, BDSG“). Thiedeke, Udo: Einleitung, in: Thiedeke (Hrsg.), Virtuelle Gruppen, Charakteristika und Problemdimensionen, S. 7–19. 2. Aufl. Wiesbaden 2003. Thiedeke, Udo (Hrsg.): Virtuelle Gruppen. Charakteristika und Problemdimensionen. 2. Aufl. Wiesbaden 2003. Thode, Jan-Christoph: Der gläserne User. Regelungen und Regelungsbedarf für das Profiling. In: Privacy in Germany (PinG) 2015, S. 1–8. Thüsing, Gregor (Hrsg.): Beschäftigtendatenschutz und Compliance. Effektive Compliance im Spannungsfeld von BDSG, Persönlichkeitsschutz und betrieblicher Mitbestimmung. 2. Aufl. München 2014 (zitiert: „Bearbeiter, in: Thüsing, Beschäftigtendatenschutz“). Tillmann, Henning: Browser Fingerprinting. Tracking ohne Spuren zu hinterlassen. 20.10.2013. Abrufbar unter: http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20 Browser%20Fingerprinting.pdf (Stand: 09.07.2016). Tinnefeld, Marie-Theres/Buchner, Benedikt/Petri, Thomas: Einführung in das Datenschutzrecht. Datenschutz und Informationsfreiheit in europäischer Sicht. 5. Aufl. München 2012. Tinnefeld, Marie-Theres/Petri, Thomas/Brink, Stefan: Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz. Eine erste Analyse und Bewertung. In: MultiMedia und Recht (MMR) 2010, S. 727–735. Tippelt, Florian/Kupferschmitt, Thomas: Social Web: Ausdifferenzierung der Nutzung  – Potenziale für Medienanbieter. Ergebnisse der ARD/ZDF-Online-Studie 2015. In: Media Perspektiven (MP) 2015, S. 442–452. Tomorrow Focus Media: Social Trends Studie. Social Media. 01.04.2015. Abrufbar unter: http:// www.tomorrow-focus-media.de/fileadmin/customer_files/public_files/downloads/studien/ TFM_Studie_SocialTrends_SocialMedia_2015.pdf?PHPSESSID=9cf760e62a6df 23de015b7176660ac36 (Stand: 06.04.2016). Tsakyrakis, Stavros: Proportionality: An assault on human rights? In: International Journal of Constitutional Law (IJCL) 2009 (Jg. 7 Nr. 3), S. 468–493. Twitter: About. Abrufbar unter: https://about.twitter.com/company (Stand: 13.12.2016). Twitter: Analytics. Abrufbar unter: https://analytics.twitter.com/about (Stand: 06.08.2016). Twitter: Anpassen Deines Profils. Abrufbar unter: https://support.twitter.com/articles/333116# (Stand: 10.05.2016). Twitter: Erstelle ein Twitter Profil für Unternehmen. Abrufbar unter: https://business.twitter. com/de/basics/create-a-twitter-business-profile.html (Stand: 07.07.2016).

Literaturverzeichnis

351

Twitter: Homepage. Abrufbar unter: http://www.twitter.com (Stand: 05.07.2016). Twitter: Registrierung. Abrufbar unter: https://twitter.com/signup (Stand: 10.05.2016). Twitter: What are Promoted Trends? Abrufbar unter: https://support.twitter.com/articles/282142 -what-are-promoted-trends# (Stand: 18.12.2016). Twitter: What are Promoted Tweets? Abrufbar unter: https://support.twitter.com/articles/142101 -what-are-promoted-tweets# (Stand: 18.12.2016). Tzanou, Maria: Data protection as a fundamental right next to privacy? ‚Reconstructing‘ a not so new right. In: International Data Privacy Law (IDPL) 2013, S. 88–99. Tzanou, Maria: Balancing Fundamental Rights: United in Diversity? Case Law of the European Court of Justice on Data Protection. In: Croatian Yearbook of European Law and ­Policy (CYELP) 2010, S. 53–74. Unbekannter Autor: NSA slides explain the PRISM data-collection program. Artikel v. 06.06. 2013. In: The Washington Post [Online]. Abrufbar unter: http://www.washingtonpost.com/ wp-srv/special/politics/prism-collection-documents/ (Stand: 11.08.2016). Unbekannter Autor: Whatsapp und Facebook werden verzahnt – ein wenig. In: Heise [Online]. Abrufbar unter: http://heise.de/-3305057 (Stand: 02.09.2016). Unseld, Florian: Die Kommerzialisierung personenbezogener Daten. München 2010. Unterreiner, Viktoria: Facebook-Entwickler verkaufen Daten weiter. Artikel v. 01.11.2010. In: Die Welt [Online]. Abrufbar unter: http://www.welt.de/wirtschaft/webwelt/article10676080/ Facebook-Entwickler-verkaufen-Daten-weiter.html (Stand: 29.07.2016). Urbatsch, René-Claude: Die Entwicklung von Credit-Scoring Systemen, in: Sokol (Hrsg.),­ Living by Numbers, S. 68–85. Düsseldorf 2005. Vedder, Christoph/Heintschel von Heinegg, Wolff (Hrsg.): Europäisches Unionsrecht. EUV, AEUV, Grundrechte-Charta. Baden-Baden 2012 (zitiert: „Bearbeiter, in: Vedder/Heintschel von Heinegg, EU-Recht“). Veil, Winfried: DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip. Eine erste Bestandsaufnahme. In: Zeitschrift für Datenschutz (ZD) 2015, S. 347–353. Venzke-Caprarese, Sven: Social Media Monitoring. Analyse und Profiling ohne klare Grenzen? In: Datenschutz und Datensicherheit (DuD) 2013, S. 775–779. Voigt, Paul: Datenschutz bei Google. In: MultiMedia und Recht (MMR) 2009, S. 377–384. Voigt, Paul: Gesprächsaufzeichung im Servicecallcenter – Opt-In oder Opt-Out? Eine datenschutzrechtliche Betrachtung. In: Datenschutz und Datensicherheit (DuD) 2008, S. 780–784. Voigt, Paul/Alich, Stefan: Facebook-Like-Button und Co. Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber. In: Neue Juristische Wochenschrift (NJW) 2011, S. 3541–3544. Voltmer, Leonhard: Computerlinguistik für die Terminografie im Recht. Tübingen 2006. Voßhoff, Andrea/Hermerschmidt, Sven: Endlich! Was bringt uns die Datenschutz-Grundverordnung? In: Privacy in Germany (PinG) 2016, S. 56–59. Vries, Sybe de: Balancing Fundamental Rights with Economic Freedoms According to the European Court of Justice. In: Utrecht Law Review (ULR) 2013 (Jg. 9 Nr. 1), S. 169–192.

352

Literaturverzeichnis

Wagner, Polk: On Software Regulation. In: Southern California Law Review (SCLR) 2005, S. 457–519. Wallau, Philipp: Die Menschenwürde in der Grundrechtsordnung der Europäischen Union. Göttingen 2010. WD: Social Media und politische Teilhabe. WD 10 -3000/026-2011. Ausarbeitung. 12.04.2011. Abrufbar unter: https://www.bundestag.de/blob/412032/f17ad58cc4220c3a7dece786fb6a3d d6/wd-10-026-11-pdf-data.pdf (Stand: 24.06.2016). Weichert, Thilo: Informationstechnische Arbeitsteilung und datenschutzrechtliche Verantwortung. Plädoyer für eine Mitverantwortlichkeit bei der Verarbeitung von Nutzerdaten. In: Zeitschrift für Datenschutz (ZD) 2014, S. 605–610. Weichert, Thilo: Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz? Zugleich Besprechung von Bull, Hans Peter, Netzpolitik: Freiheit und Rechtsschutz im Internet, 2013, 154 Seiten. In: Datenschutz und Datensicherheit (DuD) 2013, S. 246–249. Weichert, Thilo: Datenschutz bei Internetveröffentlichungen. In: Verbraucher und Recht (VuR) 2009 (9), S. 323–330. Weichert, Thilo: Datenschutz im Wettbewerbs- und Verbraucherrecht. In: Verbraucher und Recht (VuR) 2006, S. 377–383. Weichert, Thilo: Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung. In: Neue Juristische Wochenschrift (NJW) 2001, S. 1463–1469. Weichert, Thilo: Zur Ökonomisierung des Rechts auf informationelle Selbstbestimmung, in: Bäumler (Hrsg.), E-Privacy, Datenschutz im Internet, S. 158–184. Wiesbaden 2000. Weischer, Jan-Willem: Das Grundrecht auf Vertragsfreiheit und die Inhaltskontrolle von Absatzmittlungsverträgen. Zum Maßstab der AGB-Inhaltskontrolle des Bundesgerichtshofes. Berlin 2013. Wellman, Barry: Die elektronische Gruppe als soziales Netzwerk, in: Thiedeke (Hrsg.), Virtuelle Gruppen, Charakteristika und Problemdimensionen, S.  126–159. 2. Aufl. Wiesbaden 2003. Wellman, Barry: The Community Question. The Intimate Networks of East Yorkers. In: Ame­ rican Journal of Sociology (AJS) 1979 (Jg. 84 Nr. 5), S. 1201–1231. Werner, Andreas: Social Media. Analytics & Monitoring. Verfahren und Werkzeuge zur Optimierung des ROI. Heidelberg 2012. Westphalen, Friedrich Graf von/Thüsing, Gregor (Hrsg.): Vertragsrecht und AGB-Klauselwerke, Teil „Klauselwerke“. 38. Ergl. 2016 (zitiert: „Bearbeiter, in: Westphalen/Thüsing, Vertragsrecht und AGB“). Wewel, Max-Christoph: Statistik im Bachelor-Studium der BWL und VWL. Methoden, Anwendung, Interpretation. 2. Aufl. München/Boston 2011. Wiemeler, Manfred/Goebel, Peter/Frenzel, Annette: Einleitung, in: SCHUFA Holding AG (Hrsg.), Die SCHUFA – seit jeher im Dienste auch des Verbrauchers, Grundlagenschrift, S. 3–10. Wiesbaden 2007.

Literaturverzeichnis

353

Windeck, Christof: Facebook nimmt schwedisches Rechenzentrum in Betrieb. Artikel v. 12.06. 2013. In: Magazin für professionelle Informationstechnik (iX). Abrufbar unter: http://www. heise.de/ix/meldung/Facebook-nimmt-schwedisches-Rechenzentrum-in-Betrieb-1886765. html (Stand: 29.07.2016). Windisch, Florian: „Abwägung“ als Relationsnorm-Konstruktion, in: Müller/Mastronardi (Hrsg.), Abwägung, Herausforderung für eine Theorie der Praxis, S. 19–86. Berlin 2014. Wintermeier, Martin: Inanspruchnahme sozialer Netzwerke durch Minderjährige. Datenschutz aus dem Blickwinkel des Vertragsrechts. In: Zeitschrift für Datenschutz (ZD) 2012, S. 210–214. Witte, Bruno de: Balancing of Economic Law and Human Rights by the European Court of Justice, in: Dupuy/Petersmann/Francioni (Hrsg.), Human Rights in International Investment Law and Arbitration, S. 197–207. Oxford, New York 2009. Woertge, Hans-Georg: Die Prinzipien des Datenschutzrechts und ihre Realisierung im geltenden Recht. Heidelberg 1984. Wolff, Amadeus/Brink, Stefan (Hrsg.): Beck’scher Online-Kommentar Datenschutzrecht. 18. Ed. München 2016 (zitiert: „Bearbeiter, in: Wolff/Brink, BeckOK DatenSR“). World of Warcraft: Homepage. Abrufbar unter: http://eu.battle.net/wow/de/ (Stand: 29.07.2016). XING: Datenschutzerklärung. Abrufbar unter: https://www.xing.com/privacy (Stand: 06.08.2016). XING: E-Recruiting. Abrufbar unter: https://www.xing.com/de/jobs/recruiting (Stand: 02.09.2016). XING: Homepage. Abrufbar unter: http://www.xing.com (Stand: 05.07.2016). XING: Nutzungsbedingungen v. 07.03.2016. Abrufbar unter: https://www.xing.com/terms (Stand: 06.08.2016). XING: Registrierung. Abrufbar unter: http://www.xing.com/ (Stand: 10.05.2016). XING: Zeigen Sie Ihre Stärken als Arbeitgeber. Abrufbar unter: https://www.xing.com/com panies/contract/select_package (Stand: 07.07.2016). XING AG: Geschäftsbericht 2015. Abrufbar unter: https://corporate.xing.com/fileadmin/IR/ XING_AG_ergebnisse_GJ_2015.pdf (Stand: 20.09.2016). Xu, Guandong/Li, Lin/Zhang, Yanchun: Web Mining and Social Networking. Techniques and Applications. New York 2010. YouTube: Homepage. Abrufbar unter: http://www.youtube.com/ (Stand: 29.07.2016). Zanfir, Gabriela: Tracing the Right to Be Forgotten in the Short History of Data Protection Law. The „New Clothes“ of an Old Right, in: Gutwirth/Leenes/Hert (Hrsg.), Reforming European Data Protection Law, S. 227–249. Dordrecht 2015. Zanfir, Gabriela: The right to Data portability in the context of the EU data protection reform. In: International Data Privacy Law (IDPL) 2012, S. 149–162. Zech, Herbert: Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“. Gibt es für Anwenderdaten ein eigenes Vermögensrecht bzw. ein übertragbares Ausschließlichkeitsrecht? In: Computer und Recht (CR) 2015, S. 137–146.

354

Literaturverzeichnis

Ziebarth, Wolfgang: Das Datum als Geisel. Klarnamenspflicht und Nutzeraussperrung bei Facebook. In: Zeitschrift für Datenschutz (ZD) 2013, S. 375–379. Ziegler, Cai: Die Vermessung der Meinung. Sentiment Detection: maschinelles Textverständnis. In: Magazin für professionelle Informationstechnik (iX) 2006 (Nr. 10), S. 106–109. Zils, Eva: Social Media Recruiting Studie_2014. Auswertung Deutschland. 2014. Abrufbar unter: http://www.socialmedia-recruiting.com/Downloads/SMR14-DE-Report.pdf (Stand: 25.02.2014). Zscherpe, Kerstin: Anforderungen an die datenschutzrechtliche Einwilligung im Internet. In: MultiMedia und Recht (MMR) 2004, S. 723–727. Zuckerberg, Mark: Free Basics protects net neutrality. To connect a billion people, India must choose facts over fiction. Artikel v. 28.12.2015. In: Times of India [Online]. Abrufbar unter: http://blogs.timesofindia.indiatimes.com/toi-edit-page/free-basics-protects-net-neutrality/ (Stand: 29.07.2016). Zuiderveen Borgesius, Frederik: Personal data processing for behavioural targeting. Which­ legal basis? In: International Data Privacy Law (IDPL) 2015, S. 163–176. Zweifel, Peter/Eisen, Roland: Versicherungsökonomie. Berlin/Heidelberg 2000.

Rechtsprechungsverzeichnis EGMR, Urt. v. 06.09.1978 – App. 5029/71 (Klass and others vs. Germany). EGMR, Urt. v. 26.03.1987 – App. 9248/81 (Leander vs. Sweden). EGMR, Urt. v. 23.09.1994 – App. 19823/92 (Hokkanen vs. Finnland). EGMR, Urt. v. 24.04.1999 – App. 2508/94,28331/95, 28443/95 (Chassagnou u. a. vs. Frankreich). EGMR, Urt. v. 04.05.2000 – App. 28341/95 (Rotaru vs. Romania). EGMR, Urt. v. 20.12.2005 – App. 71611/01 (Wisse vs. France). EGMR, Urt. v. 05.10.2006 – App. 14881/03 (Zakharov vs. Russia). EGMR, Urt. v. 25.11.2008 – App. 36919/02 (Armonienê vs. Lithuania). EGMR, Urt. v. 04.12.2008 – App. 30562/04, 30566/04 (S. and Marper vs. The United Kingdom). EGMR, Urt. v. 02.09.2010 – App. 35623/05 (Uzun vs. Germany). EGMR, Entsch. über die Zul. v. 05.10.2010 – App. 420/07 (Köpke vs. Germany). EGMR, Urt. v. 18.10.2011 – App. 16188/07 (Khelili vs. Switzerland). EGMR, Urt. v. 07.02.2012 – App. 39954/08 (Axel Springer vs. Germany). EGMR, Urt. v. 13.11.2012 – App. 24029/07 (M. M. vs. The United Kingdom). EGMR, Urt. v. 29.04.2014 – App. 52019/07 (L. H. vs. Latvia). EGMR, Urt. v. 03.09.2015 – App. 22588/08 (Soro vs. Estonia). EGMR, Urt. v. 27.10.2015 – App. 62498/11 (R. E. vs. The United Kingdom). EGMR, Urt. v. 12.01.2016 – App. 37138/14 (Szabó and Vissy vs. Hungary).

EuGH, Urt. v. 12.11.1969 – C-29/69 – Slg. 1969, 419 – ECLI:EU:C:1969:57 (Erich Stauder vs. Stadt Ulm, Sozialamt). EuGH, Urt. v. 22.11.1977 – C-43/77 – Slg. 1977, 2175 – ECLI:EU:C:1977:188 (GmbH Belgischen Rechts „Industrial Diamont Supplies“ vs. Luigi Riva). EuGH, Urt. v. 17.12.1980  – C-149/79  – Slg. 1980, 3881  – ECLI:EU:C:1980:297 (Kommission vs. Belgien). EuGH, Urt. v. 26.05.1981  – C-157/80  – Slg. 1981, 1391  – ECLI:EU:C:1981:120 (Siegfried Ewald Rinkau). EuGH, Urt. v. 18.05.1982 – C-115/81, C-116/81 – Slg. 1982, 1665 – ECLI:EU:C:1982:183 (Rezuguia Adoui und Dominique Cornuaille vs. Belgien).

356

Rechtsprechungsverzeichnis

EuGH, Urt. v. 28.10.1982 – C-135/81 – Slg. 1982, 3799 – ECLI:EU:C:1982:371 (Agences de voyages vs. Kommission). EuGH, Urt. v. 14.09.2000 – C-369/98 – Slg. 2000, I-6751 – ECLI:EU:C:2000:443 (The Queen vs. Trevor Robert und Penny Fisher). EuGH, Urt. v. 20.05.2003  – C-465/00, C-138/01, C-139/01  – Slg. 2003, I-4989  – ECLI: EU:C:2003:294 (Rechnungshof vs. Österreichischer Rundfunk u.a). EuGH, Urt. v. 06.11.2003  – C-101/01  – Slg. 2003, I-12992  – ECLI:EU:C:2003:596 (Bodil Lindqvist). EuGH, Urt. v. 29.01.2008 – C-275/06 – Slg. 2008, I-271 – ECLI:EU:C:2008:54 (Productores de Música de Espana (Promusicae) vs. Telefónica de Espana SAU). EuGH, Urt. v. 05.06.2008 – C-534/06 – Slg. 2008, I-4129 – ECLI:EU:C:2008:319 (Industria Lavorazione Carni Ovine Srl. vs. Regione Lazio). EuGH, Urt. v. 16.12.2008  – C-524/06  – Slg. 2008, I-9705  – ECLI:EU:C:2008:724 (Heinz­ Huber vs. Bundesrepublik Deutschland). EuGH, Urt. v. 16.12.2008 – C-73/07 – Slg. 2008, I-9831 – ECLI:EU:C:2008:727 (Tietosuojavaltuutettu vs. Satakunnan Markkinapörssi Oy und Satamedia Oy). EuGH, Urt. v. 07.05.2009 – C-553/07 – Slg. 2009, I-3889 – ECLI:EU:C:2009:293 (College van burgemeester en wethouders van Rotterdam vs. M. E. E. Rijkeboer). EuGH, Urt. v. 08.07.2010 – C-343/09 – Slg. 2010, I-7023 – ECLI:EU:C:2010:419 (Afton Chemical Ltd. vs. Secretary of State for Transport). EuGH, Urt. v. 09.11.2010 – C-92/09, C-93/09 – Slg. 2010, I-11117 – ECLI:EU:C:2010:662 (Volker und Markus Schecke GbR und Hartmut Eifert vs. Land Hessen). EuGH, Urt. v. 05.05.2011 – C-543/09 – Slg. 2011, I-3486 – ECLI:EU:C:2011:279 (Deutsche Telekom AG vs. Bundesrepublik Deutschland). EuGH, Urt. v. 21.07.2011 – C-2/10 – Slg. 2011, I-6582 – ECLI:EU:C:2011:502 (Azienda AgroZootecnica Franchini Sarl. und Eolica di Altamura Srl. vs. Regione Puglia). EuGH, Urt. v. 25.10.2011 – C-509/090, C-161/10 – Slg. 2011, I-10302 – ECLI:EU:C:2011:685 (eDate Advertising GmbH vs. X und Olivier Martinez). EuGH, Urt. v. 24.11.2011 – C-468/10, C-469/10 – Slg. 2011, I-12186 – ECLI:EU:C:2011:777 (ASNEF, FECEMD vs. Administración del Estado). EuGH, Urt. v. 16.02.2012 – C-360/10 – [digitale Slg.] ECLI:EU:C:2012:85 (Belgische Vereniging van Auteurs, Componisten en Uitgevers CVBA (SABAM) vs. Netlog N.V). EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12. – [digitale Slg.] ECLI:EU:C:2014:238 (Digi­ tal Rights Ireland vs. Minister for Communications, Marine and Natural Resources u.a). EuGH, Urt. v. 14.05.2014  – C-131/12  – [digitale Slg.] ECLI:EU:C:2014:317 (Google und­ Google Spain vs. Agencia Española de Protecctión de Datos (AEPD), Mario Consteja­ González). EuGH, Urt. v. 01.10.2015 – C-230/14 – [digitale Slg.] ECLI:EU:C:2015:639 (Weltimmo s. r. o. vs. Nemzeti Adatvédelmi és Információszabadság Hatóság)

Rechtsprechungsverzeichnis

357

EuGH, Urt. v. 06.10.2015  – C-362/14  – [digitale Slg.] ECLI:EU:C:2015:650 (Maximilian Schrems vs. Data Protection Commissioner). EuGH, Urt. v. 28.10.2016 – C-582/14 – [digitale Slg.] ECLI:EU:C:2016:779 (Patrick Breyer vs. Bundesrepublik Deutschland). EuGH, Urt. V. 04.05.2017 – C-13/16 – [digitale Slg.] ECLI:EU:C:2017:336 (Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde vs. Rīgas satiksme).

BVerfG, Urt. v. 16.01.1957 – 1 BvR 253/5 – BVerfGE, 6, S. 32–45 (Elfes). BVerfG, Urt. v. 15.01.1958 – 1 BvR 400/51 – BVerfGE, 7, S. 198–230 (Lüth). BVerfG, Beschl. v. 15.12.1965 – 1 BvR 513/65 – BVerfGE, 19, S. 342–353 (Wencker). BVerfG, Beschl. v. 25.04.1972 – 1 BvL 13/67 – BVerfGE, 33, S. 52–90 (öffentlich zugängliche Quellen). BVerfG, Beschl. v. 29.05.1974 – BvL 52/71 – BVerfGE, 37, S. 271–305 (Solange I). BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83 – BVerfGE, 65, S. 1–71 (Volkszählung). BVerfG, Beschl. v. 22.10.1986 – 2 BvR 197/83 339–388, 73 (Solange-II). BVerfG, Urt. v. 12.10.1993  – 2 BvR 2134/92, 2 BvR 2159/92  – BVerfGE, 89, S.  155–213 (Maastricht). BVerfG, Beschl. v. 07.06.2000 – 2 BvL 1/97 – BVerfGE, 102, S. 147–166 (Bananenmarkt­ ordnung). BVerfG, Beschl. v. 14.12.2000 – 2 BvR 1741/99, 2 BvR 276/00, 2 BvR 2061/00 – BVerfGE, 103, S. 21–41 (Genetischer Fingerabdruck I). BVerfG, Beschl. v. 09.01.2001 – 1 BvR 1036/99 – NJW 2001, S. 1267–1268. BVerfG, Urt. v. 12.04.2005 – 2 BvR 581/01 – BVerfGE, 112, S. 304–321 (Global Positioning System). BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04 – BVerfGE, 115, S. 166 (Telekommunikationsverbindungsdaten). BVerfG, Beschl. v. 04.04.2006  – 1 BvR 518/02  – BVerfGE, 115, S.  320–381 (Rasterfahndung II). BVerfG, Urt. v. 27.02.2008  – 1 BvR 370/07, 1 BvR 595/07  – BVerfGE, 120, S.  274–350 (Online-Durchsuchung). BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074/05 – BVerfGE, 120, S. 378–433 (KFZ-Kennzeichenerfassung). BVerfG, Urt. v. 30.06.2009  – 2 BvE 2/08, 2 BvE 5/08, 2 BvR 1010, 2 BvR 1022, 2 BvR 1259/08, 2 BvR 182/09 – BVerfGE, 123, S. 267–437 (Lissabon). BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 – BVerfGE, 125, S. 260–385 (Vorratsdatenspeicherung).

358

Rechtsprechungsverzeichnis

BVerfG, Urt. v. 24.11.2010 – BvF 2/05 – BVerfGE, 128, S. 1–90 (Gentechnikgesetz). BVerfG, Beschl. v. 24.01.2012  – 1 BvR 1299/05  – BVerfGE, 130, S.  151–212 (Zuordnung dyna­mischer IP-Adressen). BVerfG, Urt. v. 24.01.2013 – 1 BvR 1215/07 – BVerfGE, 133, S. 277–377 (Antiterrordateigesetz). BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167/08 – NJW 2013, S. 3086–3088 (Auskunft bei Berufsunfähigkeitsversicherung). BVerfG, Beschl. v. 15.12.2015  – 2 BvR 2735/14  – NJW 2016, S.  1149–1162 (Europäische Haftbefehle). BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09 – NJW 2016, S. 1781–1814 (BKAGesetz).

BVerwG, Beschl. v. 25.02.2016 – 1 C 28/14 – BeckRS 2016, 44371 (Facebook Fanpages).

BGH, Urt. v. 16.07.2008 – VIII ZR 348/06 – BGHZ, 177, S. 253–272 (Payback). BGH, Urt. v. 23.06.2009 – VI ZR 196/08 – BGHZ, 181, S. 328–346 (www.spickmich.de). BGH, Urt. v. 11.11.2009 – VIII ZR 12/08 – NJW 2010, S. 864–868 (Happy Digits).

KG Berlin, Urt. v. 24.01.2014 – 5 U 42/12 – ZD 2014, S. 412–421 (Freunde Finden). OLG Brandenburg, Urt. v. 11.01.2006 – 7 U 52/05 – MMR 2006, S. 405–409 (Bestätigende Wiederholung). OVG Schleswig, Beschl. v. 22.04.2013 – 4 MB 11/13 – NJW 2013, S. 1977–1979 (Anordnung gegenüber Facebook). OVG Schleswig, Urt. v. 04.09.2014  – 4 LB 20/13  – ZD 2014, S.  643–646 (Facebook Fan­ pages).

LG Berlin, Urt. v. 30.04.2013 – 15 O 92/12 – NJW 2013, S. 2605–2607 (Anwendbares Recht für Datenschutzrichtlinie eines IT-Anbieters). LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15 – MMR 2016, S. 328–332 (Like-Button). LG Hamburg, Urt. v. 07.08.2009 – 324 O 650/08 – BeckRS 2009, 23812.

Sachwortverzeichnis Abwägung –– Akteure  139, 160 –– Belange  49, 55, 116, 191 –– Gewichtung 59 –– Kriterien  51, 83, 106, 120, 224 –– Mechanismen  49, 57, 79, 117, 137, 211 –– Prinzip  27, 37 –– verbal-argumentative Strategien  40 –– Werkzeuge 47 Abwägungsgesetz 42 Allgemeines Persönlichkeitsecht  116 Anbieter-Nutzer-Verhältnis  98, 257 Angemessenheit  41, 80 Anonymisierung  86, 227 Anwendungsvorrang des Unionsrechts  129 Arbeitnehmerfreizügigkeit 30 Archivzwecke 102 Art. 29-Datenschutzgruppe 41 Aufsichtsbehörden  77, 220 Auftragsdatenverarbeitung  93, 243 Auskunftsrecht 70 Auswirkungen  99, 108, 257 BDSG 36 Behavioral Targeting  179, 194 berechtigte Erwartungen  99 Berichtigung 71 Beschäftigungsverhältnis  98, 166, 256 Betaversionen 176 Betroffene  87, 232 Betroffenenzahl  91, 107, 239 Big Data  177, 210 Binnenmarkt  55, 112, 194 BVerfG  116, 118, 122, 131, 316 Cloud  177, 210 Computerlinguistik 158 Cookies  90, 169, 238 Data Mining  158

Datenhändler 174 Datenkategorien  81, 84 Datenmenge 91 Datenportabilität  27, 71, 213 Datenschutzerklärung 248 Datenschutzfolgenabschätzung 75 Dienstleistungsfreiheit  30, 194 Direktwerbung  56, 72, 91, 194, 240 Diskriminierung 99 Dokumentationspflichten 75 Drittlandübermittlung  60, 92, 121, 242 DS-GVO  33, 36 DS-RL  33, 36 EGMR  31, 40, 81, 110 eigener Geschäftszweck  269 Eingriffsintensität 41 Einwilligung  31, 50, 94, 244, 285 EMRK 30 E-PrivacyRL  34, 98, 238 Erforderlichkeit  60, 79, 80, 198 Erlaubnisvorbehalt  31, 95, 309 Ermessen 50 Erwägungsgründe 33 Erwartungen 257 EuGH  30, 33, 79, 106 Forschungszwecke 102 Free Basics  169 Generalklausel  49, 117 geschäftsmäßige Übermittlung  269 Gesetzlicher Rahmen  78 gesetzliche Verpflichtung  61 Gewichtsformel 43 GG 35 Google und Google Spain  66, 109 GRC 30 Grundfreiheiten  30, 41 Grundrecht auf den Schutz personen­ bezogener Daten  30, 31, 79, 192

360

Sachwortverzeichnis

Grundrecht auf die Achtung des Privatlebens  30, 31, 79, 192 Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informa­ tionstechnischer Systeme  35, 116 Grundrecht auf informationelle Selbstbestimmung 116 Grundrechte  30, 35 –– Abgrenzung 32 –– Beschränkung 31 –– Schutzbereich 32 –– Wesensgehalt 41

Maschinelles Lernen  158 Medienpräsenz 183 Medienreichhaltigkeit 183 Meinungsfreiheit  36, 55, 103, 116, 260 Menschenwürde 25 Menschenwürdekern 267 Monitoring  171, 194 Netzwerkeffekt  150, 183 Niederlassung  66, 206, 207 Niederlassungsfreiheit  30, 194 Numéraire 44 Nutzer 161

Haftung 76 Identitätsdiebstahl 99 informationelle Selbstbestimmung  25, 35, 68, 94, 211, 244 Informationelles Ungleichgewicht siehe Ungleichgewicht Informationsfreiheit  55, 103, 262 Informationspflichten 70 Informationsrechte 212 Inkommensurabilität 46 Interessen –– Begriffsdefinition 160 –– lebenswichtige Interessen  56 –– öffentliche Interessen  101 Interessenabwägung  28, 59 –– ausdrücklich angeordnete  59 –– Generalklausel  59, 196 Kapitalverkehrsfreiheit 30 Kerntätigkeit  92, 242 Kinder  87, 232 Klarnamen 201 Kollisionsgesetz 42 Kommerzialisierung 301 Kontaktdichte 182 Kreditwirtschaft  172, 237 Kumulation 136 Löschung 71 Lüth 40 margin of appreciation  112 Marketing 163 Marktmacht 184

objektive Werteordnung  40 öffentliche Sicherheit  56 Personenbezogene Daten  85 Personenbezug  63, 201, 226, 279 Plug and Play  186 Post Privacy  309 praktischer Konkordanz  40 Prinzipien 42 Privacy –– Privacy by Default  215 –– Privacy by Design  215 –– Privacy Paradox  180 Privatleben 32 Profiling  89, 90, 111, 236 Pseudonymisierung  85, 217, 227 Recht auf Vergessenwerden  72, 214, 259 Rechtsunsicherheit  46, 60, 198 Recruiting 166 Regeln 42 Religionsfreiheit  35, 116 risikobasierter Ansatz  306 Rollenverteilung 187 Sanktionen 76 Schadensersatz 76 Scoring  89, 121, 173, 236 Selbstbestimmung siehe informationelle Selbstbestimmung Sensible Daten  84, 108, 120, 224 Smart Life  176 Social Media Mining  158 Social Plugin  158

Sachwortverzeichnis Soziales Online-Netzwerk –– Akteure  147 –– Begriffsdefinition 143 –– Geschäftsmodelle 149 –– Verbreitung 147 Standardisierung  74, 219 Statistik 102 Strukturelles Ungleichgewicht siehe Ungleichgewicht Technikneutralität 297 technische und organisatorische Maßnahmen 73 Terrorismusbekämpfung 57 TKG 36 TMG 36 Tracking-Werkzeuge  34, 90, 98, 238 Trade-offs 44 Ungleichgewicht –– informationelles 185 –– strukturelles 183 unternehmerische Freiheit  55 Verantwortliche Stelle siehe Verantwortlichkeit

Verantwortlichkeit  64, 65, 204, 277 Verbreitungspotenzial 107 Verfahrensgrundrechte 55 Verfassung 35 Verfassungsidentität 132 Verhaltensregeln 74 Verhältnismäßigkeit  58, 79, 80, 119, 195 Vernetzung  187, 251 veröffentlichte Daten  228 Versicherungsrisiko  173, 237 Vertragsverhältnis  69, 97, 252 Voreinstellungen 73 Warenverkehrsfreiheit 30 Webdienste 176 Web Mining  158 Wechselwirkungen 274 Werbung  151, 164, 168, 194 Wertschöpfung 149 Widerspruch  71, 72 Wissenschaft 102 zeitliche Aspekte  81, 100, 109 Zertifizierung 74 Zweckbindungsgrundsatz  31, 67, 209

361