Aktuelle Rechtsfragen aus der Marktforschungspraxis Soziale Medien, Datenschutz und Marktforschung (Teil 1)

Dr. Ralf Tscherwinka (Dr. Hönig Rechtsanwälte)

Nach einem ersten Einstieg in dieses Thema in unserer Kolumne vom September 2012 werden die tatsächlichen und rechtlichen Themen im Folgenden vertieft, erweitert sowie systematisch dargestellt. Beabsichtigt ist ein Überblick über die rechtlichen und tatsächlichen Begebenheiten, Grundregeln und Weichenstellungen für die Marktforschung im Bereich der Sozialen Medien. Nach wie vor ist dieser Themenbereich juristisches Neuland, auch wenn einzelne Aspekte in der Fachliteratur anfluten. Der Beitrag ist in zwei Teile aufgeteilt.

Im heutigen Teil 1 werden folgende Themen erörtert:

• Erhebung und Verarbeitung personenbezogener Daten in Sozialen Medien zu Zwecken der Marktforschung
• Was sind personenbezogene Daten?
• Anwendungsbereiche des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) für Bestandsdaten, Nutzungsdaten und Inhaltsdaten
• Erstellung von Nutzungsprofilen
• Erhebung und Verarbeitung personenbezogener Daten aus allgemein zugänglichen Quellen

In Teil 2 wird der Beitrag in der April Kolumne fortgesetzt mit folgenden Themen:

• Social Monitoring und § 30 a BDSG
• Grundsatz der Direkterhebung
• Behavioural Advertising / Cookies
• Apps
• Datenschutzrechtliche Verantwortlichkeit von Webseitenbetreibern, die den Like-Button verwenden
• Bewertungsportale im Internet
• Einwilligungsvoraussetzungen gemäß § 13 TMG
• Unternehmenseigener Internetauftritt

1. Thema unserer zweiteiligen Kolumne ist, inwieweit die Erhebung und die Verarbeitung personenbezogener Daten in Sozialen Medien zu Zwecken der Marktforschung mit den gesetzlichen Bestimmungen des Datenschutzrechts in Einklang steht oder gebracht werden kann. Ich vertrete die Auffassung, dass Soziale Medien einen weiten Anwendungsbereich für Markt- und Meinungsforschung bieten – gerade unter datenschutzrechtlichen Aspekten. Im Folgenden sollen daher auch Gestaltungsmöglichkeiten aufgezeigt werden.

a) Zweck des Bundesdatenschutzgesetzes (BDSG) ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Dem Schutz des § 1 Abs. 1 BDSG unterliegen nur natürliche Personen, nicht juristische Personen (letzteres gilt z.B. in Österreich, Dänemark oder Luxemburg). Juristische Personen unterliegen allerdings in Deutschland dem Standesrecht des ADM. Schutzgegenstand ist das Allgemeine Persönlichkeitsrecht und das hieraus abgeleitete Recht auf informationelle Selbstbestimmung.

Das Recht auf informationelle Selbstbestimmung beinhaltet nach dem grundlegenden Urteil des Bundesverfassungsgerichts (BVerfG 65, 1) die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. „Mit dem Recht auf informationelle Selbstbestimmung wäre eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was, wann und bei welcher Gelegenheit über sie weiß“.

Im Datenschutzrecht gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt: Was nicht ausdrücklich erlaubt ist, ist verboten. Gemäß § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Hier handelt es sich um die zentrale Norm des Datenschutzrechts. Wortgleich gilt dies auch im Telemediengesetz (TMG). Gemäß § 12 TMG darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

b) Worauf bezieht sich nun der Persönlichkeitsschutz im Netz? Zum einen handelt es sich um den Schutz vor der Bildung, Speicherung, Nutzung und Weitergabe von statischen Daten oder Bewegungsdaten der Internetnutzer. Diese Daten können sich zu Mustern (sogenannten Profilen) ergänzen. Und zwar unabhängig davon, ob die Daten freiwillig oder unfreiwillig offenbart wurden. Datenschutzrechtlich ist jede einzelne Erhebung, Speicherung, Verarbeitung oder Ermittlung, also jeglicher Datenverarbeitungsvorgang gesondert zu prüfen. Dabei geht es sowohl um die Nutzung bereits erhobener als auch vorhandener personenbezogener Daten. Aus Marktforschungssicht geht es um die Gewinnung und Nutzung marktforschungsrelevanter Informationen über Nutzer bzw. Nutzergesamtheiten.

Die im Netz gespeicherten Daten können zu völlig unterschiedlichen Zwecken genutzt oder gespeichert werden. Sie können mit anderen Informationen zusammengefügt werden. Technisch möglich ist nicht nur die Erstellung anonymer, sondern pseudonymisierter und sogar individueller Nutzungsprofile. Dass all dies nur zur anonymen Auswertung zu Zwecken der Markt- und Meinungsforschung erfolgen darf (und nicht zur Schaltung personalisierter Werbung oder z.B. unter Verstoß gegen den standesrechtlichen Trennungsgrundsatz) versteht sich für die Marktforschung von selbst. Dabei sind die Randbereiche und Übergänge der verschiedenen Nutzungsmöglichkeiten zwischen Marketing, systematischem Sammeln von Informationen (Monitoring), Marktforschung, zielgruppenorientierter Ansprache (Social Media Targeting / Behavioural Targeting) und Social Media Nutzungen (Blogs, Online Communities etc.) oftmals fließend und gar nicht leicht voneinander abzugrenzen.

2. Voraussetzung der Anwendbarkeit des Bundesdatenschutzgesetzes und des Telemediengesetzes ist in diesen beiden Gesetzen, dass es sich um personenbezogene Daten handelt. Nur wenn es sich um personenbezogene Daten handelt, müssen deren gesetzliche Zulässigkeitsvoraussetzungen eingehalten werden. Handelt es sich nicht um personenbezogene Daten, findet weder das BDSG noch das TMG Anwendung.

Gehen wir daher zuerst der Frage nach, was personenbezogene Daten eigentlich sind:

a) Personenbezogene Daten gemäß § 3 Abs. 1 BDSG sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Beispiele für Einzelangaben sind Name, Ausweisnummer, Versicherungsnummer, Telefonnummer. Beispiele für persönliche Verhältnisse sind (wiederum) Name, Anschrift, Beruf, Eigenschaften, Aussehen, Gesundheit. Beispiele für sachliche Verhältnisse sind vertragliche Beziehungen, Verfahrensdaten, Geodaten.

Personenbezogene Daten bei Telemedien sind beispielsweise IP-Nummern, Emailadressen, Telekommunikationsanschlüsse, Kundennummern, Nutzungsprofile, Nutzungsberechtigungen, click-streams, biometrische Merkmale.

Nach der Theorie des absoluten Personenbezugs sind Daten bereits dann personenbezogen, sobald auch nur eine Stelle über das zur Identifikation erforderliche Zusatzwissen verfügt. Bestimmbarkeit im Sinne von § 3 Abs. 1 BDSG sei selbst dann anzunehmen, wenn ein personenbezogenes Datum von einer Stelle verarbeitet wird, welches selbst nicht über eine Zuordnungsmöglichkeit verfügt. Demgegenüber ist die Theorie des relativen Personenbezugs der Auffassung, dass Personenbezug nur für die Stelle anzunehmen sei, die über das zur Identifikation erforderliche Zusatzwissen verfügt. Dies ist meines Erachtens zutreffend und deckt sich auch eher mit dem Wortlaut des § 3 Abs. 6 BDSG. Nach der Theorie des relativen Personenbezugs muss die verantwortliche Stelle den Bezug mit den ihr normalerweise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand durchführen können. § 3 Abs. 6 BDSG regelt die Anonymisierung: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ Bei der Anonymisierung wird jeglicher Bezug zu einer natürlichen Person endgültig gelöscht. Die bloß getrennte Speicherung innerhalb derselben rechtlichen Einheit wäre allenfalls eine Pseudonymisierung. Der Wortlaut des § 3 Abs. 6 BDSG deckt sich meines Erachtens eher mit der relativen Personenbezugstheorie als mit der Theorie des absoluten Personenbezugs.

b) In einer interessanten Entscheidung des UK-High-Cort (2011, ACD 97, 2011, EWHC 1430) wurde ausführlich diskutiert, ob es sich dort um personenbezogene Daten handelte. Der Entscheidung lagen Tabellen zu Anzahl und rechtlicher Begründung für Spätabtreibungen zugrunde. Die Zahlen hierzu wurden in Form von statistischen Tabellen übermittelt. Es konnte vorkommen, dass einige Zahlen innerhalb der Tabellen bei einem seltenen Spätabtreibungsgrund klein blieben und gelegentlich bei einer einzigen Abtreibung lagen. Da befürchtet wurde, dass diese Zahlen patientenbezogene Daten seien, wurden Konsolidierungen veröffentlicht, die mehrere Fragen zusammenfassen.

Die entscheidende Frage war: Bleiben Daten, die der für die Verarbeitung Verantwortliche in einer nicht mehr identifizierbaren Form weitergibt, zwangsläufig personenbezogen, solange er selbst in der Lage ist, sie intern mit den betroffenen Personen zu verknüpfen?

Der High-Cort entschied, dass unterschieden werden müsse zwischen Daten in den Händen des für die Verarbeitung Verantwortlichen und Daten in den Händen von Dritten. Die Personenbezogenheit könne variieren: Je nachdem, ob die Personenbezogenheit von einem Verantwortlichen oder einem Dritten hergestellt werden kann und wer die Daten verarbeitet. Auch wenn der die Daten Abgebende in der Lage bleibe, die Betroffenen zu identifizieren, seien die Daten nach Weitergabe an den Dritten in diesem Zustand nicht mehr als personenbezogen anzusehen.

c) Die sogenannte Artikel 29 Gruppe (eine Art Zusammenschluss europäischer Datenschutzbehörden) ist der Auffassung, dass personenbezogene Daten all die Daten sind, bei denen es irgendeinen Bezug zu Betroffenen gibt. Das ist ein sehr weitgehender Ansatz, der mit der Theorie des relativen Personenbezugs nicht mehr in Übereinstimmung zu bringen ist.

Der Düsseldorfer Kreis, ein informeller Zusammenschluss der Datenschutzaufsichtsbehörden der Bundesrepublik Deutschland, ist der Auffassung, dass eine IP-Adresse ein personenbezogenes Datum und nicht einmal ein Pseudonym im Sinne des TMG ist (Düsseldorfer Kreis, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten, Beschluss vom 26. / 27. November 2009, BFGL 23. Tätigkeitsbericht 2009 / 2010, 48 bis 49). Das hat Bedeutung für § 15 Abs. 3 TMG, auf den wir weiter unten nochmals eingehen: Demnach dürfen Nutzungsprofile nur unter Verwendung von Pseudonymen erstellt werden, sofern Nutzer aufgeklärt wurden, der Nutzer nicht widersprochen hat und der Nutzer auf sein Widerspruchsrecht hingewiesen wurde. Die Folge ist: Die Erstellung von Nutzungsprofilen unter Verwendung von nicht pseudonymisierten Daten bzw. vollständiger IP-Adresse ist ohne Einwilligung des betroffenen Nutzers unzulässig.

Wie unsicher die Einschätzung nach wie vor ist, ob und wann es sich um personenbezogene Daten handelt, spiegelt auch die EU-Datenschutz-Grundverordnung wider, die in 2016 in Kraft treten dürfte und in Erwägungsgrund 24 folgendes ausführt:

„Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Softwareanwendungen und –tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehende Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.“

Soweit die Erwägungsgründe davon sprechen, dass solche Daten „nicht zwangsläufig und unter allen Umständen“ als personenbezogene Daten zu betrachten seien, ist also zumindest Vorsicht geboten und im Einzelfall bleibt nichts anderes übrig, als den Personenbezug zu hinterfragen.

Im Zweifel bleibt nichts anderes übrig, als stets das Vorliegen von personenbezogenen Daten in Betracht zu ziehen und in jedem Einzelfall zu prüfen, jedenfalls dann, wenn sogar nach der Theorie des relativen Personenbezugs von einer Bestimmbarkeit und einem Personenbezug ausgegangen werden muss.

3. Wie bereits oben gesehen, enthält § 15 Abs. 3 TMG eine Sonderregelung zu Nutzungsdaten, die zum Zwecke der Marktforschung nur unter Verwendung von Pseudonymen für Nutzungsprofile verwendet werden dürfen. Daher müssen wir jetzt die Frage klären, wann das Bundesdatenschutzgesetz und wann das Telemediengesetz anwendbar ist. Denn nur dann kann entschieden werden, auf welcher Rechtsgrundlage geprüft werden muss, ob die Verarbeitung von Nutzungs-, Bestands- und Inhaltsdaten zulässig ist.

Das Bundesdatenschutzgesetz lässt anderen datenschutzrechtlichen Vorschriften Vorrang: Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften des Bundesdatenschutzgesetzes vor (§ 1 Abs. 3 BDSG). Zu diesen vorrangig anzuwendenden Rechtsvorschriften zählen die Bestimmungen des Telemediengesetzes (TMG). Das Telemediengesetz enthält Grundsätze für die Erhebung und Verwendung personenbezogener Daten zur Bereitstellung von Telemedien (§ 12 TMG), listet im Einzelnen die Pflichten eines Diensteanbieters auf (§ 13 TMG), normiert ferner Zulässigkeitsvoraussetzungen für den Umgang mit Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG). Da Inhaltsdaten im Telemediengesetz nicht erwähnt werden, ist die herrschende Meinung der Auffassung, dass für Inhaltsdaten das Bundesdatenschutzgesetz Anwendung findet.

Im Einzelnen:

a) Telemedien sind gemäß § 1 Abs. 1 TMG alle Informations- und Kommunikationsdienste, die nicht Telekommunikation oder Rundfunk sind. Telekommunikationsdienste gemäß § 3 Nr. 24 TKG sind wiederum Dienste, die „ganz oder überwiegend“ in der Übertragung von Signalen über Telekommunikationsnetze bestehen (z.B. Internettelefonie). Telekommunikationsdienste, die nur „überwiegend“ den Transport von Signalen übernehmen, unterfallen somit dem TKG als auch dem TMG (hierzu zählen nach wohl zutreffender Meinung sogenannte Access-Provider).

Im Folgenden liste ich Ihnen einige Telemedienbeispiele auf:

• Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit
• Multimediale Presse
• Newsclubs
• Chatrooms
• Meinungsforen
• Teleshopping
• Internetsuchmaschine
• Blogs
• Online Communities
• Internetauktion
• Onlinespiele

b) Diensteanbieter im Sinne des TMG ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt.

c) Das Telemediengesetz findet nur Anwendung im Verhältnis zwischen Anbieter und Nutzer (§ 11 TMG). In anderen Verhältnissen, also insbesondere im Verhältnis zwischen Anbieter und Dritten findet das Telemediengesetz keine Anwendung; hier greift also das Bundesdatenschutzgesetz ein (z.B. §§ 28, 29, 30 a BDSG). Daher werden Bewertungsportale nicht unter dem Telemediengesetz geprüft, sondern nach den Vorschriften des Allgemeinen Persönlichkeitsrechts (§ 823 BGB) und den Vorschriften des Bundesdatenschutzgesetzes. Denn hier geht es um die Persönlichkeitsrechte bewerteter Dritte, nicht um die spezifischen Persönlichkeitsrechte von Nutzern.

Keine Anwendung findet das Telemediengesetz ferner, soweit die Bereitstellung von Telemediendiensten im Dienst- und Arbeitsverhältnis zu ausschließlichen beruflichen oder dienstlichen Zwecken dient oder innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.

Das Telemediengesetz ist anwendbar auf die in § 14 TMG geregelten Bestandsdaten und auf die in § 15 TMG geregelten Nutzerdaten. Auf Inhaltsangaben findet das Telemediengesetz keine Anwendung; hier gilt das Bundesdatenschutzgesetz. Der Grund dafür ergibt sich schlicht und einfach daraus, dass das Telemediengesetz keine Regelung für Inhaltsdaten enthält und die Vorrangsregelung des § 1 Abs. 3 BDSG nur für solche Rechtsvorschriften gilt, die auf personenbezogene Daten anzuwenden sind. Da das TMG für Inhaltsdaten keine Anwendung statuiert, ist somit auf das Bundesdatenschutzgesetz zurückzugreifen. Zu Recht wird zwar kritisiert, dass diese Ungleichbehandlung einer einheitlichen Betrachtungsweise entgegenläuft und es unsinnig anmutet, eine unterschiedliche Zulässigkeit „einmal nach TMG, einmal nach BDSG“ vorzunehmen (vergleiche Tinnefeld, Puchner, Petri, Einführung in das Datenschutzrecht, S. 396). Die herrschende Meinung ist aber (noch) der Auffassung, dass das Bundesdatenschutzgesetz auf Inhaltsangaben Anwendung findet.

Auch im Telemedienrecht gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt gemäß § 12 Abs. 1 TMG: Verboten ist alles, was nicht ausdrücklich erlaubt ist. Ferner gilt auch im Telemedienrecht der Zweckbindungsgrundsatz: Erhobene Daten dürfen allein für den angegebenen Zweck genutzt werden (§ 12 Abs. 2 TMG). Auch der Erforderlichkeitsgrundsatz findet sich im Telemedienrecht genauso wie im Datenschutzrecht: Die §§ 14, 15 TMG geben vor, dass der Erforderlichkeitsgrundsatz stets zu beachten ist.

d) Bestandsdaten im Sinne des § 14 TMG sind z.B. Name, Anschrift und Geburtsdatum des Nutzers, Benutzername, Passwort, Login-Daten, erforderliche Emailadressen u. a. Voraussetzung der Anwendbarkeit von § 14 TMG ist wie bereits geschildert das Vorliegen eines Vertragsverhältnisses zwischen Diensteanbieter und Nutzer gemäß § 11 TMG. Fehlt dieses, scheidet eine Zulässigkeit gemäß § 14 TMG aus. Diensteanbieter haben Auskunftspflichten für Zwecke der Strafverfolgung sowie der Gefahren- und Terrorismusabwehr (§ 14 Abs. 2 TMG). Zur Durchsetzung geistiger Eigentumsrechte bestehen ebenfalls Pflichten zur Auskunftserteilung an Dritte (§ 14 Abs. 2 TMG).

e) Nutzungsdaten sind Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien, insbesondere auch Abrechnungsdaten (§ 15 Abs. 1 Ziffern 1, 2 und 3 TMG).

f) Inhaltsdaten sind Daten, die durch die Nutzer generiert sind. Dabei handelt es sich um Einträge auf Profilseiten, die eigentlichen Nachrichten und Mitteilungen, die Uhrzeit und das Datum des Übertragungsvorgans. Für die Marktforschung relevant sind also in der Regel Nutzungsdaten soweit zur Identifikation des Nutzers geeignet oder Inhaltsdaten; aus der gegebenen Definition versteht sich von selbst, dass sich Nutzungsdaten und Inhaltsdaten häufig überschneiden.

4. Werfen wir jetzt einen Blick auf die Erstellung von Nutzungsprofilen

a) Die Erstellung eines personenbezogenen Nutzungsprofils ist unzulässig, § 15 Abs. 3 Satz 3 TMG. Im Umkehrschluss ergibt sich daraus, dass anonymisierte Nutzungsprofile grundsätzlich zulässig sind. Für Marktforscher ist das im Wesentlichen nichts Neues. Fraglich ist aber immer, ob eine Anonymisierbarkeit im Einzelfall gewährleistet ist, also ob durch die Mindestfallzahl eine Bestimmbarkeit einzelner Personen droht, so dass bei Fallzahlen und Bewertungseinheiten stets darauf geachtet werden muss, dass sich nicht eine Bestimmbarkeit ergibt. Aber das ist letztlich kein Spezialproblem sozialer Medien, sondern bei jeglicher Befragungsmethode zu beachten.

b) Zulässig ist die Erstellung von Nutzungsprofilen unter Verwendung von Pseudonymen (§ 15 Abs. 3 Satz 3 TMG). Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (§ 3 Abs. 6 a BDSG). Eine Pseudonymisierung ist dann erfolgt, wenn Einzelangaben ohne Kenntnis oder Nutzung einer Zuordnung nicht mehr einer natürlichen Person zuordenbar sind; die Verantwortliche Stelle kann gleichwohl über eine Referenzdatei verfügen, mit deren Hilfe das Pseudonym aufgelöst werden kann.

Die Zulässigkeit der Erstellung eines Nutzungsprofils unter Verwendung von Pseudonymen steht allerdings unter weiteren Voraussetzungen: Die Zulässigkeit ist nur dann zu bejahen, solange kein Widerspruch der betroffenen Person vorliegt und diese Person auf ihr Widerspruchsrecht hingewiesen wurde (hierzu unten zu § 13 Abs. 1 TMG). Personenbezogene Auswertungen haben also keine gesetzliche Grundlage, für sie liegt kein Erlaubnistatbestand vor. Hierfür ist stets eine Einwilligung erforderlich. Eine „Erforderlichkeit“ gemäß §§ 14, 15 TMG dürfte wirklich nur in seltenen Ausnahmefällen zu bejahen sein.

Das Widerspruchsrecht des Nutzers gemäß § 15 Abs. 3 TMG setzt eine jederzeitige Widerspruchsmöglichkeit voraus. Opt-Out-Lösungen reichen nach herrschender Meinung aus. Der Hinweis auf das Widerspruchsrecht muss zu Beginn und im Rahmen der Unterrichtung erfolgen, § 13 Abs. 1 TMG.

c) Wichtig ist das Zusammenführungsverbot gemäß § 15 Abs. 3 Satz 3 TMG: Untersagt ist die Zusammenführung des Nutzerprofils mit Daten über den Träger des Pseudonyms. Es muss durch technische und organisatorische Maßnahmen abgesichert werden. Daher scheiden personalisierte Werbebanner und die Nutzung pseudonymer Nutzungsprofile für personalisierte Online-Werbung aus – ein Hinweis, der von der Marketing- und Werbebranche sträflich und häufig missachtet wird.

5. Von einer Zulässigkeit der Erhebung persönlicher Daten aus Sozialen Netzwerken darf man in aller Regel dann ausgehen, wenn die betroffenen personenbezogenen Daten von Nutzern ins Internet eingestellt wurden und über Suchmaschinen verfügbar  und somit „allgemein zugänglich“ sind.

a) Die Frage nach der allgemeinen Zugänglichkeit hat ihre Rechtsgrundlage in der Formulierung des § 28 Abs. 1 Satz 1 Ziffer 3 BDSG und § 30 a BDSG:

„Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig … 3. wenn die Daten allgemein zugänglich sind oder die Verantwortliche Stelle sie veröffentlichen durfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der Verantwortlichen Stelle offensichtlich überwiegt (§ 28 Abs. 1 Satz 1 Ziffer 3 BDSG).“

Je offener das Forum ist, umso eher ist die Qualität der allgemeinen zugänglichen Quelle zu bejahen. Je geschlossener der Teilnehmerkreis ist, umso eher ist die Qualifizierung als allgemein zugängliche Quelle abzulehnen. Besteht ein Passwortschutz, ist nicht nur von einer allgemein zugänglichen Quelle auszugehen. Die bloße Registrierungserforderlichkeit als solche spielt in der Regel insoweit keine entscheidende Rolle. Niemand darf sich aber als Freund in einen Freundeskreis einschleichen oder in anderer Weise Blockaden und Passwortschutzfunktionen überwinden. Eine allgemeine Einteilung in offene oder geschlossene Soziale Medien ist meines Erachtens wenig hilfreich und sogar missverständlich. Eine generelle Qualifizierung als offenes oder geschlossenes Medium nützt nichts, weil auch offene Medien im Einzelfall geschlossen sein können. Facebook beispielsweise kann sowohl ein offenes als auch ein geschlossenes Soziales Medium darstellen. Darüber hinaus kann man natürlich fragen, welchen Zweck und Verbreitungskreis Nutzer mit den von ihnen gewählten Sozialen Medien verbinden. Und die Frage ist berechtigt, ob jeder, der Daten in ein Soziales Netzwerk eingibt, wirklich damit rechnen muss, dass seine Daten auch für andere Zwecke verwendet werden können, wie z.B. Suchmaschinen oder Social Monitoring. Der Grundsatz der Zweckbestimmung gilt nämlich auch hier: Personenbezogene Daten dürfen nur zu den Zwecken verwendet werden, zu denen sie erhoben worden sind. Gleichwohl ist es vertretbar und entspricht der derzeit wohl herrschenden Auffassung, dass man bei offenen Foren, die nicht passwortgeschützt sind oder durch andere Blockierungen geschützt werden, von einer allgemein zugänglichen Quelle ausgehen kann.

b) Vor diesem Hintergrund ist es meines Erachtens auch vertretbar, wenn sich die Markt- und Meinungsforschung z.B. bei Online Communities die folgende Rechtsprechung des Bundesgerichtshofs zu Nutze macht: „Wer Werke im Internet für den Zugriff von Suchmaschinen zugänglich macht, ohne von den technischen Möglichkeiten einer Blockierung der Suchmaschinenindexierung Gebrauch zu machen, erklärt hierdurch nach der Rechtsprechung sein Einverständnis mit der üblichen Bildersucher durch Bildersuchmaschinen (BGH Vorschaubilder 1, BGH vom 29. April 2010 – 1 ZR 69/08). Eine solche schlichte Einwilligung liegt auch dann vor, wenn die Abbildung eines urheberrechtlich geschützten Werkes (gilt auch für Lichtbilder) nicht vom Urheber des Werkes, sondern mit dessen Zustimmung von einem Dritten ins Internet eingestellt wird (BGH vom 19. Oktober 2011 – 1 ZR 140/10). Es ist meines Erachtens plausibel und gut vertretbar, was hier für die Suchmaschinenindexierung ausgesprochen wurde, auch zur allgemeinen Zugänglichkeit für die gemäß § 30 a BDSG privilegierte Markt- und Meinungsforschung bei anonymisierter Auswertung zu übertragen.

c) Unsicher ist noch, ob die geplante EU-Datenschutz-Grundverordnung hierzu eine Einschränkung bringt. Nach Artikel 20 EU-GV kann der Nutzer der Erstellung von Nutzer- und Bewegungsprofilen widersprechen, wenn die Anlegung des Nutzerprofils den Zweck verfolgt, Merkmale der eigenen Person auszuwerten oder vorherzusagen; nach der bisherigen Formulierung und bei rechtem Verständnis dürfte die der Anonymität verpflichtete Markt- und Meinungsforschung nicht einschränkend betroffen sein.

d) Das Kriterium der allgemeinen Zugänglichkeit spielt meines Erachtens auch eine Rolle, wenn es um die Prüfung des Grundsatzes der Direkterhebung geht.

Dazu im Folgenden in Teil 2.