Aktuelle Rechtsfragen aus der Marktforschungspraxis Soziale Medien, Datenschutz und Marktforschung (Teil 2)

Dr. Ralf Tscherwinka (Dr. Hönig Rechtsanwälte)

Von Dr. Ralf Tscherwinka

In dieser zweiteiligen Kolumne werden wesentliche Grundzüge und Weichenstellungen für die Markt- und Meinungsforschung im Anwendungsbereich der Sozialen Medien dargestellt. In Teil 1 (Soziale Medien, Datenschutz und Marktforschung; März-Kolumne 2013) haben wir uns bereits mit folgenden Themen beschäftigt:

• Erhebung und Verarbeitung personenbezogener Daten in Sozialen Medien zu Zwecken der Marktforschung
• Was sind personenbezogene Daten?
• Anwendungsbereiche des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) für Bestandsdaten, Nutzungsdaten und Inhaltsdaten
• Erstellung von Nutzungsprofilen
• Erhebung und Verarbeitung personenbezogener Daten aus allgemein zugänglichen Quellen

Wie bereits im März angekündigt, setzen wir die Gesamtdarstellung heute mit folgenden Themen fort:

• Social Monitoring und § 30 a BDSG
• Grundsatz der Direkterhebung
• Behavioural Advertising / Cookies
• Apps
• Datenschutzrechtliche Verantwortlichkeit von Webseitenbetreibern, die den Like-Button verwenden
• Bewertungsportale im Internet
• Einwilligungsvoraussetzungen gemäß § 13 TMG
• Unternehmenseigener Internetauftritt

6. Als „Social Monitoring“ bezeichnen wir die Beobachtung und Analyse von Beiträgen in Sozialen Netzwerken (Communities, Bloggs, Foren etc.). Dabei können an verschiedenen Stellen der Verarbeitungskette personenbezogene Daten verarbeitet werden.

a) Bei der datenschutzrechtlichen Zulässigkeit ist jede einzelne Erhebungs-, Speicherungs-, Verarbeitungs-, Auswertungs- oder Weitergabemaßnahme gesondert datenschutzrechtlich zu prüfen. Weder eine schriftliche Einwilligung (§ 4 a BDSG) noch eine mündliche Einwilligung (bei Ausnahme vom Schriftformerfordernis gemäß § 4 a Abs. 1 Satz 2 BDSG) noch eine sonstige ausdrückliche Erklärung dürften in der Regel vorliegen. Das OLG Köln hat in seiner Rechtsprechung aus dem Jahr 2012 im Rahmen einer telefonischen Kundenzufriedenheitsstudie den denkbaren Anwendungsbereich einer etwaigen mutmaßlichen Einwilligung extrem eingeschränkt. Demnach liegt eine mutmaßliche Einwilligung nur in engen Ausnahmefällen vor, von denen üblicherweise und realistischer Weise nicht ausgegangen werden kann. Auf eine mutmaßliche Einwilligung darf man sich in der Regel nicht verlassen.

b) Allerdings kann man zum Zwecke der Markt- und Meinungsforschung zwei Argumente heranziehen, die wir bereits in Ziffer 5 a) besprochen haben. Zum einen die „rechtliche Brücke“ der „allgemein zugänglichen Daten“. Und zum anderen die Rechtsprechung des BGH aus den sogenannten „Vorschaubilder-Urteilen“, die wir oben unter Ziffer 5 b) bereits vorgestellt haben. Demnach erklärt jeder sein Einverständnis mit der üblichen Bildersuche durch Bildersuchmaschinen, wer Werke im Internet für den Zugriff von Suchmaschinen zugänglich macht, ohne von den technischen Möglichkeiten einer Blockierung der Suchmaschinenindexierung Gebrauch zu machen (BGH Vorschaubilder 1 vom 29. April 2010, 1 ZR 69/08). Man kann und sollte meines Erachtens diese Rechtsprechung auch auf die privilegierte Markt- und Meinungsforschung gemäß § 30 a BDSG übertragen.

• Gemäß § 28 Abs. 1 Satz 1 Ziffer 3 BDSG ist das „Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig … (3) wenn die Daten allgemein zugänglich sind … es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der Verantwortlichen Stelle offensichtlich überwiegt“.
• Und gemäß § 30 a BDSG ist die Verarbeitung personenbezogener Daten entweder zulässig, wenn

„kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat“ (§ 30 a Abs. 1 Satz 1 Ziffer 1 BDSG)

oder

„die Daten aus allgemein zugänglichen Quellen entnommen werden können … und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der Verantwortlichen Stelle nicht offensichtlich überwiegt“ (§ 30 a Abs. 1 Satz 1 Ziffer 2 BDSG).

•  Was generell als „allgemein zugänglich“ verstanden werden kann, haben wir bereits unter Ziffer 5 in Teil 1 unserer Gesamtübersicht dargestellt. Darauf darf hier verwiesen werden. Erinnert sei an dieser Stelle daran, dass allgemein zugänglich grundsätzlich solche Daten sind, die sich „dazu eignen, einem individuellen nicht bestimmbaren Personenkreis Informationen zu vermitteln“ (Simitis, BDSG, § 28, Rdnr. 151 mit weiteren Nachweisen).

Wenn also von allgemein zugänglichen Daten im Einzelfall ausgegangen werden kann und entweder auf die gesetzliche Erlaubnisnorm des § 30 a BDSG oder § 28 Abs. 1 Satz 1 Ziffer 1 BDSG rekurriert werden kann, dann bedarf es keiner Einwilligung. Denn § 4 BDSG verlangt für die Zulässigkeit jedweder Datenverarbeitungsvorgänge entweder eine Einwilligung oder eine gesetzliche Erlaubnisnorm; liegt also eine gesetzliche Erlaubnisnorm vor, braucht man sich um schriftliche, mündliche, ausdrückliche, inzidente oder mutmaßliche Einwilligungen nicht (mehr) kümmern (es sei denn natürlich, es liegen besonders sensible Daten gemäß § 3 Abs. 9 BDSG oder andere Ausnahmeregelungen vor, die wir hier nicht im Einzelnen erörtern brauchen).

c) Ich bin der Auffassung, dass die rechtliche Zulässigkeit der Markt- und Meinungsforschung via Social Monitoring mit § 30 a Abs. 1 Nr. 2 BDSG begründet werden kann. Voraussetzung ist natürlich, dass es sich um eine allgemein zugängliche Quelle handelt, wie wir bereits oben besprochen haben. Bei der vorzunehmenden Interessenabwägung ist zu berücksichtigen, ob ein „entgegenstehendes Interesse des Betroffenen offensichtlich“ wäre. Wie bereits dargelegt, ist bei allgemein zugänglichen Quellen in der Regel kein entgegenstehendes Interesse zu bejahen, geschweige denn wäre dieses „offensichtlich“.

Bei § 30 a BDSG ist meines Erachtens ferner (begünstigend für die Markt- und Meinungsforschung) zu berücksichtigen: Wenn die Erhebung erlaubt ist, dann gilt das auch für die Speicherung und Verarbeitung (jedenfalls unter der Voraussetzung, dass all dies zu Zwecken der Markt- und Meinungsforschung geschieht). Auch ist das Gebot der frühestmöglichen Anonymisierung des § 30 a BDSG zu beachten. Ab dem Zeitpunkt der Anonymisierung handelt es sich nicht mehr um personenbezogene Daten, somit unterliegen die Daten nicht mehr dem BDSG und seinen einschränkenden Zulässigkeitsvoraussetzungen.

d) Mancher mag sich wundern, weshalb ich oben (b) nicht nur auf § 30 a BDSG rekurriere, der für die Markt- und Meinungsforschung einschlägig ist, sondern auch auf § 28 BDSG, der für die Markt- und Meinungsforschung eigentlich nicht erforderlich, sondern für Werbung einschlägig ist. Das liegt an der unerfreulichen Rechtsprechung des OLG Köln zu § 30 a BDSG. Das OLG Köln nimmt (wie die leider herrschende Auffassung in Rechtsprechung und Kommentarliteratur) an, dass Umfragen zu Meinungsforschungszwecken im Auftrag eines Unternehmens mittelbar der Absatzförderung dienen. Ein absatzfördernder Zweck sei bereits dann anzunehmen, wenn Verbrauchergewohnheiten abgefragt werden, die im Zusammenhang mit den Dienstleistungen oder Produkten des Auftraggebers stehen. Im Urteil vom 12. Dezember 2008 (Az.: 6 U 41/08) befand das OLG Köln, dass eine telefonische Kundenzufriedenheitsstudie eines Markt- und Meinungsforschungsinstituts im Auftrag eines Auftraggebers eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 UWG sei. Das OLG Köln hat diese Rechtsprechung 2012 in einem weiteren Urteil ausdrücklich bestätigt (OLG Köln, Az.: 6 U 191/11). Der Anruf durch das Meinungsforschungsinstitut stelle eine Wettbewerbshandlung im Sinne des § 2 Abs. 1 UWG dar; Gegenstand der Telefonanrufe sei Werbung, in die der angerufene Verbraucher nicht eingewilligt hat. Zu Recht kritisiert z.B. der ADM, dass dann 95 % der Markt- und Meinungsforschung wie Werbung zu behandeln wären und der Anwendungsbereich des § 30 a BDSG sowie die vom Gesetzgeber vorgegebene Abgrenzung zwischen Markt- und Meinungsforschung einerseits, Werbung andererseits ins Leere laufen würde. Verärgert über diese Rechtsprechung habe ich unlängst in einer marktforschung.de Kolumne letzten Jahres einen ausführlichen Beitrag zu dieser Rechtsprechung und zu den Problemen der Abgrenzung zwischen Werbung und Marktforschung im Rahmen des § 30 a BDSG unter dem Titel „§ 30 a BDSG – unsong hero oder Rohrkrepierer?“ veröffentlicht. Wer das Thema intensiver beleuchten möchte, sei auf diesen Beitrag verwiesen. Worum es mir heute geht: Markt- und Meinungsforschung darf und braucht auf keinen Fall schlechter gestellt werden wie Werbung. Wenn es sich – wie das OLG Köln meines Erachtens zu Unrecht sagt – nicht um Marktforschung handelt, sondern um Werbung, dann ist jedenfalls § 28 BDSG anwendbar, der ebenfalls eine gesetzliche Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG darstellt. Dann kann man sich also auf § 28 Abs. 1 Nr. 1 BDG (allgemein zugängliche Daten) berufen und grundsätzlich auch auf das dort normierte Listenprivileg.

e) Bei Datenschutzverarbeitungsvorgängen ist im Übrigen stets der Verhältnismäßigkeitsgrundsatz zu prüfen. Denn jeder Umgang mit personenbezogenen Daten stellt grundsätzlich einen Eingriff in das Persönlichkeitsrecht dar (Artikel 1 Abs. 1 GG in Verbindung mit Artikel 2 Abs. 1 GG).

f) Wenn die Voraussetzungen des § 30 a BDSG erfüllt sind, steht der rechtlichen Zulässigkeit auch der vielfach verkannte Grundsatz der Direkterhebung nicht entgegen. Das sei dem folgenden Kapitel vorausgeschickt. Da der Grundsatz der Direkterhebung aber häufig unbekannt ist (oder unterschätzt wird), möchte ich im Folgenden detailliert auf ihn eingehen:

7. Im Datenschutzrecht gilt der Grundsatz der Direkterhebung: „Personenbezogene Daten sind beim Betroffenen zu erheben“ (§ 4 Abs. 2 Satz 1BDSG).

Ohne Mitwirkung des Betroffenen dürfen personenbezogene Daten gemäß § 4 Abs. 2 Satz 2 BDSG nur erhoben werden, wenn
(1) eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
(2a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck einer Erhebung bei anderen Personen oder Stellen erforderlich macht oder
(2b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

a) Werden personenbezogene Daten nicht direkt beim Betroffenen erhoben, ist eine zweistufige Prüfung erforderlich. Im ersten Prüfungsschritt muss geprüft werden, ob die Datenverarbeitung als solche zulässig ist. Hier ist gemäß § 4 BDSG entweder nach einer wirksamen Einwilligung oder einer gesetzlichen Erlaubnisnorm zu fahnden. Wenn dieser erste Prüfungsschritt erfolgreich abgeschlossen wurde, muss in einem zweiten Prüfungsschritt gefragt werden, ob Ausnahmeberechtigungen vom Grundsatz der Direkterhebung gemäß § 4 Abs. 2 BDSG vorliegen.

Der Zweck des Grundsatzes der Direkterhebung liegt darin, dass Betroffene wissen sollen, wer was wann über sie an personenbezogenen Daten sammelt. Das basiert direkt auf dem vom Bundesverfassungsgericht definierten Recht auf informationelle Selbstbestimmung (im Volkszählungsurteil, das wir bereits unter Ziffer 1 a) besprochen haben).

b) Gegen den Grundsatz der Direkterhebung wird verstoßen, wenn Daten heimlich beim Betroffenen oder über ihn erhoben werden. Bei Suchmaschinen trifft das zu, erst recht, wenn es sich um von Dritten ins Netz gestellte Informationen handelt (Ausnahme natürlich bei persönlichen oder familiären Vorgängen, die gemäß § 1 Abs. 2 Nr. 3 BDSG aus den einschränkenden Zulässigkeitsvoraussetzungen des Datenschutzrechts ausgenommen werden). Außerdem gilt generell eine umgehende, nachträgliche Unterrichtungspflicht (§ 4 Abs. 3 BDSG). Somit muss man konzedieren, dass eine Profilbildung im Internet grundsätzlich gegen den Grundsatz der Direkterhebung verstößt. Es kommt also darauf an, ob Ausnahmen gemäß § 4 Abs. 2 BDSG vorliegen.

Die Ausnahme des § 4 Abs. 2 Satz 2 Ziffer 1 BDSG („eine Rechtsvorschrift die es vorsieht oder zwingend voraussetzt“) liegt in der Regel nicht vor. Da es sich bei der Markt- und Meinungsforschung in der Regel nicht um Verwaltungsaufgaben handelt, tritt auch die erste Alternative von § 4 Abs. 2 Satz 2 Ziffer 2 a) BDSG nicht zu. Ob der Geschäftszweck einer Erhebung bei anderen Personen oder Stellen die Datenerhebung ohne Mitwirkung des Betroffenen „erforderlich“ macht, könnte eine die Markt- und Meinungsforschung betreffende Ausnahmeregelung sein; Kommentarliteratur und Rechtsprechung sind allerdings zum Merkmal der „Erforderlichkeit“ sehr restriktiv. Erforderlich ist nicht alles das, was wünschenswert oder nützlich ist. Abzulehnen ist meines Erachtens die Auffassung, dass zur Durchführung eines Vertrags die Nachfrage nach der Zufriedenheit des Kunden gehört, geschweige denn, dass derartige Markt- und Meinungsforschung „erforderlich“ im Sinne des § 4 Abs. 2 Satz 2 Ziffer 2 a BDSG oder einer sonstigen datenschutzrechtlichen Bestimmung wäre.

Die Ausnahmevorschrift des § 4 Abs. 2 Satz 2 Ziffer 2 b) BDSG, wenn nämlich „die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde“, kann sich die Markt- und Meinungsforschung nicht zunutze machen. Die Rechtsprechung wird dies nicht erlauben. Wo wirtschaftliche Unternehmen tätig sind, wird die Rechtsprechung keinen „unverhältnismäßigen Aufwand“ einräumen.

Außerdem ist die weitere Voraussetzung zu beachten, dass „keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden“.

c) Interessanterweise (besser: bedauerlicherweise) kann eine Ausnahme vom Grundsatz der Direkterhebung nach dem Wortlaut von § 4 Abs. 2 BDSG nicht auf „allgemein zugängliche“ Daten gestützt werden. Dies enthält der Wortlaut des § 4 Abs. 2 BDSG leider nicht. Wie wir gesehen haben, liegen die im Wortlaut des § 4 Abs. 2 BDSG normierten Ausnahmen vom Direkterhebungsgrundsatz in der Regel nicht vor. Einzig die Voraussetzung, dass wohl keine überwiegenden schutzwürdigen Interessen des Betroffenen beeinträchtigt werden, wenn es sich um allgemein zugängliche Daten handelt, wird man in der Regel bejahen können; allerdings ist dies nur ein Teil der Voraussetzungen („und …“) und keine Alternativvoraussetzung, die alleine genügt, sondern immer nur im Zusammenhang mit den zu 1, 2 a) und 2 b) aufgelisteten weiteren Einzelvoraussetzungen.

Das hätte die missliche Konsequenz, dass wegen des Grundsatzes der Direkterhebung eine Datenerhebung im Rahmen von Social Monitoring ausscheiden würde. Diesem offenkundigen Missstand begegnet die derzeit wohl herrschende und meines Erachtens völlig zutreffende Auffassung im Ergebnis mit einem „Kunstgriff“. Gesetzliche Erlaubnisnormen wie § 30 a BDSG führen nicht nur zu einer erfolgreichen Bewältigung der ersten Prüfungsstufe gemäß § 4 Abs. 1 BDSG, sondern stellen per se auch einen Ausnahmetatbestand vom Grundsatz der Direkterhebung gemäß § 4 Abs. 2 Satz 2 BDSG dar. Man mag daran kritisieren, dass sich dies im Wortlaut des § 4 Abs. 2 Satz 2 BDSG nicht wirklich findet. Aber alles andere wäre widersinnig. Wenn man allgemein zugängliche Daten ausreichen lässt für eine gesetzestreue Datenerhebung gemäß § 30 a BDSG (oder via § 28 Abs. 1 BDSG), dann wäre es widersinnig, dies im gleichen Atemzug per Grundsatz der Direkterhebung zu untersagen. Außerdem ist es gut vertretbar, einem gesetzlichen Erlaubnistatbestand im Sinne des § 4 Abs. 1 BDSG eine durchbrechende Wirkung gegenüber dem Grundsatz der Direkterhebung gemäß § 4 Abs. 2 Satz 2 BDSG zuzumessen. Wenn § 4 Abs. 1 BDSG gesetzliche Erlaubnisnormen erfordert und solche vorliegen, dann gilt das für alle Formen der Datenverarbeitung, und zwar mit oder ohne Mitwirkung des Betroffenen.

d) Gemäß § 4 Abs. 3 BDSG bestehen zwar Unterrichtungspflichten, wenn personenbezogene Daten „beim Betroffenen erhoben“ werden ( § 4 Abs. 3 Satz 1 BDSG). Werden jedoch Daten nicht beim Betroffenen erhoben, also ohne seine Mitwirkung, dann bestehen nach dem Wortlaut des § 4 Abs. 2 BDSG keine Unterrichtungspflichten. Die Unterrichtungspflichten des § 4 Abs. 3 BDSG stehen unter der Voraussetzung, dass personenbezogene Daten „beim Betroffenen erhoben“ werden. Der Wortlaut des Gesetzes ist eindeutig.

e) Spannend und für die Markt- und Meinungsforschung klärungsbedürftig ist noch die Frage, ob bei einer Datenerhebung ohne Mitwirkung des Betroffenen ein Widerspruchsrecht gemäß § 28 Abs. 4 Satz 2 BDSG besteht: Demnach ist der Betroffene „bei der Ansprache zum Zwecke der Werbung oder der Markt- und Meinungsforschung … über die Verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten“ (§ 28 Abs. 4 Satz 2 BDSG). Da bei der Datenerhebung ohne Mitwirkung des Betroffenen keine „Ansprache“ im Sinne des § 28 Abs. 4 Satz 2 BDSG erfolgt, liegt keine auf § 28 Abs. 4 Satz 2 BDSG anzuwendende Sachverhaltskonstellation vor (mangels Ansprache) und somit entfällt auch die Pflicht, den Betroffenen über die Verantwortliche Stelle und das Widerspruchsrecht zu informieren.

8. Cookies sind kleine Textdateien, die die Webseite auf dem Computer des Nutzers / Besuchers ablegt. Zweck von Cookies ist die Wiedererkennung des Users und die Sammlung von Daten (Webtracking). Cookies als solche sind keine personenbezogenen Daten. Allerdings besteht eine Bestimmbarkeit von natürlichen Personen bei der Nutzung bestehender Verknüpfungsmöglichkeiten.

Bekanntlich werden Cookies mit Zustimmung des Webseitenbetreibers gesetzt, um das Surfverhalten des Nutzers über mehrere Webseiten zu protokollieren. Gemäß der Europäischen Richtlinie EU-RL 2009/136/EG ist für das Platzieren von Cookies auf dem Endgerät des Nutzers dessen Einwilligung nötig. Fraglich ist natürlich, ob die Einwilligung zu Cookies noch freiwillig ist, wenn Webseitenbetreiber den Zugang zu ihren Inhalten an die Einwilligung in solche Cookies koppeln; dann wird man wohl nicht mehr von einer Freiwilligkeit ausgehen dürfen.

Voraussetzung für eine wirksame Einwilligung ist ferner, dass die Einwilligung informiert ist. Eine informierte Einwilligung setzt wiederum voraus, dass alle erforderlichen Informationen gegeben wurden.

9. Bei Apps ist – ergänzend zu den in Ziffer 8 vorstehenden Ausführungen – darauf hinzuweisen, dass deutsches Datenschutzrecht Anwendung findet, wenn außereuropäische App-Anbieter in Deutschland Daten erheben, nutzen oder verarbeiten (§ 1 Abs. 5 BDSG). Für die Verarbeitung personenbezogener Daten des Nutzers benötigt der App-Anbieter grundsätzlich die Einwilligung des Nutzers. Problem ist auch hier die ausreichende informierte Einwilligung gemäß § 4 Abs. 1 BDSG. Die Datenschutzerklärung gemäß § 13 Abs. 1 TMG ist unbedingt zu verlinken (Empfehlung Düsseldorfer Kreis). Eine Opt-Out-Regelung ist nicht ausreichend, vielmehr bedarf es einer aktiven Einwilligung. Ohne eine derartige aktive Einwilligung müssen Apps aus datenschutzrechtlicher Sicht abgeschaltet werden.

10. Die datenschutzrechtliche Verantwortlichkeit von Webseitenbetreibern, die den Like-Button verwenden, dürfte bei allen Lesern Irritation hervorrufen. Denn nach wohl ganz herrschender Auffassung stellt die geläufige Fassung des Like-Buttons nämlich einen Verstoß gegen § 13 TMG dar.

Der Düsseldorfer Kreis empfiehlt die sogenannte 2-Klick-Lösung. Demnach ist der Button weiterhin auf einer Internetseite eingebunden, aber deaktiviert. Der vorabinformierte Nutzer kann der Button aktivieren (erster Klick) und anschließend seine Empfehlung geben (zweiter Klick).

11. Im Gegensatz zum anonym ausgewerteten Social Monitoring stehen personenbezogene Bewertungsplattformen. Der Bundesgerichtshof beschäftigte sich in einer Entscheidung vom 23. Juni 2009 unter dem Stichwort „Social Scoring“ (BGH NJW 2009, 288) mit einer Bewertungsplattform von Lehrern. Eine Lehrerin wurde auf dem Bewertungsportal www.spickmich.de mit der Note 4,3 bewertet. Die Lehrerin zog darauf vor Gericht und klagte auf Unterlassung. Der BGH wies ihre Klage ab, sie habe weder einen Anspruch auf Löschung ihrer Daten noch auf Unterlassung der Veröffentlichung. Im Rahmen der Abwägung der Kommunikations- und Meinungsfreiheit sei diese höher zu bewerten als das Recht auf informationelle Selbstbestimmung der Lehrerin.

Auf die rechtliche Prüfung der Zulässigkeit von Bewertungen auf Online-Portalen findet nicht das Telemediengesetz Anwendung, sondern das Bundesdatenschutzgesetz und das allgemeine Persönlichkeitsrecht gemäß § 823 BGB. Das Telemediengesetz findet nur Anwendung auf das Verhältnis zwischen Anbieter und Nutzer (§ 11 TMG). Bewertungsportale betreffen aber typischer Weise nicht Nutzer, sondern Dritte. Auf Dritte ist somit nicht das Telemediengesetz, sondern die genannten allgemeinen Vorschriften anzuwenden. Daher hat der Bundesgerichtshof keine telemedienrechtliche Prüfung vorgenommen.

Der BGH beurteilte die Bewertungsplattform im Rahmen der Kollision des Persönlichkeitsrechts der bewerteten Person mit der Meinungsfreiheit der Nutzer. Erst wenn die durch Artikel 5 Abs. 1 Satz 1 Grundgesetz (Meinungsfreiheit) geschützten Werturteile in Schmähkritik übergehen oder falsche Tatsachenbehauptungen darstellen, sei die personenbezogene Bewertung unzulässig. Werde die Sozialsphäre betroffen, überwiege in der Regel die Kommunikationsfreiheit. Berühren allerdings die Bewertungskriterien die Intim- oder Privatsphäre der Bewerteten, sei in der Regel die Abwägung zu Gunsten des Persönlichkeitsrechts der betroffenen Person vorzunehmen. Absolute Grenzen der Zulässigkeit von Bewertungsmöglichkeiten auf Online-Portalen sind die Verletzung der Menschenwürde, Beleidigung, Schmähung und das Unterschieben von falschen Zitaten, d.h. generell falsche Tatsachenbehauptungen.

Ein weiteres Bewertungsportal war Gegenstand einer Entscheidung des OLG Frankfurt am Main vom 08. März 2012 (16 U 125/11). Hier ging es um die Bewertung von Ärzten. Ein Arzt, der sich Bewertungen in einem frei zugänglichen Internetportal ausgesetzt sieht, habe keinen Anspruch gegen den Betreiber des Portals auf Löschung des Eintrags. Der Anspruch auf Löschung von Daten scheide aus, weil die Datenerhebung hier gemäß § 29 BDSG zulässig sei. § 29 BDSG findet Anwendung, weil der Portalbetreiber Daten zur Information der Allgemeinheit und zum Meinungsaustausch zur Verfügung stellen wollte. Name, Adresse und Tätigkeitsbereich seien darüber hinaus aus allgemein zugänglichen Quellen entnehmbar (§ 29 Abs. 1 Satz 1 Ziffer 2 BDSG). Darüber hinaus sei kein Grund zur Annahme erkennbar, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat (§ 29 Abs. 1 Satz 1 Ziffer 1 BDSG). Daran ändere sich nichts, wenn es sich nicht um ein geschlossenen Internetportal wie bei der Spick-mich-Entscheidung handelt, sondern auch  bei einem offenen Internetportal wie dem Ärzte-Bewertungsportal. Die Zulässigkeit gelte auch bei anonymer Bewertung aufgrund des Rechts auf Meinungsäußerungsfreiheit. Dies deckt sich auch mit § 13 Abs. 6 TMG.

12. Im Folgenden möchte ich Ihnen die Voraussetzungen einer wirksamen elektronischen Einwilligung gemäß § 13 TMG aufzeigen.

a) Vorausgeschickt sei hier der Hinweis, dass selbstverständlich auch bei elektronischen Einwilligungen die generellen Voraussetzungen von Einwilligungen erfüllt sein müssen: Die informierte Einwilligung setzt eine ausreichende Information über den Zweck der Datenerhebung, die tatsächlich betroffenen Daten, den zugriffsberechtigten Personenkreis und mögliche Empfänger der Daten voraus. Einwilligungen sind niemals rückwirkend wirksam, sondern immer nur ab dem Zeitpunkt der wirksamen Erteilung für die Zukunft. Allerdings nicht für alle Zukunft, Einwilligungen müssen aktualisiert werden; feste Zeiträume gibt es dafür nicht, je nach den Umständen ist hier wohl von einem einjährigen bis höchstens zweijährigen Haltbarkeitsdatum von Einwilligungen auszugehen. Einwilligungen müssen freiwillig sein. Bei Koppelung mit Aufträgen ist in der Regel keine Freiwilligkeit anzunehmen. Die Einwilligung muss bestimmt sein, sie muss den AGB-rechtlichen Anforderungen genügen (insbesondere kein Verstoß gegen das Verbot überraschender Klauseln enthalten und transparent sein). Die Einwilligung ist jederzeit frei widerruflich (ein Verzicht auf die Widerrufsmöglichkeit ist nach herrschender Auffassung unwirksam) und die Einwilligung muss, wenn sie mit anderen Erklärungen erteilt werden soll, besonders hervorgehoben werden (drucktechnisch deutliche Gestaltung).

b) Die elektronische Einwilligung gemäß § 13 Abs. 2 TMG  ist unter folgenden Voraussetzungen wirksam:

• Der Nutzer erteilt seine Einwilligung bewusst und eindeutig.
• Die Einwilligung wird protokolliert.
• Der Nutzer kann den Inhalt der Einwilligung jederzeit abrufen und
• Der Nutzer kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Internetnutzer müssen demnach über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten informiert sein, sowie darüber, ob die Verarbeitung der Daten in Staaten außerhalb des Anwendungsbereichs der EG-Datenschutzrichtlinie erfolgt. Die Unterrichtung muss in allgemein verständlicher Form erfolgen (§ 13 Abs. 1 Satz 1 TMG). Zur notwendigen Information gehört gemäß § 13 Abs. 1 Satz 2 TMG wie oben geschildert auch die Information des Nutzers über die Verwendung von Cookies (siehe hierzu auch die ADM Richtlinie zu Online Befragungen – dort finden Sie eine vorformulierte Einwilligung bei Verwendung von Cookies). Die jederzeitige Abrufbarkeit der Information ist gesetzlich vorgeschrieben, § 13 Abs. 1 Satz 3 TMG. Es muss also ausdrücklich darauf hingewiesen werden, dass personenbezogene Daten erhoben und verwendet werden und zu welchem Zweck die Datenerhebung erfolgt. Das Landgericht Berlin hat in seiner sogenannten Facebook Entscheidung vom 06. März 2012 die dort gegebenen Hinweise über die Auswertung von personenbezogenen Daten nicht als ausreichend angesehen und somit eine wirksame Einwilligung verneint (LG Berlin, 06. März 2012, Az.: 16 O 5551/10). Erforderlich ist eine aktive Einwilligung (Opt-In). Ein für die Einwilligungserteilung vorgegebenes Feld ist anzuklicken; dieser Vorgang muss nachweisbar bzw. dokumentiert sein. Diskutiert wird, ob die Teilnahme am Sozialen Netzwerk als Ausschlusskriterium der Freiwilligkeit anzusehen ist. Wer seine Einwilligung nicht gibt, wird in der Regel von der Teilnahme am Sozialen Netzwerk ausgeschlossen. Die herrschende Meinung ist gleichwohl der Auffassung, dass eine Freiwilligkeit zu bejahen ist, denn es sei letztlich die freie Entscheidung des Betroffenen, was ihm wichtiger ist. Das halte ich für grenzwertig, aber wohl gerade noch zu bejahen.

c) Der Gesetzgeber plant gemäß § 308 Nr. 9 BGB-Entwurf einen neuen Tatbestand für datenschutzrechtliche Einwilligungen. Das AGB-Recht dient dem Verbraucherrecht. Die restriktive verbraucherfreundliche Auslegung im AGB-Recht erfordert dann noch mehr Sorgfalt bei der Abfassung von Einwilligungserklärungen. Nach der geplanten Gesetzesfassung ist eine Einwilligung zur Nutzung grundsätzlich unzulässig, soweit dies nicht zur Erfüllung des Vertrages erforderlich ist. Das Erforderlichkeitskriterium wird bereits jetzt restriktiv ausgelegt. In einem zweiten Prüfungsschritt soll die Einwilligung unter den folgenden drei kumulativen Voraussetzungen wirksam sein

• Aufklärung des Verbrauchers über die Folgen der Weigerung zur Einwilligung und Hinweis auf Widerrufsmöglichkeit.
• Verbraucher soll die Möglichkeit eingeräumt werden, die vorformulierte Einwilligungserklärung selbst dahingehend zu ergänzen, ob er die Einwilligung erteilt oder verweigert („vorformulierte Einwilligung durch ankreuzen bestimmter Inhalte vervollständigen“).
• Erteilte Einwilligung ist unwirksam, wenn der Verbraucher „auf die vertragliche Leistung angewiesen ist“ (Koppelungsverbot).

Aufgrund der Anlehnung an § 4 a BDSG und bestehender Rechtsprechung ist der Mehrwert der Neuregelung fraglich. Sie fasst allerdings die derzeitige Gesetzes- und Rechtsprechungslage zusammen und dürfte durch die bereits angesprochene verbraucherfreundliche Auslegung im AGB-Recht zu erhöhten Sorgfaltspflichten und Wirksamkeitsrisiken führen.

13. Beim unternehmenseigenen Internetauftritt sind die Impressumspflichten des § 5 Abs. 1 TMG zu beachten. Diensteanbieter haben für geschäftsmäßige Telemedien die folgenden Informationen

• leicht erkennbar
• unmittelbar erreichbar und
• ständig verfügbar

zu halten.

§ 5 Allgemeine Informationspflichten

(1) Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:
1. den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben über das Kapital der Gesellschaft gemacht werden, das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen,
2. Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post,
3. soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde,
4. das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das sie eingetragen sind, und die entsprechende Registernummer,
5. soweit der Dienst in Ausübung eines Berufs im Sinne von Artikel 1 Buchstabe d der Richtlinie 89/48/EWG des Rates vom 21. Dezember 1988 über eine allgemeine Regelung zur Anerkennung der Hochschuldiplome, die eine mindestens dreijährige Berufsausbildung abschließen (ABl. EG Nr. L 19 S. 16), oder im Sinne von Artikel 1 Buchstabe f der Richtlinie 92/51/EWG des Rates vom 18. Juni 1992 über eine zweite allgemeine Regelung zur Anerkennung beruflicher Befähigungsnachweise in Ergänzung zur Richtlinie 89/48/EWG (ABl. EG Nr. L 209 S. 25, 1995 Nr. L 17 S. 20), zuletzt geändert durch die Richtlinie 97/38/EG der Kommission vom 20. Juni 1997 (ABl. EG Nr. L 184 S. 31), angeboten oder erbracht wird, Angaben über
a) die Kammer, welcher die Diensteanbieter angehören,
b) die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist,
c) die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind,
6. in Fällen, in denen sie eine Umsatzsteueridentifikationsnummer nach § 27a des Umsatzsteuergesetzes oder eine Wirtschafts-Identifikationsnummer nach § 139c der Abgabenordnung besitzen, die Angabe dieser Nummer,
7. bei Aktiengesellschaften, Kommanditgesellschaften auf Aktien und Gesellschaften mit beschränkter Haftung, die sich in Abwicklung oder Liquidation befinden, die Angabe hierüber.
(2) Weitergehende Informationspflichten nach anderen Rechtsvorschriften bleiben unberührt.

Diensteanbieter ist (siehe oben 3.) jede juristische Person, die eigene oder fremde Telemedien zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt (§ 2 Nr. 1 TMG). Die Informationen haben ständig, unmittelbar erreichbar und eindeutig (etwa durch jeden Zeitpunkt sichtbaren und bereitstehenden Link „Impressum“) auf der Webseite zu erscheinen. Die Angaben nach § 5 TMG ersetzen selbstverständlich nicht weitergehende Informationspflichten wie sie sich etwa aus dem Bürgerlichen Gesetzbuch oder dem Handelsgesetzbuch ergeben können. Bei Verstößen drohen Unterlassungsansprüche und Abmahnungen. Am 18. Mai 2010 trat im Übrigen die Verordnung über Informationspflichten für Dienstleistungserbringer (DL-InfoV, BGBL I, Seite 267) in Kraft, die zusätzlich zu den für das Impressum geregelten Pflichten nach § 5 TMG noch eine Reihe weiterer Informationspflichten vorsieht. Hierzu gehört insbesondere die Information über etwaige vorhandene Allgemeine Geschäftsbedingungen.

Wichtig sind auch die Transparenzerfordernisse des § 6 TMG. Die kommerzielle Kommunikation muss als solche klar erkennbar sein. Preisausschreiben oder Gewinnspiele mit Werbecharakter müssen mitsamt Teilnahmebedingungen leicht zugänglich und leicht verständlich sein.

14. Ein weiteres großes und wichtiges Thema im Zusammenhang von Sozialen Medien, Datenschutz und Marktforschung ist die urheberrechtliche und telemedienrechtliche Verantwortung und Haftung. Hierzu darf ich auf meine ausführliche Kolumne vom Januar 2013 mit dem Titel „Verantwortlichkeit und Haftung bei Anbietern von Telemediendiensten“ verweisen.