Aktuelle Rechtsfragen aus der Marktforschungspraxis Soziale Medien, Datenschutz und Marktforschung

Dr. Ralf Tscherwinka (Dr. Hönig Rechtsanwälte)

Von Dr. Ralf Tscherwinka

Unlängst hat Miriam Meckel in der ZEIT  (28. Juni 2012, S. 13) die Wechselbeziehung zwischen den Sozialen Medien und ihren aktiven Nutzern wie folgt beschrieben:

"Wer immer heute etwas im Internet sucht, bekommt in der Regel individualisierte Ergebnisse. Dabei werden vorherige Suchanfragen mit den Daten, die ansonsten im Internet über die Nutzer kursieren kombiniert, ausgewertet, gewichtet und weiter verarbeitet. Jeder bekommt die Suchergebnisse aufgelistet, die am besten zu seinen bisherigen Präferenzen passen. So entsteht ein individuelles Profil eines jeden Menschen, das zum Ansprechpartner der Maschine und in der Folge auch zum Gesprächspartner anderer Menschen wird."

Während sich Miriam Meckel im Kern mit der spannenden Frage beschäftigte, welche Autonomie und Selbststeuerung der "aktive" Internetnutzer sozialer Medien (noch) hat, geht es in der heutigen Kolumne darum, welche datenschutzrechtlichen Bestimmungen und Grenzen bei der Nutzung Sozialer Netzwerke unter dem Gesichtspunkt der Marktforschung bestehen.

Zweck des Bundesdatenschutzgesetzes ist es gemäß § 1 BDSG, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Das für das Recht auf informationelle Selbstbestimmung grundlegende Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG 65, 1) gewährleistet das Allgemeine Persönlichkeitsrecht des Artikel 2 Abs. 1 GG in Verbindung mit Artikel 1 GG und "insbesondere die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen". Persönlichkeitsschutz im Netz "ist vor allem Schutz vor der Bildung, Speicherung, Nutzung und Weitergabe von statischen und Bewegungsdaten der Internetnutzer, die sich zu Mustern (Profilen) aufsummieren können, gleichwohl aber für sich genommen oft freiwillig offenbart werden" (Peifer, Persönlichkeitsschutz im Internet – Anforderungen und Grenzen einer Regulierung, JZ vom 07. September 2012, S. 851, 853 ff.) Die im Netzwerk gespeicherten Daten können natürlich zu unterschiedlichsten Zwecken gespeichert, genutzt und mit anderen Informationen bis hin zur Erstellung eines individuellen oder pseudonymisierten Nutzerprofils zusammengefügt und zur Schaltung personalisierter Werbung verwendet werden. Nutzungen in Sozialen Medien führen automatisch zu neuen Datensätzen, seien es von Nutzern aufgerufene Seiten oder Email-Adressbücher von Nutzern, zu denen die Nutzer Zugang gewähren, um Kontakte oder Freunde zu finden oder vieles andere mehr.

Klärungsbedarf besteht daher, ob und inwieweit die Erhebung und Verarbeitung personenbezogener Daten in Sozialen Medien mit den gesetzlichen Bestimmungen des Datenschutzrechts in Einklang steht.

Es geht im Folgendem darum, im rechtlichen Neuland der Sozialen Medien Klarheit zu finden und "Leitplanken" darzustellen. Der kommende 69. Deutsche Juristentag im Herbst 2012 wird sich im Wesentlichen mit der Frage beschäftigen, ob und welche Änderungen beim Persönlichkeits- und Datenschutzrecht vorzunehmen sind. Vieles ist auf diesem Gebiet ungeklärt. Höchstrichterliche Entscheidungen liegen nur partiell vor. Die Kommentarliteratur hat viele Bereiche noch nicht aufgegriffen. Wie immer bei Juristen ist (fast) alles umstritten. Daher sei auf zweierlei hingewiesen: Dieser Beitrag betritt ganz bewusst Neuland, umfangreiche Gutachten oder höchstrichterliche Rechtsprechung zu unserem heutigen Thema liegen noch kaum vor. Zum anderen folgt gerade daraus die Notwendigkeit (und Ankündigung), in den kommenden Monaten in unregelmäßiger Folge immer wieder das heutige Thema: Soziale Medien, Marktforschung und Datenschutzrecht aufzugreifen, die rechtliche Entwicklung zu beobachten und über sie hier fortlaufend zu informieren.

Ich gebe zunächst einen Überblick über die einschlägigen gesetzlichen Bestimmungen, in deren Umfeld sich die folgenden rechtlichen Überlegung bewegen müssen (I.). Im Kapital II. erarbeiten wir, was zu beachten ist, wenn sich ein Marktforschungsunternehmen einen eigenen Auftritt, einen eigenen Account auf einer Social Media Plattform einrichten möchte. Unter III. gehen wir dann auf der Grundlage der zuvor gewonnenen Erkenntnisse auf verschiedene Einzelfragen detaillierter ein (Einwilligung, Nutzerprofile, Cookies, Apps). Unter IV. prüfen wir die rechtliche Zulässigkeit der Versendung von Emails zu Marktforschungszwecken. Und abschließend betrachten wir unter V. ein Thema, das nicht nur marktforschungsspezifisch ist, aber Marktforschungsunternehmen genauso betrifft wie andere, nämlich die Zulässigkeit von Recherchen über Bewerber in Sozialen Medien.

I.1) In den vorangegangenen Kolumnen haben wir mehrfach darauf hingewiesen, dass das deutsche und europäische Datenschutzrecht auf dem Grundsatz des Verbots mit Erlaubnisvorbehalt beruhen: Verboten ist alles, was nicht ausdrücklich erlaubt ist (§ 4 Abs. 1 BDSG, Artikel 7 EU Datenschutzrichtlinie). Damit wird der Grundsatz der Vertragsfreiheit auf den Kopf gestellt. Datenverarbeitungsvorgänge, die nicht ausdrücklich durch eine gesetzliche Erlaubnisnorm oder eine andere Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG gerechtfertigt werden, bedürfen der Einwilligung des Betroffenen. Dies gilt im BDSG genauso wie in den datenschutzrechtlichen Bestimmungen des Telemediengesetzes (TMG).

Gemäß § 1 TMG gilt das Telemediengesetz für alle elektronischen Informations- und Kommunikationsdienste. Diensteanbieter im Sinne des TMG ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt (§ 2 Abs. 1 Ziffer 1 TMG); ferner ist als Nutzer jede natürliche oder juristische Person definiert, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen (§ 2 Abs. 1 Ziffer 3 TMG).Gemäß § 1 Abs. 1 TMG fällt unter Telemedien, was keine Telekommunikation ist. Gemäß § 3 Nr. 24 TKG sind Telekommunikationsdienste in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Während bei Telekommunikation der Dienst als Kommunikation im Vordergrund steht, wird durch das TMG eher die Diensterbringung durch Verwendung der Telekommunikation erfasst.

§ 12 TMG entspricht § 4 BDSG:

"Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat."

Darüber hinaus darf der Diensteanbieter für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat (§ 12 Abs. 2 TMG).

Soweit des TMG Anwendung findet, ist es vorrangig gegenüber dem Bundesdatenschutzgesetz (BDSG). Denn gemäß § 1 Abs. 3 BDSG gilt folgendes:

"Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.

"Eine solche "andere Rechtsvorschrift des Bundes" ist das TMG. Anwendungsvoraussetzung für die vorgenannten Vorschriften ist selbstverständlich, dass es sich um personenbezogene Daten handelt. Die Fragen, was personenbezogene Daten sind und wie die "Bestimmbarkeit" von Daten im Sinne von § 4 Abs. 1 BDSG diskutiert wird, haben wir bereits in den vorausgegangenen marktforschung.de Kolumnen intensiv erörtert; hierauf sei an dieser Stelle verwiesen.

I.2) Sowohl nach §§ 4, 4 a Abs. 1 BDSG als auch nach §§ 12 Abs. 1, 13 Abs. 2 TMG lassen sich Datenerhebung und Datenverarbeitung in sozialen Netzwerken durch die elektronische Form der Einwilligung rechtfertigen (§ 13 Abs. 2 TMG, § 4 a Abs. 1 Satz 3 BDSG i. V. m. § 28 Abs. 3 a BDSG).

Darüber hinaus erlauben für Bestands- und Nutzungsdaten die §§ 14 und 15 TMG, für Inhaltsdaten die §§ 28 und 29 BDSG Internetanbietern und Telemediendienstleistern die Erhebung, Speicherung und Nutzung personenbezogener Daten ohne Rücksicht auf die vorherige Einwilligung des Nutzers. Es kommt darauf an, ob, wenn keine Einwilligung vorliegt, die gesetzlichen Erlaubnisnormen (§§ 14, 15 TMG, §§ 28, 29, 30 a BDSG) erfüllt sind. Für personenbezogene Daten, deren Verwendung nicht durch die §§ 14, 15 TMG oder die §§ 28, 29, 30 a BDSG legitimiert ist, bedarf es selbstverständlich auch in den Sozialen Netzwerken einer Einwilligung.

Für Inhaltsdaten gibt es keine Regelung im TMG, so dass nach herrschender Auffassung mangels Anwendbarkeit der Subsidiaritätsklausel des § 1 Abs. 3 BDSG (siehe oben I. 1) das Bundesdatenschutzgesetz für sie stets Anwendung findet.

Das Telemediengesetz findet grundsätzlich nur Anwendung im Verhältnis zwischen Anbieter und Nutzer (§ 11 TMG). Das gilt jedenfalls für Bestands- und Nutzungsdaten.

Im Verhältnis Anbieter und Dritter findet das Telemediengesetz keine Anwendung, hier greift das Bundesdatenschutzgesetz (§§ 28, 29, 30 a BDSG).

I.3) Nach wohl herrschender und meines Erachtens zutreffender Auffassung ist die Erhebung persönlicher Daten aus sozialen Netzwerken, die allgemein zugänglich, d.h. über Suchmaschinen verfügbar sind, gemäß § 28 Abs. 1 Satz 1 Nr. 3 BDSG zulässig (vergleiche Frings / Wahlers, WB 2011, S. 3127 mit weiteren Nachweisen; andere Auffassung Däubler, BDSG, § 32, Rdnr. 56 ff.). Entscheidend ist hier die Frage, ob es sich um eine "allgemein zugängliche Quelle" handelt. Je offener das Forum ist, umso eher wird man dies bejahen können, je geschlossener der Teilnehmerkreis ist, insbesondere wenn der Zutrifft auf bestimmte Teilnehmer mit Passwort beschränkt ist, wird man die Qualität einer allgemein zugänglichen Quelle verneinen müssen (Kreis der "Freunde" bzw. "Freunde der Freunde"). Wenn der Nutzer den Zugang zu seinem Profil aber nicht ausdrücklich beschränkt hat und jeder zugreifen kann, ist meines Erachtens eine allgemein zugängliche Quelle in der Regel zu bejahen.

I.4) Es ist allerdings gerichtlich noch ungeklärt, ob der Grundsatz der Direkterhebung gemäß § 4 Abs. 2 BDSG auch beim Vorliegen eines gesetzlichen Erlaubnistatbestands (z.B. § 28 Abs. 1 Satz 1 Nr. 3 BDSG) durchgreift. Gemäß § 4 Abs. 2 BDSG sind personenbezogene Daten grundsätzlich beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur unter den in § 4 Abs. 2 Satz 2 BDSG genannten Voraussetzungen erhoben werden.

Nach wohl herrschender Auffassung reicht das bloße Vorliegen einer gesetzlichen Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG nicht aus, um den Grundsatz der Direkterhebung auszuhebeln. In einem ersten Schritt muss vielmehr geprüft werden, ob eine Einwilligung oder ein gesetzlicher Erlaubnistatbestand (§ 4 Abs. 1 BDSG) vorliegt. Erst im zweiten Schritt ist dann, wenn auf der ersten Prüfungsebene grünes Licht gegeben werden kann, zu prüfen, ob vom Grundsatz der Direkterhebung gemäß § 4 Abs. 2 Satz 2 BDSG abgewichen werden darf. Allerdings ist meines Erachtens im Rahmen der erforderlichen Interessenabwägung ausschlaggebend, ob Daten über eine Suchmaschine allgemein zugänglich sind. Das schutzwürdige Interesse des Betroffenen ist dann nicht verletzt, wenn er selbst die Information allgemein zugänglich gemacht hat und die Herausnahme des Profils aus der Google Suche möglich gewesen wäre. Eine paternalistische Rechtsauffassung würde meinem Verständnis sicherlich widersprechen, denn meine Auffassung setzt einen verständigen Nutzer voraus, der sich auch der Risiken seiner Datenveröffentlichung bewusst ist.

II.1) Bei der Erstellung und Verlinkung der Datenschutzerklärungen bei Auftritten in Sozialen Medien ist größtmögliche Sorgfalt geboten. Rechtsgrundlage für Datenschutzerklärungen ist § 13 Abs. 1 TMG. Daneben sind die Vorschriften des Zivilrechts zu den Allgemeinen Geschäftsbedingungen (§§ 305 ff. BGB) zu beachten. Auf eine wirksame Einbeziehung der Geschäftsbedingungen ist genauso zu achten wie auf die aktive Einwilligung des Betroffenen.

Plattformbetreiber wie Facebook stellen eigene Nutzungsbedingungen, die jedes Unternehmen, das auf der Social Media Plattform auftreten möchte, beachten muss.

Gemäß § 5 Abs. 1 TMG muss ein Unternehmen, das auf einer Social Media Plattform einen Account betreibt, ein Impressum veröffentlichen, empfehlenswert ist hier die Einstellung oder Verlinkung auf der betroffenen Unterseite. Die Verletzung von Impressumspflichten kann zu Unterlassungsansprüchen oder wettbewerbsrechtlichen Abmahnungen führen.

Die Bestimmungen des § 13 TMG sind für die Datenschutzerklärung unbedingt zu beachten; über die Daten, die konkret genutzt und verarbeitet werden, muss in allgemein verständlicher Form unterrichtet werden.

Vorsorglich sollte die Anwendung deutschen Datenschutzrechtes bestimmt werden. Nach Artikel 3 Abs. 1 Satz 1 Rom I-VO unterliegt der Vertrag dem von den Parteien gewählten Recht.

Wer eine Webseite betreibt, hat darüber hinaus gemäß § 7 Abs. 1 TMG eine Verantwortlichkeit für eigene Inhalte nach den allgemeinen gesetzlichen Bestimmungen. Ein einfacher Disclaimer oder Waiver reicht grundsätzlich nicht aus, um sich von diesen Pflichten befreien zu können. Für Inhalte Dritter kann man grundsätzlich verantwortlich gemacht werden, wenn man sich diese Inhalte zu eigen macht (BGH Urteil vom 12. September 2009, Az.: I ZR 166/07). Die §§ 7, 10 TMG enthalten Haftungsprivilegierungen für fremde Inhalte: Erst wenn positive Kenntnis über eine Rechtsverletzung oder eine Unterrichtung über eine Rechtsverletzung vorliegt, sind Betreiber von Internetforen zur Löschung bzw. Prüfung verpflichtet. Hier empfiehlt sich unternehmensintern zu bestimmen, wer für diese Prüfungspflichten verantwortlich ist und entsprechende Prozesse einzupflegen.

II.2) § 13 Abs. 1 TMG schreibt vor, dass der Internetnutzer über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der EG Datenschutzrichtlinie in allgemein verständlicher Form zu unterrichten ist (§ 13 Abs. 1 Satz 1 TMG). § 13 Abs. 1 Satz 2 TMG verpflichtet den Internetanbieter zu allgemein verständlichen Formulierungen. § 13 Abs. 1 Satz 2 TMG verlangt zudem die Information des Nutzers über die Verwendung von Cookies (zur Verwendung von Cookies beachten Sie bitte auch die lesenswerte ADM Richtlinie – Richtlinie für Online-Befragungen – die eine vorformulierte Einwilligung bei Verwendung von Cookies zur Verfügung stellt). Nach § 13 Abs. 1 Satz 3 TMG ist die jederzeitige Abrufbarkeit der Information vorgeschrieben. Auch § 13 Abs. 1 Satz 1 TMG gilt natürlich nur für personenbezogene Daten.

§ 15 Abs. 3 Satz 2 TMG verpflichtet den Diensteanbieter schließlich zu einem Hinweis auf das Widerspruchsrecht gegen die Erstellung von (pseudonymen) Nutzungsprofilen.

Die Unterrichtungspflichten gemäß § 13 Abs. 1 TMG beziehen sich nur auf Daten des Nutzers selbst, nicht auf Dritte.

Nicht besonders benutzerfreundlich ist es, dass weder das Bundesdatenschutzgesetz noch das Telemediengesetz verlangen, den Nutzer über die Fragen der Datensicherheit und des Schutzes gegen missbräuchliche Verwendung (durch Dritte) zu informieren.

Die Gestaltung der Datenschutzbestimmungen bleibt aus gesetzlicher Sicht jedem selbst überlassen.

Dabei sind jedoch die Pflichten zur Hervorhebung und die inhaltlichen Vorgaben, die wir oben beschrieben haben, unbedingt zu beachten.Dabei ist auch stets zu beachten, dass in der Regel das Recht der Allgemeinen Geschäftsbedingungen (§ 305 ff. BGB) Anwendung findet. Datenschutzbestimmungen, die generell Anwendung finden sollen, sind typischerweise Allgemeine Geschäftsbedingungen, die nutzer- und verbraucherfreundlich auszugestalten sind. Eine geltungserhaltende Reduktion scheidet aus: In der Regel sind Regelungen, die in Allgemeinen Geschäftsbedingungen enthalten sind, entweder wirksam oder komplett unwirksam. Vielmehr gilt bei Allgemeinen Geschäftsbedingungen in der Regel der Grundsatz: Alles oder nichts. Das ist bei der Formulierung solcher Bedingungen zu beachten. Datenschutzbestimmungen – genauso wie Einwilligungserklärungen – bedürfen in ihrer Formulierung und Gestaltung aller höchster Sorgfalt.

Die Bestimmungen zum AGB-Recht (§§ 305 ff. BGB) enthalten insbesondere das Verbot überraschender Klauseln. Der Widerruf einer erteilten Einwilligung darf nicht an eine strengere Form als die Schriftform oder die Form der Erteilung der Einwilligung gebunden werden, § 309 Nr. 13 BGB. Transparenz und Verständlichkeit sind unabdingbar. Als Verstoß gegen das Transparenzgebot nach § 307 Abs. 1 Satz 2 BGB bewertete das LG Berlin in der Entscheidung vom 06. März 2012 (Az.: 16 O 551/10) die Personalisierung der Werbung für die Nutzer. Soweit Facebook den Nutzern jeweils auf ihre Profile individuell abgestimmte Werbung zukommen lasse, sei die Information von Facebook nicht deutlich. Facebook hatte nur darauf hingewiesen: "Deinen Namen und Dein Profilbild in Verbindung mit kommerziellen oder gesponserten Inhalten zu verwenden".

III.1) Eine rechtswirksame Einwilligung setzt voraus, dass sie auf der freien Entscheidung des Betroffenen beruht. Sie muss in Kenntnis der vorgesehenen Datenverarbeitungsvorgänge erteilt werden. Auf den vorhergesehenen Zweck der Erhebung, Verarbeitung oder Nutzung muss hingewiesen werden. Die Einwilligung ist besonders hervorzuheben. Am 06. März 2012 hat das Landgericht Berlin (LG Berlin, Az.: 16 O 551/10) insbesondere wegen Einwilligungsmängeln die Datenschutzbestimmungen von Facebook als rechtswidrig, insbesondere als unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG betrachtet.

Eine Einwilligung muss allemal aktiv, ausdrücklich erfolgen. Ein Opt-In ist nicht ausreichend. § 13 Abs. 2 Nr. 1 TMG verlangt eine "bewusste und eindeutige" Erteilung der elektronischen Einwilligung. Im Entwurf befindet sich derzeit (und in Diskussion) ein neuer § 13 Abs. 8 Satz 1 TMG, der verschärfte Anforderungen an die informierte Einwilligung erstellt.

Einwilligungen setzen eine ausreichende Information voraus, insbesondere über den Zweck der Datenerhebung, die tatsächlich betroffenen Daten, den zugriffsberechtigten Personenkreis und mögliche Empfänger der Daten. Die Einwilligung hat keine Rückwirkung; sie muss fortlaufend aktualisiert werden.

Es muss darauf hingewiesen werden, dass personenbezogene Daten erhoben und verwendet werden und zu welchem Zweck die Datenerhebung erfolgt. Soweit Facebook das Nutzerverhalten zu Werbezwecken auswerte, sah das Landgericht Berlin aufgrund mangelnder Hinweise keine wirksame Einwilligung gemäß § 4 Abs. 1 Satz 2 BDSG und § 13 Abs. 1 Satz 1 TMG (LG Berlin 06. März 2012, Az.: 16 O 551/10).

Gemäß § 28 Abs. 3 a Satz 2 BDSG sind Einwilligungserklärungen, "soweit diese zusammen mit anderen Erklärungen schriftlich erteilt werden, in drucktechnisch deutlicher Gestaltung besonders hervorzuheben".

Unbedingt erforderlich ist der Hinweis auf die jederzeitige Widerrufbarkeit der Einwilligung, denn § 13 Abs. 2 Nr. 4 TMG verlangt, dass der Nutzer die (elektronisch erteilte) Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. § 13 Abs. 3 TMG schreibt diesen Hinweis ausdrücklich vor.

III.2) Gemäß § 14 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten). Bestandsdaten sind Benutzername, Passwort, Login-Daten, erforderliche Emailadresse u. ä. Vorausgesetzt ist ein Vertragsverhältnis zwischen Diensteanbieter und Nutzer (§ 11 TMG). Fehlt ein solches Vertragsverhältnis, scheidet eine Zulässigkeit gemäß § 14 TMG aus.

Nutzungsdaten darf der Diensteanbieter bei personenbezogenen Daten nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten sind insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien (§ 15 Abs. 1 Ziffern 1, 2 und 3 TMG). Überschneidungen zu Bestandsdaten sind möglich. Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist (§ 15 Abs. 2 TMG). Hier bedarf es also keiner Einwilligung des Nutzers. Fehlt es allerdings an einer Vergütung (wie z.B. bei Facebook), scheidet eine Zulässigkeit gemäß § 15 Abs. 1 TMG von vornherein aus.

Inhaltsdaten sind Daten, die durch die Nutzer generiert werden, z.B. die Einträge auf der Profilseite. Es geht dabei um die eigentlichen übertragenen Nachrichten und Mitteilungen, aber auch um Uhrzeit und Datum des Übertragungsvorgangs. Diese Inhaltsdaten sind, solange der Übertragungsvorgang nicht abgeschlossen ist, geschützt durch das Fernmeldegeheimnis (Artikel 10 Abs. 1 GG). Nach Abschluss des eigentlichen Telekommunikationsvorgangs finden dann die Regelungen des TMG und des BDSG Anwendung. Es handelt sich also um Daten, die eingegeben werden. Inhaltsdaten regelt das TMG nicht. Somit gilt die Vorrangsregelung gemäß § 1 Abs. 3 BDSG nicht, es findet also bei Inhaltsdaten das Bundesdatenschutzgesetz Anwendung. Es kommt also hier darauf an, ob neben §§ 28 ff. BDSG auch § 30 a BDSG Anwendung finden kann (Diskussion Marktforschung / Werbung; Kolumne August 2012).

III.3) Wenn sich weder aus den §§ 14, 15 TMG (siehe oben III.2) noch aus §§ 28, 29, 30 a BDSG eine gesetzliche Zulässigkeit ergibt, bedarf es der Einwilligung des Nutzers. Für die Einwilligung sind dann die formalen Anforderungen des § 4 a BDSG und des § 13 Abs. 2 TMG zu beachten (siehe oben III.1)).

Für Inhaltsdaten ist aufgrund der Anwendung des BDSG zu prüfen, ob die datenschutzgesetzlichen Bestimmungen eingreifen:

Gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Gleiches gilt nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG für die Verarbeitung von Daten, soweit diese zur Wahrung berechtigter Interessen der Verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. § 28 Abs. 1 Satz 1 Nr. 3 BDSG erlaubt die Verarbeitung von Daten, wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen durfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Bei all dem gilt nach § 28 Abs. 1 Satz 2 BDSG der Grundsatz der Zweckbindung, demnach dürfen Daten nur im Rahmen eines gesetzlich bestimmten Zwecks verarbeitet werden und entfällt der Zweck, dann wird die Verarbeitung eben unzulässig. Sollen Daten z.B. auch für ein Gewinnspiel verwendet werden, bedarf es hierzu einer gesonderten rechtswirksamen Einwilligung des Nutzers.

§ 28 BDSG ist statt § 30 a BDSG anwendbar, wenn für die Markt- und Meinungsforschung personenbezogenes Datenmaterial verwendet wird, das bei der verantwortlichen Stelle ursprünglich für einen anderen Zweck erhoben wurde und aus diesem Grund dort vorliegt. Hierzu zählt beispielsweise die interne Auswertung von Daten, die im Rahmen von Geschäftsprozessen anfallen (Abwicklung von Kaufverträgen). Sollte die Weitergabe von Anfang an intendiert sein, ist nicht § 28 BDSG, sondern § 30 a BDSG anzuwenden.

Die Zulässigkeit telefonischer Kundenzufriedenheitsstudien dürfte sich kaum über § 28 Abs. 1 Satz 1 Ziffer 1 oder Ziffer 2 BDSG begründen lassen. Ob Kundenzufriedenheitsstudien für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses "erforderlich" im Sinne von § 28 Abs. 1 Satz 1 Ziffer 1 BDSG sind, ist fraglich und dürfte jedenfalls umstritten sein. Anderes gilt natürlich für vertragsspezifische Abwicklungsthemen (Reklamation, Gewährleistung, Nachbesserungswünsche, Qualitätsmängel etc.). Anrufe zur Kundenzufriedenheit über § 28 Abs. 1 Satz 1 Ziffer 2 BDSG zu begründen, nämlich mit überwiegendem berechtigten Interesse des Unternehmens und zurückstehenden schutzwürdigen Interessen des Betroffenen, ist meines Erachtens weder mit der Tendenz der aktuellen Rechtsprechung noch der Intention des Schutzes Betroffener durch das Bundesdatenschutzgesetz zu vereinbaren.

Gemäß § 29 BDSG kann Datenverarbeitung zulässig sein, wenn ein Grund zu der Annahme eines schutzwürdigen Interesses an dem Ausschluss der Datenerhebung und –speicherung nicht gegeben ist. "Schutzwürdiges Interesse" ist ein abwägungsbedürftiger Rechtsbegriff; dabei sind die Interessen des Betroffenen und des Unternehmens gegeneinander abzuwägen. Ein rechtssicheres Ergebnis dieser Prüfung hängt zum einen vom Einzelfall ab und dürfte in der Regel nur schwer konkret vorhersehbar sein. Eine geschäftsmäßige Erhebung im Sinne des § 29 BDSG liegt im Übrigen vor, wenn die Tätigkeit auf Wiederholung gerichtet und auf eine gewisse Dauer angelegt ist.

Mit der bewussten Trennung zwischen Marktforschung und Werbung in der Novelle des Bundesdatenschutzgesetzes 2009 wurde ausdrücklich der Bereich der Marktforschung, der bisher in § 29 BDSG neben der Werbung und gleichgeregelt mitenthalten war, aus § 29 BDSG herausgelöst. Markt- und Meinungsforschung erhielt eine eigene gesetzliche Erlaubnisnorm gemäß § 30 a BDSG.

Ob und inwieweit § 30 a BDSG hilft, hängt von der grundsätzlichen Abgrenzung zwischen Werbung und Marktforschung ab. Hierzu darf ich auf meine August Kolumne bei marktforschung.de verweisen, in der ich intensiv und detailliert die Diskussion hierzu dargelegt habe. Kundenzufriedenheitsstudien hält die herrschende Rechtsprechung nicht für  Marktforschung, sondern für Werbung, womit eine Anwendung von § 30 a BDSG ausscheidet.

Selbst wenn § 30 a BDSG Anwendung findet, wäre damit noch keine ausreichende Rechtssicherheit für eine Datenerhebung ohne Mitwirkung des Betroffenen selbst gegeben, da § 4 Abs. 2 BDSG den Grundsatz der Direkterhebung beim Betroffenen aufstellt. Ob und inwieweit die Datenerhebung ohne Mitwirkung des Betroffenen selbst zulässig ist, bedarf dann einer gesonderten Prüfung der Voraussetzungen des § 4 Abs. 2 BDSG.

III.4) Zusammengefasst lässt sich als Zwischenergebnis sagen, dass nach dem TMG sowohl Bestands- als auch Nutzungsdaten für die Erbringung des Diensteangebots verwendet werden können, die weitergehende Verwendung jedoch grundsätzlich nur mit Einwilligung des Betroffenen möglich ist. Die Verwendung von Bestandsdaten zu Marktforschungszwecken bedarf der Einwilligung des Betroffenen. Die Nutzung von Bestandsdaten für Werbezwecke ohne Einwilligung des Betroffenen ist ausgeschlossen. Nutzungsdaten dürfen zu Marktforschungszwecken nur in Form von Pseudonymen verwendet werden, wenn der Nutzer nicht widersprochen hat.

Gemäß § 15 Abs. 3 TMG darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien/Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Das ist meines Wissens der Standard bei sogenannten klassischen Analysediensten. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Nach Auffassung der deutschen Datenschutzaufsichtsbehörden ist übrigens eine IP-Adresse kein Pseudonym im Sinne des TMG (Düsseldorfer Kreis, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten, Beschluss vom 26. / 27. November 2009; BFDL 23. Tätigkeitsbericht 2009 / 2010, 48 – 49). Gemäß § 15 Abs. 3 TMG dürfen Nutzungsprofile unter Verwendung von Pseudonymen grundsätzlich nur erstellt werden, sofern der Nutzer hierüber aufgeklärt wurde und nicht widersprochen hat. Die Erstellung von Nutzungsprofilen unter Verwendung von nicht pseudonymisierten Daten bzw. der vollständigen IP-Adresse ist somit ohne Einwilligung des betroffenen Nutzers unzulässig.

Ein personenbezogenes Nutzungsprofil ist unzulässig, § 15 Abs. 3 Satz 3 TMG. Problematisch ist die Frage nach dem Nutzungsprofil, wenn der Personenbezug noch möglich ist, aber nicht hergestellt wird. Im Sinne einer restriktiven Auslegung wird man dies wohl nicht mehr als zulässig gemäß § 15 Abs. 3 Satz 2 TMG ansehen können. Unproblematisch ist natürlich ein anonymes Nutzungsprofil.

Problematisch wiederum ist die Frage, was eigentlich ein Nutzungsprofil ist, wer das definiert und welche Voraussetzungen hierfür vorliegen müssen. Ein Nutzungsprofil ist wohl mehr als ein Nebeneinander einzelner Daten. Reichen schon ein oder zwei Daten für ein Nutzungsprofil aus? Ist von einem Nutzungsprofil nur bei einer sinnhaften Verknüpfung der Daten zu sprechen oder schlicht und einfach dann, wenn mehrere Daten, die für ein Nutzungsprofil geeignet sind, vorliegen? Im Beitrag vom 07. September 2012 weist Peifer (Persönlichkeitsschutz und Internet – Anforderungen und Grenzen einer Regulierung, a. a. O.) zu Recht auf folgendes hin: "Was ein Persönlichkeits- oder Nutzerprofil als Teilabbild der Persönlichkeit ist und ab welcher Datenanzahl es vorliegt, ist weder erforscht und auch kaum fixierbar."

Während § 15 Abs. 3 TMG für Nutzerprofile die Pseudonymisierung verlangt und (wohl nicht nur) Facebook sogar in der Lage ist, individualisierte Nutzerprofile zu erstellen, stellt sich meines Erachtens für die Marktforschung bereits die grundsätzliche Frage, ob überhaupt ein (individuelles oder pseudonymisiertes) Profil einzelner Personen für aggregierte Auswertungen entscheidend ist. Wenn es meines Erachtens nicht um eine individuelle Profilerstellung geht, sondern eine aggregierte Auswertung verschiedener Nutzer, dürfte keine Nutzerprofilerstellung anfallen. Das wäre denkbar ein Aspekt aus Sicht der Marktforschung und bei zukünftigen Diskussionen zu prüfen, ob dieser Gedanke belastbar ist.

Telemediennutzer haben einen gesetzlichen Anspruch auf anonyme Nutzung von Telemedien (§ 13 Abs. 6 TMG); der Diensteanbieter hat die anonyme Nutzung zu ermöglichen und den Nutzer über diese Möglichkeit zu informieren (§ 13 Abs. 6 Satz 2 TMG). Eine Verzahnung mit der standesrechtlich auf die Anonymität verpflichteten Markt- und Meinungsforschung und § 30 a BDSG bietet sich hier meines Erachtens geradezu an. Marktforschung wäre in der Lage, diesen gesetzlichen Anonymitätsanspruch zu gewährleisten und umzusetzen. Auch hier bin ich gespannt, welche tatsächlichen Möglichkeiten von der Marktforschung in diesem populären und marktforschungsspezifischen Bereich ergriffen werden können.

III.5) Cookies sind als solche keine personenbezogenen Daten, sie führen jedoch zur Bestimmbarkeit bei der Nutzung bestehender Verknüpfungsmöglichkeiten. Nach EU-Richtlinie 2009/136/EG ist für das Platzieren von Cookies auf dem Endgerät des Nutzers dessen Einwilligung nötig. Gemäß § 13 Abs. 1 Satz 2 TMG ist eine Unterrichtung des Nutzers erforderlich.

III.6) Wenn ein außereuropäischer App-Anbieter in Deutschland Daten erhebt, nutzt oder verarbeitet, findet deutsches Datenschutzrecht Anwendung, § 1 Abs. 5 BDSG. Für die Erhebung, Verwendung und Verarbeitung personenbezogener Daten des Nutzers benötigt der App-Anbieter grundsätzlich die umfassende, informierte, vorherige und transparente Einwilligung des Nutzers. In der informierten, aktiven Einwilligung gemäß § 4 Abs. 1 BDSG und der sorgfältigen Einwilligungsformulierung steckt das entscheidende Problem. Die Datenschutzerklärung ist gemäß § 13 Abs. 1 TMG zu verlinken. Opt-Out ist aus rechtlicher Vorsorge nicht als ausreichend anzusehen. Genauso wie beim Like-Button (siehe unten III.7) bedarf es auch hier entweder wieder der Einwilligung des Nutzers oder eines gesetzlichen Erlaubnistatbestands (§ 28 Abs. 1 Satz 1 Nr. 2, 3 BDSG). Denn der Anbieter der App hat nicht nur Zugriff auf die Daten der Nutzer. Es können auch Daten von Nutzern an den App-Anbieter übermittelt werden, die selbst die App nicht nutzen.

III.7) Webseitenbetreiber, die den Like-Button verwenden, sind nach wohl herrschender Meinung datenschutzrechtlich verantwortlich. Der sogenannte Düsseldorfer Kreis empfiehlt die sogenannte 2-Klick-Lösung: Der Button ist weiterhin auf einer Internetseite eingebunden, aber deaktiviert. Der vorab informierte Nutzer kann den Button aktivieren (1. Klick) und anschließend seine Empfehlung geben (2. Klick).

Wer die Webseite mit dem Like-Button anklickt, löst damit aus, dass im Profil des Nutzers eine Nachricht mit einem Link zur angeklickten Webseite erscheint. Auch registriert Facebook über den Like-Button die von den eigenen Nutzern aufgerufenen Webseiten. Jedenfalls technisch möglich wäre es für Facebook auch Daten von Dritten zu erheben und zu speichern, die also noch keine Anmeldung auf Facebook vorgenommen haben.

Wenn eine Einwilligung in die Erhebung und Verarbeitung von Daten durch Facebook auf Webseiten mit den Like-Button fehlt (wovon regelmäßig auszugehen ist), müsste eine gesetzliche Erlaubnisnorm vorliegen. § 15 Abs. 1 TMG reicht hierfür nicht aus. Demnach müsste es "erforderlich sein", um die Inanspruchnahme von Telemedien zu ermöglichen. Die Verwendung eines Like-Buttons ist aber nicht erforderlich, um die Inanspruchnahme von Telemedien zu ermöglichen. Die Anwendung eines Like-Buttons ist daher nicht nur rechtlich problematisch, sondern auch aufgrund drohender Ordnungswidrigkeiten und Bußgeldbescheide wirtschaftlich riskant. Wer dennoch einen Like-Button einbauen möchte, muss in der Datenschutzerklärung nach § 13 Abs. 1 TMG (siehe oben II.1)) unbedingt einen transparenten Hinweis und Erläuterungen zum "Like"-Button einfügen.

III.8) Das Oberlandesgericht München hat in einer Entscheidung vom 12. Januar 2012 (Az.: 29 U 3926/11) entschieden, dass ein Verstoß gegen die datenschutzrechtliche Bestimmung des § 4 und § 28 BDSG keinen wettbewerbsrechtlichen Unterlassungsanspruch rechtfertigt. Nach § 4 Nr. 11 UWG handelt unlauter, wer einer gesetzlichen Vorschrift zuwider handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Das Datenschutzrecht sei Ausschluss des Persönlichkeitsrechts und es gehe nicht konkret um den Schutz in der Rolle als Marktteilnehmer. Die Bestimmungen des BDSG stellen ungeachtet dessen, dass sich ihre Verletzung im Geschäftsleben durchaus auswirken kann, grundsätzlich keine Marktverhaltensregelungen dar (OLG München, a. a. O.). Weder Verbraucher noch Unternehmer würden von §§ 4 Abs. 1, 28 Abs. 1, Abs. 3, 35 Abs. 2, Abs. 3 BDSG im Hinblick auf wettbewerbliche Interessen als Marktteilnehmer geschützt, die für einen Verstoß gegen §§ 3, 4 Nr. 11 UWG allein relevant sind. Andere Oberlandesgerichte haben anders entschieden und sind der Auffassung, dass man auch durch datenschutzrechtliche Verstöße einen Wettbewerbsvorteil erlangen könne und sehen einen gemeinsamen Anwendungsbereich des Datenschutz- und Wettbewerbsrechts (OLG Köln, MMR 2009, 845; OLG Stuttgart, MMR 2007, 437; OLG Nauenburg, NJW 2003, 3566). Meines Erachtens kann der Wettbewerbsbezug des Datenschutzrechts nicht geleugnet werden. Hinzu kommt, dass inzwischen allen bewusst ist, welchen ökonomischen Wert personenbezogene Daten und deren Nutzungsmöglichkeit inne wohnt. Auf die weitere Entwicklung der Rechtsprechung zu diesem für Marktforschungsunternehmen im Hinblick auf die Gefahr von Abmahnungen und Unterlassungsaufforderungen relevante Thematik darf man gespannt sein.

IV. Wenn Unternehmen Emails ohne vorherige Einwilligung des Adressaten versenden und damit Werbung betreiben, ist dies grundsätzlich eine wettbewerbsrechtlich unzulässige Geschäftshandlung, insbesondere eine unzumutbare Belästigung gemäß § 7 Abs. 2 UWG. Demnach sind unzumutbare Belästigungen stets anzunehmen bei Werbung unter Verwendung elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt (§ 7 Abs. 2 Ziffer 3 UWG). Abweichend von § 7 Abs. 2 Nr. 3 UWG ist eine unzumutbare Belästigung  bei einer Werbung unter Verwendung elektronischer Post allerdings unter den folgenden Voraussetzungen nicht anzunehmen, nämlich wenn

• ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
• der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
• der Kunde bei Verwendung nicht widersprochen hat und
• der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach dem Basistarif entstehen.

Grundsätzlich ist also Werbung via Emails nur mit vorheriger ausdrücklicher Einwilligung des Adressaten erlaubt. Die Einwilligung des Nutzers muss hier aktiv erfolgen (Opt-In) und darf nicht z.B. voreingestellt sein. Allerdings wird aktuell diskutiert, ob die Anforderungen an die Einwilligung des Betroffenen in die Nutzung seiner personenbezogenen Daten durch Standarderklärungen oder Standardeinstellungen von Browsern zu vereinfachen sind. Die Einwilligung muss unbedingt beweisbar protokolliert sein. Liegen diese Voraussetzungen vor, ist natürlich auch eine zu Zwecken der Marktforschung versendete Email rechtlich zulässig. Auf diese Voraussetzungen käme es allerdings nicht an, wenn es sich nicht um Werbung, sondern um Marktforschung handelt und § 7 UWG dann gar nicht zur Anwendung kommen würde.

Gemäß § 30 a BDSG ist bekanntlich das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder Meinungsforschung zulässig, wenn

1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen durfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt.

Liegt also Marktforschung vor – und keine Werbung – ist § 7 Abs. 3 UWG nicht anwendbar. Dann richtet sich die Zulässigkeit nach § 30 a BDSG. Diese Norm ist unstreitig eine gesetzliche Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG, somit wäre eine Einwilligung nicht erforderlich. Das entscheidende Problem liegt nun darin, dass die derzeit herrschende Rechtsprechung und Kommentarliteratur z.B. bei Kundenzufriedenheitsstudien keine Marktforschung sieht, sondern Werbung. Hierauf bin ich in meiner vorangegangenen Kolumne vom August 2012 (§ 30 a BDSG – unsung hero oder Rohrkrepierer – bereits ausführlich eingegangen). Auf die Abgrenzungskriterien zwischen Werbung und Marktforschung, auf die herrschende Rechtsprechung und die bedauerliche rechtliche Tatsache, dass die Gerichte den Anwendungsbereich von § 30 a BDSG dadurch aushebeln, dass sie dort, wo Marktforschere Marktforschung sehen, Werbung sehen und somit § 7 UWG statt § 30 a BDSG anwenden, habe ich ausführlich hingewiesen.

Zu telefonischen Kundenzufriedenheitsstudien ohne vorangegangene Einwilligung der angerufenen Person vertritt das OLG Köln (Urteil vom 30. März 2012, Az.: 6 U 191/11) die Auffassung, dass eine unzumutbare Belästigung gemäß § 7 Abs. 2 Nr. 2 UWG vorliegt.

Es erscheint daher nicht überraschend, wenn die Rechtsprechung auch bei Email-Kontaktaufnahmen von Werbung statt von Marktforschung sprechen wird. In diese Richtung deutet ein Urteil des Amtsgerichts Heidelberg vom 08. August 2012 (Az.: 27 C 45/12), in welcher es der Beklagtenpartei (einem Marktforschungsinstitut) untersagt wurde, im geschäftlichen Verkehr zu Werbezwecken mit der klagenden Partei zur Aufnahme eines erstmaligen geschäftlichen Kontakts per Email Kontakt aufzunehmen, ohne dass die ausdrückliche Einwilligung der klagenden Partei vorliegt. Beklagte war das Marktforschungsinstitut, das via Email den Adressaten über die Teilnahmemöglichkeit an einer Marktforschungsstudie unterrichtet hat. Das Gericht sah hier einen Unterlassungsanspruch wegen Verletzung des Allgemeinen Persönlichkeitsrechts bzw. des eingerichteten Gewerbebetriebs gemäß §§ 823, 1004 BGB als erfüllt an. Das Amtsgericht Heidelberg hat § 7 UWG nicht ausdrücklich erwähnt, sondern lies einen Verstoß gegen § 823 BGB zur Stattgabe des Unterlassungsantrags genügen. Auch bei telefonischen Kundenzufriedenheitsstudien begründete die Rechtsprechung bisher Unterlassungsanträge teilweise mit § 823 BGB, teilweise mit § 7 Abs. 2 Nr. 2 UWG, teilweise auch unter Bezugnahme auf beide Rechtsvorschriften. Solange Rechtsprechung und Kommentarliteratur mehrheitlich der Auffassung sind, dass die Nachfrage nach der Kundenzufriedenheit als Förderung der Kundenbeziehung Werbung darstellt, wird man sich auf eine Fortsetzung dieser Rechtsprechung in absehbarer Zeit einstellen müssen und damit auch darauf, dass eine Berufung der geschäftsmäßigen Markt- und Meinungsforschung auf § 30 a BDSG (derzeit) ohne Erfolg bleiben wird. Wie misslich und meines Erachtens nicht zutreffend dies ist, habe ich in der oben angesprochenen August-Kolumne bereits ausführlich besprochen.

Als unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG sah im Übrigen auch das Landgericht Berlin in einer Entscheidung vom 06. März 2012 (Az.: 16 O 551/10) die Einladungen der Nutzer an ihre noch nicht auf Facebook registrierten Kontakte an. Facebook, so das LG Berlin, verstoße mit seinem "Friendsfinder" und verschiedenen Klauseln seiner AGB gegen Verbraucherrechte. Die Versendung der Einladungen via Email sei unzulässige Werbung gemäß § 7 Abs. 2 Nr. 3 UWG.

V. Die Nutzung Sozialer Medien ist bei manchen Arbeitgebern im Zusammenhang mit Bewerbungen von Arbeitnehmern hoch im Kurs. Ob es Sinn macht, in (mutwillig oder fahrlässig) ins Netz gestellten Zeugnissen von Privaterlebnissen und anderen persönlichen Erlebnissen der Bewerber herumzustöbern, muss jeder Personalverantwortliche selber beurteilen. (Sie kennen vielleicht die Geschichte der Lehrerin, die sich als "drunken pirate" mit Piratenkostüm und einer Bierflasche in der Hand abbilden ließ – als das Foto in einem Sozialen Netzwerk veröffentlicht wurde und über Suchmaschinen gefunden werden konnte, meinte die Schulleitung als Arbeitgeberin, die Lehrerin sei nicht mehr tragbar – wenn das Captain (!) Sparrow wüsste …).

Aus datenschutzrechtlicher Sicht (sowohl in der Karibik als auch in Deutschland) ist derzeit keine unmittelbar einschlägige, konkrete gesetzliche Regelung vorhanden. Die Erhebung persönlicher Daten aus Sozialen Netzwerken, die allgemein zugänglich, d.h. über Suchmaschinen verfügbar sind, gilt nach wohl herrschender Meinung grundsätzlich als zulässig (§ 28 Abs. 1 Satz 1 Nr. 3 BDSG). Allerdings unter drei Voraussetzungen: Es muss sich 1. um allgemein zugängliche Daten handeln, es muss 2. ein berechtigtes Interesse des Arbeitgebers vorliegen und es darf 3. kein überwiegendes schutzwürdiges gegenläufiges Interesse des Betroffenen gegeben sein.

Bei Nutzerprofilen, die z.B. via Google gefunden werden können, kann man wohl die Auffassung vertreten, dass hier in der Regel kein gegenläufiges schutzwürdiges Interesse des Arbeitnehmers oder Bewerbers besteht, zumal dieser die Informationen selbst allgemein zugänglich gemacht hat (vergleiche Gola / Schomerus, BDSG, § 32, Rdnr. 35). Der Umstand, dass der Arbeitgeber das Gebot der Direkterhebung des § 4 Abs. 2 Satz 1 BDSG in diesem Fall nicht beachtet, sei unerheblich, da § 28 Abs. 1 Satz 1 Nr. 3 BDSG einen speziellen Erlaubnistatbestand bildet (so Gola / Schomerus, BDSG, § 32, Rdnr. 35 a). Dies ist aber meines Erachtens nicht richtig. Die gesetzliche Erlaubnisnorm ist nur der erste Schritt der Prüfung; selbst wenn eine gesetzliche Erlaubnisnorm vorliegt, ist dann gemäß § 4 Abs. 2 BDSG gesondert zu prüfen, ob eine Ausnahme vom Direkterhebungsverbot eingreift. Daher ist meines Erachtens selbst bei Vorliegen von § 28 Abs. 1 Satz 1 Nr. 3 BDSG noch keine automatische Befreiung vom Gebot der Direkterhebung des § 4 Abs. 2 Satz 1 BDSG verbunden.

Grundsätzlich können Erhebung und Verwendung der für Einstellungsentscheidungen erforderlichen Daten gemäß § 32 Abs. 1 Satz 1 BDSG zulässig sein, wenn eine Erforderlichkeit z.B. für die Begründung oder Durchführung des Arbeitsverhältnisses gegeben ist.

Vereinzelt wird noch vorausgesetzt, dass die Information, die via Soziale Medien gesucht wird, für die arbeitsvertragliche Beziehung relevant sei – aber das ist meines Erachtens ein weites Feld.

Nach zutreffender Auffassung ist das Persönlichkeitsrecht des Nutzers durch Zugriff auf Daten verletzt, wenn der Bewerber diese Daten in einem sozialen Netzwerk ausschließlich privaten Nutzern zur Verfügung stellen wollte und diese Daten dann nicht mehr als allgemein zugänglich gewollt anzusehen sind.

Grundsätzlich nicht verwertet dürfen Daten, die Dritte in das Netz gestellt haben (so meines Erachtens zutreffend Gola / Schomerus, BDSG, § 32, Rdnr. 35).

Der Gesetzesentwurf zum Beschäftigtendatenschutzgesetz (BDSG-E, § 32 Abs. 6 BDSG) will es Arbeitgebern künftig untersagen, auf öffentlich verfügbare Informationen über Arbeitnehmer und Bewerber in Sozialen Netzwerken, die "der Kommunikation dienen" zuzugreifen. Dritten ist demnach ein Zugriff auf allgemeine Soziale Medien wie Facebook oder StudiVZ untersagt, erlaubt ist dagegen ein Zugriff auf berufsbezogene Netzwerke wie Xing oder Linkedin. Solange das Beschäftigtendatenschutzrecht mit dem neuen § 32 Abs. 6 BDSG-E aber noch nicht in Kraft ist, wird sich auch weiterhin die Zulässigkeit nach § 32 BDSG und dem Allgemeinen Persönlichkeitsrecht des § 823 BGB richten; Vorsicht und Zurückhaltung sind geboten.

Und ob "Erkenntnisse" aus unbedachten Privatveröffentlichungen wirklich geeignete Rückschlüsse für eine berufliche Laufbahn geben, darf bezweifelt werden. Ob Bill Clinton jemals Präsident der USA geworden wäre, wenn man sein jugendliches Privatleben in Facebook recherchiert hätte, darf bezweifelt werden. Und ich hätte gerne einmal eine Piratin als Lehrerin (Geografie, Wirtschaft / Recht) gehabt, die vom Leben mehr weiß als trockenen Schulstoff.