Während die Datenschutzgrundverordnung (DSGVO) bei vielen europäischen Unternehmen Panik, zumindest aber Unsicherheit auslöst, setzen glo­bale Netzwerke ihre Arbeit scheinbar unbeeindruckt fort. Im Social-Media-Bereich wurden einige Anpassungen der jeweiligen Datenschutzbestimmungen vorgenommen und Hinweise zur Datenerhebung klarer formuliert. Doch ändert das die ­Arbeitsweise im Hintergrund tatsächlich?

Zu dieser Frage erreichte unsere Redaktion eine Anfrage zu LinkedIn: Das Berufs­netzwerk kontaktierte Nichtmitglieder per E-Mail und lud diese ein, Teil des Netzwerks zu werden. Dabei stellt sich nun die Frage, wie das Netzwerk überhaupt an die Kontaktdaten jener fremden Internet-User gekommen ist.

LinkedIn sowie andere Social-Media-Plattformen nutzen die technischen Möglichkeiten der Smartphone-Apps. Programme für mobile Endgeräte erhalten über verschiedene Schnittstellen der Betriebssysteme Zugriff auf andere Apps und können darin enthaltene Daten auslesen. Da soziale Netzwerke auf eine grosse Mitgliederzahl angewiesen sind und sich stets vergrössern wollen, greifen deren Apps vor allem auf das Adressbuch von Endgeräten zu und lesen enthaltene Kontakte aus. LinkedIn verkauft diesen Vorgang seinen Nutzern mit "Steigern Sie Ihre Produktivität", da bekannte Personen im Netzwerk durch eine Synchronisation des persönlichen Adressbuchs leichter gefunden werden. Synchronisieren LinkedIn-Mitglieder ihre Kontakte mit dem Netzwerk, werden aber auch Informationen zu Nichtmitgliedern erkannt und durchaus direkt übertragen. Nicht erst seit der DSGVO ruft dieser Prozess Datenschützer und Verbraucherzentralen auf den Plan. Denn bei dieser Übertragung von persönlichen Daten sind die betroffenen Nutzer nicht zwingend Vertragspartner des Netzwerks und haben somit keinen Einfluss darauf, welche Informationen konkret weitergegeben werden.

Bereits vor der neuen Grundverordnung war die Verarbeitung von personenbezogenen Daten nur zulässig, wenn der jeweilige Betroffene in Kenntnis gesetzt wurde und seine Einwilligung freiwillig erteilt hat. Mit der DSGVO haben Anbieter weitere Informationspflichten gegenüber Nutzern und betroffenen Dritten. Über Zweck, Rechtsgrundlage, Betroffenenrechte und Kontaktdaten zur Datenerhebung muss nun transparent informiert werden. Genau das kann bei einer Synchronisation von Kontaktdaten auf einem Endgerät aber nicht gewährleistet werden. Und obwohl dies bereits als Verstoss gegen geltende Gesetze gewertet werden kann, gehen einige Netzwerke mit Einladungen per E-Mail noch einen Schritt weiter.

Gemäss Artikel 7 des Gesetzes gegen unlauteren Wettbewerb (UWG) sind E-Mails grundsätzlich als belästigende Werbung einzustufen und bedürfen der ausdrücklichen Einwilligung des konkreten Nutzers. Soziale Netzwerke biegen sich diese Gesetzeslage gern damit zurecht, dass ihre Mitglieder selbst die Einladung an ihre Kontakte verschicken. Das allerdings ändert weder an der Gesetzeslage noch an den Pflichten der Netzwerke etwas. LinkedIn kommentiert diesen Sachverhalt gegenüber INTERNET WORLD BUSINESS mit dem Hinweis: "Nicht-LinkedIn-Mitglieder [haben] die Möglichkeit, ihre E-Mail-Adresse von Einladungen zur Teilnahme an LinkedIn abzumelden." Wie das Netzwerk zuvor an die Einwilligung der betroffenen User gelangt, ist nicht bekannt. Auch wenn LinkedIn erklärt, Einladungen nicht ohne das Einverständnis seiner Mitglieder zu versenden, ist der gesetzliche Rahmen für fremde User nicht gewährleistet.

Während für soziale Netzwerke dieser Weg der Mitgliedergewinnung wohl der effektivste ist, suchen Verbraucher- und Datenschützer nach Möglichkeiten, dieses Vorgehen zu unterbinden. Denn nicht zuletzt werden die Rechte von Internet-Nutzern, die bestimmte Plattformen ablehnen, dabei vollkommen ausser Acht gelassen. Greifen verschiedene Instanzen an dieser Stelle hart durch, so wird dies Konsequenzen für die Arbeitsweise von LinkedIn und Co ­haben. Denn Einladungen lassen sich dann gar nicht mehr versenden.

Bis dahin sollten Unternehmen, die Netzwerke nutzen, um ihre Reichweite zu erhöhen, sehr genau darauf achten, welche ihrer Daten sie synchronisieren lassen. Denn, um es genau zu nehmen, müssen Mitglieder das Einverständnis ihrer Kontakte vor dem Datenaustausch mit einem Netzwerk einholen. Sollte das bisherige Vorgehen verboten werden, müssen Netzwerkmitglieder damit rechnen, hier in die Pflicht genommen zu werden.

"Das Problem bei der Synchronisation der Kontaktdaten ist, dass durch diesen Prozess auch die Daten von Nichtnutzern auf den Servern eines Dienstes gespeichert werden. Das ist nicht zulässig, da die Nichtnutzer ­weder in die Verarbeitung ihrer Daten durch diesen Dienst eingewilligt ­haben, noch eine Erlaubnis erteilt haben, von dem Diensteanbieter Werbe- oder Einladungsmails zu erhalten. Das Recht auf informationelle Selbstbestimmung stösst offenkundig dann an seine Grenzen, wenn Kontaktdaten synchronisiert werden. Dieses ist vor allem bei den Daten der Nichtnutzer höchst bedenklich." (Marktwächter Digitale Welt)

Inwiefern ist es zulässig, dass soziale Netzwerke und Messanger, ohne konkrete oder vollständige Angabe der Verwendung, Daten aus den Smartphone-Adressbüchern seiner User laden und speichern dürfen?
Verbraucherzentrale Nordrhein-Westfalen: Aus unserer Sicht ist jede Synchronisation eines Anbieters von Adressbuch-Kontaktdaten, bei der Kontaktdaten von Dritten übertragen und vom Anbieter verarbeitet werden, problematisch. Die betroffenen Kontakte des jeweiligen Adressbuchs sind regelmässig, anders als der konkrete Nutzer, nicht unmittelbar selbst Vertragspartner des jeweiligen Anbieters. Oft besteht keine Möglichkeit, auf den Synchronisationsvorgang einzuwirken oder diesen zu verhindern.

Sowohl nach alter Rechtslage als auch nach neuer Rechtslage ist die Verarbeitung von personenbezogenen Daten nur dann erlaubt, wenn das Gesetz dies ausdrücklich vorsieht. So ist eine Datenverarbeitung nun nach Art. 6 EU-Datenschutzgrundverordnung (DSGVO) z.B. nur dann erlaubt, wenn der jeweilige Betroffene seine freiwillige Einwilligung erteilt hat, die Verarbeitung zur Vertragserfüllung erforderlich ist oder berechtigte Interessen des Anbieters den Interessen und Rechten des Betroffenen im Einzelfall überwiegen.

Ob in solchen Fällen der Adressbuchsynchronisation eine wirksame rechtliche Grundlage vorliegt, kann nach unserer Einschätzung kritisch diskutiert werden. Kontakte, die selbst keinen Vertrag mit dem jeweiligen Anbieter abgeschlossen haben, können selbst nicht in die Datenverarbeitung eingewilligt haben. Eine Verarbeitung zur Vertragserfüllung scheidet somit als Rechtsgrundlage aus. Ob in einem solchen Fall überwiegende berechtigte Interessen des Anbieters vorliegen, kann noch nicht abschliessend beurteilt werden.

Darüber hinaus trifft den jeweiligen Anbieter eine Vielzahl von Informationspflichten im Zusammenhang mit der jeweiligen Datenverarbeitung. Sowohl der Nutzer selbst (Art. 13 DSGVO) als auch die betroffenen Dritten, deren Daten erhoben werden (Art. 14 DSGVO), sind unter anderem über die Zwecke, Rechtsgrundlage, Betroffenenrechte und Kontaktdaten zu informieren. Beruht die Verarbeitung darüber hinaus auf einer Einwilligung, muss die Einwilligung gemäss. Art. 7 Abs. 2 DSGVO regelmässig in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache eingeholt werden.

Haben die betroffenen Kontakte, also Dritte, deren Informationen aus Adressbüchern geladen werden, nicht ein Recht auf Geheimhaltung ihrer Daten?
VZ NRW: In Fällen, in denen Anbieter personenbezogene Daten von Dritten verarbeiten, die nicht selbst Vertragspartei sind, sind die Betroffenen aus unserer Sicht regelmässig gemäss Art. 14 DSGVO umfassend durch den Anbieter zu informieren. Lediglich unter bestimmten Voraussetzungen sieht das Gesetz von einer solchen Informationspflicht ab (Art. 14 Abs. 5 DSGVO), zum Beispiel wenn die Betroffenen bereits ausreichend informiert sind.

Betroffene haben unabhängig davon, die Möglichkeit von ihren Betroffenenrechten gegenüber dem Anbieter Gebrauch zu machen. Insbesondere Auskunft, Berichtigung, Beschränkung oder Löschung eigener Daten, können eingefordert werden. Darüber hinaus können Betroffene einer Datenverarbeitung, vor allem im Zusammenhang mit Direktwerbung widersprechen (Art. 21 DSGVO).

Die genauen Rechtsfolgen und Ansprüche richten sich dann danach, ob und inwiefern die Datenverarbeitung tatsächlich zulässig ist. Insofern verweisen wir zur Vermeidung von Wiederholungen auf unsere oben dargelegten Bedenken im Hinblick auf das Vorliegen einer wirksamen Rechtsgrundlage.

Unabhängig davon sollten aus unserer Sicht Anbieter bestenfalls bei einer Adressbuchsynchronisation sicherstellen, dass ohnehin kein Personenbezug zu den Daten Dritter hergestellt werden kann, beispielsweise durch technische Verschlüsselungs- und Anonymisierungsverfahren.

Offiziell erklären einige Netzwerke fremde Kontakte nicht ohne Einverständnis der eigenen Mitglieder anzuschreiben. Wie lassen sich Netzwerke belangen, die dann doch E-Mails an unbekannte Dritte ohne Einverständnis versenden?
VZ NRW: Art. 7 Abs. 2 Nr. 3 des Gesetzes gegen unlauteren Wettbewerb (UWG) sieht vor, dass E-Mails grundsätzlich als belästigende Werbung einzustufen sind und daher der vorherigen ausdrücklichen Einwilligung des konkreten Verbrauchers bedürfen. Dies gilt gemäss Art. 7 Abs. 3 UWG für Direktmarketing nur dann nicht, wenn ein Kunde seine E-Mail im Rahmen z.B. eines Kaufs mitgeteilt und der Verwendung nicht widersprochen hat. Liegen diese Voraussetzungen nicht vor, kann mit dem Anschreiben per E-Mail eine belästigende Werbung und damit ein Wettbewerbsverstoss vorliegen.

Dies hatte der BGH bereits im Falle des sogenannten Facebook-Freunde-Finder-Funktion in Ausgestaltung von 2010 entschieden.

Während das Löschen der eigenen personenbezogenen Daten von einem Netzwerk gefordert werden kann, gilt dies für die Daten von Dritten aus den Adressbüchern nicht. Wie – wenn überhaupt –  lässt sich das einfordern?
VZ NRW: Nach Art. 17 DSGVO haben Betroffene unter bestimmten Voraussetzungen selbst gegen den Anbieter einen Löschungsanspruch, insbesondere wenn die Datenverarbeitung rechtswidrig ist. Darüber können die Aufsichtsbehörden, in Deutschland die jeweiligen Datenschutzbehörden der Länder, im konkreten Einzelfall gemäss Art. 58 DSGVO Anordnungen, gegebenenfalls auch in Form der Löschung (Art. 58 Abs. 1 g), gegenüber dem Anbieter treffen. 

Sind Netzwerke seit der DSGVO nicht grundsätzlich verpflichtet anzugeben, welche Daten von Usern konkret erhoben und wie beziehungsweise durch wen diese verarbeitet werden? Wie werden Verstösse aktuell behandelt?
VZ NRW: Nach Art. 13/14 DSGVO treffen Anbieter, die personenbezogene Daten im Rahmen des Anwendungsbereichs der Verordnung verarbeiten, grundsätzlich umfassende Informationspflichten. Hierzu gehört auch die Angabe der Zwecke der Verarbeitung, der Rechtsgrundlagen, des jeweiligen Kontakts des Verantwortlichen aber auch der Hinweis auf Empfänger der Daten.

Vor dem Hintergrund der mit der DSGVO einhergehenden, deutlich gestiegenen Sanktionsmöglichkeiten der Aufsichtsbehörden, wird es für Anbieter sicherlich nun einen grösseren Anreiz geben, mögliche Rechtsverstösse zu vermeiden. Die Verbraucherzentrale Nordrhein-Westfalen wird die Entwicklung auch weiterhin beobachten, kritisch begleiten und sich, soweit nötig, auch gravierenden Rechtsverstössen annehmen, um Verbraucherrechte durchzusetzen.