Zum Umgang mit Kundendaten in «sozialen Medien»

Regula Heinzelmann 01.05.2014

Daten von Kunden publiziert man besser nicht ohne deren Erlaubnis in einem sozialen Netzwerk oder auf der Firmenwebseite. Zumindest hat man dabei das Datenschutz- und Persönlichkeitsrecht zu beachten. Gegenüber ausländischen Kunden muss man besonders vorsichtig sein.

PDF Kaufen

2012 hat das Kammergericht Berlin ein Urteil des Landgerichtes über Facebook bestätigt, das die Aktivitäten des «Freundefinders» als illegal bezeichnete. Dieser «Freundefinder» konnte von den Nutzern aktiviert werden und durchsuchte nachher deren Mail-Konten. Nachher wurden Beitrittsangebote an die Kontaktpersonen der Nutzer geschickt, die noch nicht bei Facebook waren.

Viele Empfänger dieser Werbemails hatten vorher keine Zustimmung zur Verwendung ihrer Mailadresse gegeben. Deswegen wurden die Mails des «Freundefinders» von dem Gericht als unzulässig bezeichnet. Inzwischen hat darum Facebook die Funktion «Freunde finden» leicht abgeändert. Heute heisst sie «Personen, die du vielleicht kennst». Der Fall zeigte, wie heikel der Umgang mit Daten durch soziale Medien sein kann. Viele Nutzer realisierten wohl gar nicht, dass sie die Bestimmungen des Gesetzes verletzt haben.

Betreiber von kostenfreien sozialen Netzwerken lassen sich oft Nutzungsrechte zur Vermarktung und Weitergabe der eingestellten und veröffentlichten Inhalte einräumen und verwenden die Inhalte für Werbezwecke. Wenn sich eine Information auf einem sozialen Netzwerk befindet, verliert man in der Praxis die Kontrolle darüber, was damit geschieht. Da nützen die besten Gesetze nicht viel, besonders wenn das Netzwerk in anderen Kontinenten agiert. Auch die geplante EU-Datenschutz-Grundverordnung, die Datenschutz zu einem Grundrecht erklären wird, wird sich nur in Europa durchsetzen lassen. Fazit: In soziale Netzwerke gehören nur Informationen, die öffentlich sein dürfen!

Achtung vor Plugins

Das Fraunhofer Institut mahnt in ihrem Report «Soziale Netzwerke bewusst nutzen», dass die Verwendung von Social-Plugins wie zum Beispiel Like-Buttons datenschutzrechtlich problematisch sei. Dadurch werden Daten von Drittpersonen an andere Webseiten übermittelt, ohne dass man das verhindern kann. Wenn man also Codes zur Einbettung der Social-Plugins in das Web-Angebot von sozialen Netzwerken wie Facebook, Twitter, Google, und so weiter in eine private oder Firmenwebseite integriert, kann man dadurch datenschutzrechtliche Verstösse begehen.

Datenschutz berücksichtigen

Bei jedem Aufruf einer Seite, in welche ein Social-Plugin-Button integriert ist, wird der Button von einem Server des entsprechenden sozialen Netzwerks geladen, so dass das soziale Netzwerk im Rahmen einer Reichweitenanalyse Einblicke in das Internetnutzungsverhalten des Webseitenbesuchers erhalten kann. Zu empfehlen ist, einen Internet-Browser mit der Funktion «Facebook Disconnect» zu nutzen. Weiter sollte man vorsichtig damit sein, Anwendungen von Drittanbietern den Profilen in den sozialen Netzwerken hinzuzufügen. Diese greifen oft auf die persönlichen Daten eines Nutzers und seiner Kontakte zu. In der Schweiz gibt es zwar noch kaum Gerichtsentscheide über soziale Medien. Aber natürlich ist das Datenschutzgesetz zu berücksichtigen.

Nach DSG Art. 4 dürfen Personendaten nur rechtmässig, verhältnismässig und nach Treu und Glauben bearbeitet werden. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde oder aus den Umständen ersichtlich ist.
Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen ist eine ausdrückliche Einwilligung erforderlich.
Wer Personendaten bearbeitet, hat sich zu vergewissern, dass diese richtig sind (DSG Art. 5). Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden.
Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden (DSG Art. 8).
Auch das Bearbeiten von Personendaten kann durch Vereinbarung oder durch das Gesetz an Dritte übertragen werden, wenn die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet (DSG Art. 10a). Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.

Wer Daten bearbeitet, muss die Persönlichkeitsrechte beachten. Vor allem darf man nicht ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben.

Für die Arbeit in den sozialen Medien ist folgende Bestimmung sehr wichtig: In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (DSG Artikel 12). Unternehmen können also nach Schweizer Recht auf all jene Daten zugreifen, die in sozialen Medien allgemein publiziert wurden. Die Konsumenten dieser Internetdienste müssen sich dessen bewusst sein und nur jene Daten ins Internet stellen, die jedem bekannt sein dürfen oder können.

Klagerecht und Strafe

DSG Artikel 15 verweist für Klagen zum Schutz der Persönlichkeit auf die Artikel 28, 28a sowie 28l des ZGB. Die klagende Partei kann insbesondere verlangen, dass die Datenbearbeitung gesperrt wird, keine Daten an Dritte bekannt gegeben oder die Personendaten berichtigt oder vernichtet werden und das Urteil, bzw. die Datensperre, veröffentlicht wird. Nach internationalem Privatrecht (IPRG Art. 139) haben Geschädigte die Wahl, welches Recht für Ansprüche aus der Verletzung der Persönlichkeit durch Medien oder durch andere Informationsmittel in der Öffentlichkeit gelten soll, nämlich:

das Recht des Staates, in dem der Geschädigte seinen gewöhnlichen Aufenthalt hat, sofern der Schädiger mit dem Eintritt des Erfolges in diesem Staat rechnen musste;
dem Recht des Staates, in dem der Urheber der Verletzung seine Niederlassung oder seinen gewöhnlichen Aufenthalt hat, oder
das Recht des Staates, in dem der Erfolg der verletzenden Handlung eintritt, sofern der Schädiger mit dem Eintritt des Erfolges in diesem Staat rechnen musste.

Dese Regelung gilt auch für Ansprüche aus Verletzung der Persönlichkeit durch das Bearbeiten von Personendaten sowie aus Beeinträchtigung des Rechts auf Auskunft über Personendaten.

Weiter enthält StGB Artikel 179quater einen Straftatbestand, den man in sozialen Medien wohl schon oft und ohne böse
Absicht oder ohne viel darüber nachzudenken vollzogen hat: Wer eine Tatsache aus dem Geheimbereich eines andern oder eine nicht jedermann ohne Weiteres zugängliche Tatsache aus dem Privatbereich eines andern ohne dessen Einwilligung mit einem Aufnahmegerät beobachtet oder auch auf einen Bildträger aufnimmt und Dritten zugänglich macht, kann auf Antrag zu einer Geldstrafe oder zu einer Freiheitsstrafe bis zu drei Jahren verurteilt werden. Der Tatbestand kann schon erfüllt werden, wenn man an einer Veranstaltung Gespräche oder Episoden aufnimmt, die nicht zur öffentlichen Darbietung gehören, und dies auf eine soziale Webseite stellt.

Porträt

Regula Heinzelmann (Autor)

Juristin und freischaffende Journalistin

Regula Heinzelmann studierte Rechtswissenschaften an der Universität Zürich und arbeitet seit 1984 als selbstständige Autorin mit Schwerpunkt auf wirtschaftlichen und juristischen Themen. Für Unternehmen verfasst sie PR-Texte und Vertragsmuster. Die freischaffende Journalistin wohnt in Dietikon und lebt zeitweise in Berlin.

Kontakt

rhz(at)bluewin.ch www.heinzelmann-texte.ch

Wissen

kurz & bündig

In die sozialen Netzwerke gehören nur Informationen, die öffentlich sein dürfen.
Die Beschaffung von Personendaten und insbesondere auch der Zweck ihrer Bearbeitung müssen für die betroffenen Personen erkennbar sein.
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

EU-Recht: Keine Publikation ohne Zustimmung

In der EU gilt die Richtlinie 95 / 46 / EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Im Prinzip ist die Verarbeitung der personenbezogenen Daten nur dann erlaubt, wenn die betroffenen Personen ohne jeden Zweifel ihre Einwilligung gegeben haben. Man darf in der EU also nicht einfach ohne Zustimmung der Kunden ihre Daten in einem sozialen Netzwerk oder auf einer Webseite veröffentlichen.

In Deutschland gilt hierfür das Bundesdatenschutzgesetz (BDSG) und dieses fordert wie die EU-Richtlinie: Wer Daten von Kunden oder Drittpersonen erhebt, verarbeitet oder in einem sozialen Netzwerk publizieren will, sollte sich zuerst die Erlaubnis dazu einholen. Die Rechte der Betroffenen auf Auskunft und auf Berichtigung, Löschung oder Sperrung von Daten können nicht durch Rechtsgeschäfte beschränkt werden.

Nach BDSG § 28 folgende sind die Datenerhebung und -speicherung für eigene Geschäftszwecke, für Zwecke des Adresshandels oder der Werbung zulässig, soweit der Betroffene eingewilligt hat.