Social Media: Darf man die öffentlich zugänglichen Daten nutzen?

Fachbeitrag

Durch die vermehrte Nutzung digitaler Medien entstehen mehr und mehr Daten, die frei und öffentlich für jedermann zugänglich sind. Hierbei können personenbezogene Daten auf Webseiten oder sozialen Netzwerken von jedem Besucher eingesehen, kopiert und dadurch verarbeitet werden. Doch sind diese Verarbeitungen zulässig?

Der sprichwörtliche Elefant im Raum

Es ist eine Tatsache, dass soziale Medien aus dem Leben vieler (gerade junger) Leute nicht mehr wegzudenken sind. Auch wenn Facebook keinen weiteren Zuwachs erfährt, so werden andere Plattformen wie Instagram & Co. umso mehr genutzt.

Auch im Berufsfeld werden soziale Plattformen wie Xing oder Linkedln genutzt, um Kontakt mit Freunden, (ehemaligen) Kollegen oder Headhuntern herzustellen. Es scheint also ein Verlangen nach sozialen Austausch zu geben. Umso wichtiger ist es also, ob und wie diese Daten verarbeitet werden dürfen. Schließlich wird man als Beschäftigter und Verbraucher in anderen Zusammenhängen umfassend geschützt. Wäre dieser Schutz nicht „für die Katz“, wenn Unternehmen dann unbemerkt Daten aus öffentlichen Profilen „absaugen“ können?

Schließlich gibt man bei der Erstellung und Nutzung seines Accounts viele personenbezogene Daten wie Name, Alter, Abschluss, ein Foto und persönliche Vorlieben an. So entstehen Profile, welche in gewissem Umfang öffentlich zugänglich sind. Damit einher geht ein Missbrauchsrisiko. So zeigt z.B. eine Untersuchung, dass sich über wenige öffentliche Facebook-Likes die Charakterzüge einer Person bestimmen lassen.

Wie werden die personenbezogenen Daten verarbeitet?

Zum einen kann jeder durch „Copy & Paste“ Informationen aus soziale Medien herauskopieren. Es gibt aber diverse Software Applikationen, die automatisch Internetseiten scannen und Informationen extrahieren. Das wird in bildlicher Sprache „Data Scraping“, „Web Scraping“, „Web Harvesting“ oder schlicht „Web Data Extraction“ bezeichnet. Unternehmen verwenden solche Applikationen, um große Datenmengen in Form von Datenbanken zu erstellen und diese zu verkaufen.

Und das ist legal?

Nun stellt sich die Frage, ob solch eine Verwendung personenbezogener Daten rechtmäßig sein kann.

Leser dieser Blogs und Datenschützer wissen natürlich, dass nach dem Verbot mit Erlaubnisvorbehalt eine Verarbeitung verboten ist, wenn keine Rechtsgrundlage vorliegt (z.B. durch eine Rechtsvorschrift oder die Einwilligung des Betroffenen).

Nach aktueller Rechtsprechung und Ansicht der Aufsichtsbehörden ist nach der DSGVO, wie schon nach dem BDSG alte Fassung, die Verarbeitung personenbezogener Daten aus öffentlichen Quellen aufgrund einer Interessenabwägung zulässig. Nach Art. 6 Abs. 1 lit. f DSGVO ist:

„die Verarbeitung nur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Die Interessenabwägung lässt sich daher in zwei Schritte unterteilen:

  1. Schritt: Hierbei ist das berechtigte Interesse des Verantwortlichen zu bewerten. Dabei haben Unternehmen ein wirtschaftliches Interesse Daten zu sammeln, sie anzuordnen und zur Verfügung zu stellen.
  2. Schritt: An dieser Stelle ist das Interesse des Betroffenen zu bewerten. Hierbei ist wichtig die Erwartungshaltung der betroffenen Person hinsichtlich der Absehbarkeit der Verarbeitung zu identifizieren. Ist zum Zeitpunkt der Erhebung vernünftigerweise eine Verarbeitung zu dem entsprechenden Zweck nicht absehbar, kann sich daraus ein starker Anhaltspunkt ergeben, dass die Interessen und Grundrechte des Betroffenen das berechtigte Interesse des Verantwortlichen überwiegen.

In der Praxis sollte das berechtigte Interesse des Verantwortlichen größtenteils dem des Betroffenen überwiegen oder mindestens gleichwertig sein, da es sich i.d.R. um überschaubaren Mengen und unsensible personenbezogene Daten handelt. Ebenfalls kann zum Zeitpunkt der Erhebung der Betroffene mit solch einer Verarbeitung rechnen. An dieser Stelle ist jedoch wichtig zu erwähnen, dass für jede Verarbeitung eine individuelle Abwägung beider Interessen durchgeführt werden sollte.

Werde ich informiert?

Grundsätzlich haben Unternehmen betroffene Personen zu informieren, sobald sie personenbezogene Daten verarbeiten. Hierbei ist Art. 14 DSGVO heranzuziehen, da die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben werden. Dies stellt somit eine Pflicht der Verantwortlichen dar, Betroffene über den Umfang der Verarbeitung zu informieren. Somit fällt das unbemerkte „Absaugen“ von Daten aus öffentlichen Profilen grundsätzlich flach.

In der Praxis liebäugeln einige Verantwortliche daher mit der Ausnahme des Art. 14 Abs. 5 lit. b DSGVO, um sich ihrer Informationspflicht zu entledigen. Demnach entfällt diese in Situationen, in denen sich die Erteilung der Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Hierzu ist aber anzumerken, dass diese Kriterien nach Ansicht der Aufsichtsbehörden wohl eng auszulegen sind. Die polnische Aufsichtsbehörde UODO verhängte beispielsweise jüngst ein Bußgeld gegen ein polnisches Unternehmen, welches Informationen aus öffentlichen Datenbanken sammelte. Bei der Informationspflicht hatte man sich genau auf die bereits erwähnte Ausnahme gestützt, da man 6.000.000 Betroffene nicht per Einschreiben informieren wollte. Die polnische Aufsichtsbehörde teilte allerdings mit, dass kostengünstige Möglichkeiten bestünden den Betroffenen über die Datenerhebung zu informieren. Vorgeschlagen wurde:

  • Kurze Werbespots vor den Hauptnachrichten
  • SMS-Nachrichten
  • Werbung auf Internetportalen

Folglich haben Unternehmen zu prüfen, ob tatsächlich eine Unverhältnismäßigkeit besteht und diese ggf. zu dokumentieren, um ihrer Pflicht nachzukommen.

Zukunft ungewiss

Daten sind ja bekanntlich das Öl des 21. Jahrhunderts. Unternehmen haben daher ein enormes Interesse, Daten über potenzielle Kunden zu gewinnen und betreiben daher immer noch Datenhandel mit Informationen aus öffentlichen Quellen. Bislang legitimiert das berechtigte Interesse solch eine Verarbeitung. Allerdings ist es eine Frage der Zeit, wann Behörden oder Gerichte dies anders sehen und dadurch das Interesse des Betroffenen stärker bewerten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Hallo, Im Internet gibt es viele Webseiten von Verbände, es sei Fußball, Tennis, Handball, Basketball etc..
    Manchen diese Seiten beinhalten Informationen über Juristischen Personen bzw. Vereine oder Organisationen.
    Meine Frage: Diesen Daten sind freizugänglich, so das ich eine Interesse habe diese Daten zu verarbeiten in den Mail an diese Vereine Versenden, Ohne vorher ein Erlaubnis zu haben diese Daten zu Verarbeiten, aber selbstverständlich meine Mail enthält selbstverständlich ein Subscribe Button, Handel ich Hier Illegal?
    Vielen Dank mit besten Grüße
    Franco Pioli

    • Der Versand von E-Mail-Werbung (an juristische Personen) ohne vorherige Einwilligung stellt in der Regel eine unzumutbare Belästigung gem. § 7 Abs. 2 Nr. 3 UWG dar. Das genaue Verhältnis zwischen § 7 UWG und der DSGVO ist noch nicht abschließend geklärt, die herrschende Meinung geht aber davon aus, dass die Vorschrift des UWG weiter anzuwenden ist. Nähere Infos dazu finden Sie z.B. hier.

  2. Hallo, wie sehen Sie Radaris.com (USA)? Dort werden offen Daten aus sozialen Medien aggregiert und einfach ins Netz gestellt. Der Betroffene soll in einem Klick-Vorgang „Kontrolle“ über seine Daten erhalten, allerdings nur, indem er weitere Daten preisgibt, z. B. seine Telefonnummer und E-Mail, und damit seine Existenz verifiziert. Ggf. stellt der Vorgang sogar ein Agreement dar, dass Radaris Infos sammeln darf? Auf der Website sind weder ein ordentliches Impressum noch eine echte Kontaktmöglichkeit angegeben. Auch das Customer Service Center meldet sich auf Mails nicht zurück. Was könnte man gegen diese Personensuchmaschinen unternehmen? Angeblich gibt es einen deutschen Ableger, der auf den Virgin Islands (GB) beheimatet sein soll (Telefonnummer: existiert nicht, Emails werden nicht beantwortet). Was kann man dagegen tun? Vielen Dank im Voraus und viele Grüße.

    • Unternehmen ohne Impressum auf ihrer Webseite verstoßen grundsätzlich gegen § 5 TMG. Zudem erwecken sie keinen seriösen Eindruck. Wie bereits im Beitrag erwähnt, haben Unternehmen wie Radaris ebenfalls ihrer Rechenschaftspflicht nachzukommen und Sie darüber zu informieren, dass personenbezogene Daten verarbeitet werden, soweit sie im Anwendungsbereich der DSGVO fallen.

      Als Betroffener haben Sie diverse Rechte die Ihnen zustehen. Um zu erfahren, wie Ihre personenbezogenen Daten verarbeitet werden, können Sie Ihr Auskunftsrecht nach Art. 15 DSGVO geltend machen. Sollten Sie innerhalb eines Monats keine Antwort vom Verantwortlichen erhalten, können Sie bei einer Aufsichtsbehörde beschweren (Art. 77 DSGVO). Diese wird eine Prüfung der Beschwerde in die Wege leiten.

      Grundsätzlich empfehle ich Ihnen ausschließlich notwendige personenbezogene Daten im Internet preiszugeben und stets an Ihre Rechte zu denken.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.