Einführung

Das Kammergericht Berlin entschied mit Urteil vom 22. September 2017 (Az. 5 U 155/14), dass Facebook die personenbezogenen Daten deutscher Kunden im App-Zentrum nicht ausreichend schützt und bestätigte die vorherige Entscheidung des Landgerichts Berlin vom November 2014. Facebook ist nun verpflichtet, in Sachen Datenschutz nachzubessern und den Verbraucher über die Nutzungsbedingungen für Spiele aus seinem App-Zentrum besser zu informieren.

Der Sachverhalt

Facebook-Nutzer können über das App-Zentrum kostenlos Onlinespiele anderer Anbieter spielen. Im November 2012 wurde in dem App-Zentrum u.a. auch das Spiel „The Ville“ angeboten, für das Nutzern zu Beginn des Spiels unter dem Button „Sofort spielen“ Hinweise bezüglich der Übermittlung ihrer personenbezogenen Daten an den Betreiber des Spiels angezeigt wurden, jedoch ohne Angaben über den Zweck der Datenverarbeitung. Die personenbezogenen Daten umfassten die E-Mail-Adresse, Statusmeldungen und andere Informationen. Diese Konstellation traf auch auf drei weitere Spiele zu. Bei dem Spiel „Scrabble“ hieß es: „Diese Anwendung darf Statusmeldungen Fotos und mehr in deinem Namen posten“. 

Der Bundesverband der Verbraucherzentralen (VZBV) mahnte Facebook ab und klagte anschließend mit der Begründung, dass die Hinweise zu knapp seien, um den Verbraucher in ausreichendem Maße über die Datenverarbeitung zu informieren. Ferner würde der Hinweis keine rechtswirksame Einwilligung darstellen. Somit sei Facebook nicht befugt, die personenbezogenen Daten der Nutzer an den Anbieter zu übermitteln. Das Landgericht gab dem VZBV Recht. Facebook ging daraufhin in Berufung, scheiterte nun allerdings auch vor dem Kammergericht.

Die Entscheidungen des KG Berlin

Zum einen entschied das Gericht, dass das deutsche Datenschutzrecht Anwendung findet, obwohl es sich bei Facebook um ein Unternehmen mit Sitz in Irland handelt. Grund dafür sei, dass sich das Angebot auch an deutsche Nutzer richte und sich eine in Hamburg sitzende Schwestergesellschaft für die Förderung des Anzeigengeschäfts verantwortlich zeichne. Allein in dem Werben um Werbekunden und deren Unterstützung durch die Facebook Germany GmbH liege eine hinreichend effektive und tatsächliche Tätigkeit einer Niederlassung. Insgesamt unterliege Facebook also hier dem deutschen Datenschutzrecht. 

Auch im Übrigen stimmt das Kammergericht der Entscheidung der Vorinstanz zu. Ein Rechtsverstoß sei darin zu sehen, dass eine Einwilligung des Nutzers bezüglich der Übermittlung seiner personenbezogenen Daten fehle. Allein durch das Anklicken des Buttons „Sofort spielen“ werde der Nutzer nicht ausreichend darüber informiert, dass er dadurch in die Übermittlung seiner Daten einwillige. Der Nutzer werde diesbezüglich nicht einheitlich informiert. Ferner dürfe auch nicht von einer Generaleinwilligung des Nutzers über die Übermittlung seiner Daten an andere Betreiber ausgegangen werden. 

Das Gericht beanstandete auch die Mitteilung bezüglich der Berechtigung zum Posten im Namen des Nutzers. In diesem Zusammenhang stellte die Einräumung derartiger Berechtigungen einen Verstoß gegen das Transparenzgebot aus dem AGB-Recht gemäß § 307 Abs. 1 S. 2 BGB und gegen Vorgaben der EU-Datenschutzrichtlinie 95/46/EG dar. Zum einen sei zu unbestimmt und unklar, in welchem Umfang und mit welchem Inhalt sich diese Posts durch den Spielebetreiber geschehen sollten, zumal zum anderem von der Formulierung auch Werbung für sexuell anzügliche Produkte umfasst sei. 

Das Urteil des Kammergerichts ist allerdings noch nicht rechtskräftig. Es ist möglich, dass Facebook in Revision geht.

Anforderungen an eine wirksame Datenschutzeinwilligungserklärung

Gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit eine gesetzliche Grundlage dafür vorliegt oder der Betroffene darein eingewilligt hat. Die Anforderungen an eine wirksame Einwilligung regelt § 4a BDSG. 

Zunächst muss eine Einwilligung freiwillig erfolgen, also auf einer autonomen Entscheidung des Betroffenen beruhen. Dies wird dadurch gewährleistet, indem man dem Betroffenen eine Alternative zur Einwilligung bietet. Ferner hat derjenige, der die personenbezogenen Daten erhebt, verarbeitet oder nutzt den Zweck der Datenerhebung, -verarbeitung oder –nutzung anzugeben. Das Erfordernis der Transparenz zeichnet sich dadurch aus, dass gerade keine pauschale Einwilligung für noch unbestimmte Zwecke in der Zukunft eingeholt werden können. Zudem muss die Einwilligung grundsätzlich schriftlich eingeholt werden. Unter Umständen ist es erforderlich, den Betroffenen auch auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Ebenso ist eine besondere optische Hervorhebung unerlässlich, falls die Einwilligung zusammen mit anderen Erklärungen erteilt werden soll. 

Außerdem nutzen viele Unternehmer vorformulierte Einwilligungserklärungen, um sie bei einer Vielzahl von Verträgen anzuwenden. Wenn die Einwilligung in AGB eingebaut wird, muss sie zudem den Anforderungen der §§ 305 ff. BGB genügen. Insbesondere darf kein Verstoß gegen § 307 Abs. 1 BGB vorliegen, nach dem die Klausel den Betroffenen erstens nicht entgegen den Geboten von Treu und Glauben unangemessen benachteiligen darf und zweitens die Erklärung gemäß des Transparenzgebots für den Vertragspartner klar und verständlich sein muss.