Business-Netzwerke: Synchronisation von Kontakten ist unzulässig
Fragen an die Verbraucherzentrale Nordrhein-Westfalen
Inwiefern ist es zulässig, dass soziale Netzwerke und Messanger, ohne konkrete oder vollständige Angabe der Verwendung, Daten aus den Smartphone-Adressbüchern seiner User laden und speichern dürfen?
Verbraucherzentrale Nordrhein-Westfalen: Aus unserer Sicht ist jede Synchronisation eines Anbieters von Adressbuch-Kontaktdaten, bei der Kontaktdaten von Dritten übertragen und vom Anbieter verarbeitet werden, problematisch. Die betroffenen Kontakte des jeweiligen Adressbuchs sind regelmässig, anders als der konkrete Nutzer, nicht unmittelbar selbst Vertragspartner des jeweiligen Anbieters. Oft besteht keine Möglichkeit, auf den Synchronisationsvorgang einzuwirken oder diesen zu verhindern.
Verbraucherzentrale Nordrhein-Westfalen: Aus unserer Sicht ist jede Synchronisation eines Anbieters von Adressbuch-Kontaktdaten, bei der Kontaktdaten von Dritten übertragen und vom Anbieter verarbeitet werden, problematisch. Die betroffenen Kontakte des jeweiligen Adressbuchs sind regelmässig, anders als der konkrete Nutzer, nicht unmittelbar selbst Vertragspartner des jeweiligen Anbieters. Oft besteht keine Möglichkeit, auf den Synchronisationsvorgang einzuwirken oder diesen zu verhindern.
Sowohl nach alter Rechtslage als auch nach neuer Rechtslage ist die Verarbeitung von personenbezogenen Daten nur dann erlaubt, wenn das Gesetz dies ausdrücklich vorsieht. So ist eine Datenverarbeitung nun nach Art. 6 EU-Datenschutzgrundverordnung (DSGVO) z.B. nur dann erlaubt, wenn der jeweilige Betroffene seine freiwillige Einwilligung erteilt hat, die Verarbeitung zur Vertragserfüllung erforderlich ist oder berechtigte Interessen des Anbieters den Interessen und Rechten des Betroffenen im Einzelfall überwiegen.
Ob in solchen Fällen der Adressbuchsynchronisation eine wirksame rechtliche Grundlage vorliegt, kann nach unserer Einschätzung kritisch diskutiert werden. Kontakte, die selbst keinen Vertrag mit dem jeweiligen Anbieter abgeschlossen haben, können selbst nicht in die Datenverarbeitung eingewilligt haben. Eine Verarbeitung zur Vertragserfüllung scheidet somit als Rechtsgrundlage aus. Ob in einem solchen Fall überwiegende berechtigte Interessen des Anbieters vorliegen, kann noch nicht abschliessend beurteilt werden.
Darüber hinaus trifft den jeweiligen Anbieter eine Vielzahl von Informationspflichten im Zusammenhang mit der jeweiligen Datenverarbeitung. Sowohl der Nutzer selbst (Art. 13 DSGVO) als auch die betroffenen Dritten, deren Daten erhoben werden (Art. 14 DSGVO), sind unter anderem über die Zwecke, Rechtsgrundlage, Betroffenenrechte und Kontaktdaten zu informieren. Beruht die Verarbeitung darüber hinaus auf einer Einwilligung, muss die Einwilligung gemäss. Art. 7 Abs. 2 DSGVO regelmässig in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache eingeholt werden.
Haben die betroffenen Kontakte, also Dritte, deren Informationen aus Adressbüchern geladen werden, nicht ein Recht auf Geheimhaltung ihrer Daten?
VZ NRW: In Fällen, in denen Anbieter personenbezogene Daten von Dritten verarbeiten, die nicht selbst Vertragspartei sind, sind die Betroffenen aus unserer Sicht regelmässig gemäss Art. 14 DSGVO umfassend durch den Anbieter zu informieren. Lediglich unter bestimmten Voraussetzungen sieht das Gesetz von einer solchen Informationspflicht ab (Art. 14 Abs. 5 DSGVO), zum Beispiel wenn die Betroffenen bereits ausreichend informiert sind.
Haben die betroffenen Kontakte, also Dritte, deren Informationen aus Adressbüchern geladen werden, nicht ein Recht auf Geheimhaltung ihrer Daten?
VZ NRW: In Fällen, in denen Anbieter personenbezogene Daten von Dritten verarbeiten, die nicht selbst Vertragspartei sind, sind die Betroffenen aus unserer Sicht regelmässig gemäss Art. 14 DSGVO umfassend durch den Anbieter zu informieren. Lediglich unter bestimmten Voraussetzungen sieht das Gesetz von einer solchen Informationspflicht ab (Art. 14 Abs. 5 DSGVO), zum Beispiel wenn die Betroffenen bereits ausreichend informiert sind.
Betroffene haben unabhängig davon, die Möglichkeit von ihren Betroffenenrechten gegenüber dem Anbieter Gebrauch zu machen. Insbesondere Auskunft, Berichtigung, Beschränkung oder Löschung eigener Daten, können eingefordert werden. Darüber hinaus können Betroffene einer Datenverarbeitung, vor allem im Zusammenhang mit Direktwerbung widersprechen (Art. 21 DSGVO).
Die genauen Rechtsfolgen und Ansprüche richten sich dann danach, ob und inwiefern die Datenverarbeitung tatsächlich zulässig ist. Insofern verweisen wir zur Vermeidung von Wiederholungen auf unsere oben dargelegten Bedenken im Hinblick auf das Vorliegen einer wirksamen Rechtsgrundlage.
Unabhängig davon sollten aus unserer Sicht Anbieter bestenfalls bei einer Adressbuchsynchronisation sicherstellen, dass ohnehin kein Personenbezug zu den Daten Dritter hergestellt werden kann, beispielsweise durch technische Verschlüsselungs- und Anonymisierungsverfahren.
Offiziell erklären einige Netzwerke fremde Kontakte nicht ohne Einverständnis der eigenen Mitglieder anzuschreiben. Wie lassen sich Netzwerke belangen, die dann doch E-Mails an unbekannte Dritte ohne Einverständnis versenden?
VZ NRW: Art. 7 Abs. 2 Nr. 3 des Gesetzes gegen unlauteren Wettbewerb (UWG) sieht vor, dass E-Mails grundsätzlich als belästigende Werbung einzustufen sind und daher der vorherigen ausdrücklichen Einwilligung des konkreten Verbrauchers bedürfen. Dies gilt gemäss Art. 7 Abs. 3 UWG für Direktmarketing nur dann nicht, wenn ein Kunde seine E-Mail im Rahmen z.B. eines Kaufs mitgeteilt und der Verwendung nicht widersprochen hat. Liegen diese Voraussetzungen nicht vor, kann mit dem Anschreiben per E-Mail eine belästigende Werbung und damit ein Wettbewerbsverstoss vorliegen.
Offiziell erklären einige Netzwerke fremde Kontakte nicht ohne Einverständnis der eigenen Mitglieder anzuschreiben. Wie lassen sich Netzwerke belangen, die dann doch E-Mails an unbekannte Dritte ohne Einverständnis versenden?
VZ NRW: Art. 7 Abs. 2 Nr. 3 des Gesetzes gegen unlauteren Wettbewerb (UWG) sieht vor, dass E-Mails grundsätzlich als belästigende Werbung einzustufen sind und daher der vorherigen ausdrücklichen Einwilligung des konkreten Verbrauchers bedürfen. Dies gilt gemäss Art. 7 Abs. 3 UWG für Direktmarketing nur dann nicht, wenn ein Kunde seine E-Mail im Rahmen z.B. eines Kaufs mitgeteilt und der Verwendung nicht widersprochen hat. Liegen diese Voraussetzungen nicht vor, kann mit dem Anschreiben per E-Mail eine belästigende Werbung und damit ein Wettbewerbsverstoss vorliegen.
Dies hatte der BGH bereits im Falle des sogenannten Facebook-Freunde-Finder-Funktion in Ausgestaltung von 2010 entschieden.
Während das Löschen der eigenen personenbezogenen Daten von einem Netzwerk gefordert werden kann, gilt dies für die Daten von Dritten aus den Adressbüchern nicht. Wie – wenn überhaupt – lässt sich das einfordern?
VZ NRW: Nach Art. 17 DSGVO haben Betroffene unter bestimmten Voraussetzungen selbst gegen den Anbieter einen Löschungsanspruch, insbesondere wenn die Datenverarbeitung rechtswidrig ist. Darüber können die Aufsichtsbehörden, in Deutschland die jeweiligen Datenschutzbehörden der Länder, im konkreten Einzelfall gemäss Art. 58 DSGVO Anordnungen, gegebenenfalls auch in Form der Löschung (Art. 58 Abs. 1 g), gegenüber dem Anbieter treffen.
Sind Netzwerke seit der DSGVO nicht grundsätzlich verpflichtet anzugeben, welche Daten von Usern konkret erhoben und wie beziehungsweise durch wen diese verarbeitet werden? Wie werden Verstösse aktuell behandelt?
VZ NRW: Nach Art. 13/14 DSGVO treffen Anbieter, die personenbezogene Daten im Rahmen des Anwendungsbereichs der Verordnung verarbeiten, grundsätzlich umfassende Informationspflichten. Hierzu gehört auch die Angabe der Zwecke der Verarbeitung, der Rechtsgrundlagen, des jeweiligen Kontakts des Verantwortlichen aber auch der Hinweis auf Empfänger der Daten.
Während das Löschen der eigenen personenbezogenen Daten von einem Netzwerk gefordert werden kann, gilt dies für die Daten von Dritten aus den Adressbüchern nicht. Wie – wenn überhaupt – lässt sich das einfordern?
VZ NRW: Nach Art. 17 DSGVO haben Betroffene unter bestimmten Voraussetzungen selbst gegen den Anbieter einen Löschungsanspruch, insbesondere wenn die Datenverarbeitung rechtswidrig ist. Darüber können die Aufsichtsbehörden, in Deutschland die jeweiligen Datenschutzbehörden der Länder, im konkreten Einzelfall gemäss Art. 58 DSGVO Anordnungen, gegebenenfalls auch in Form der Löschung (Art. 58 Abs. 1 g), gegenüber dem Anbieter treffen.
Sind Netzwerke seit der DSGVO nicht grundsätzlich verpflichtet anzugeben, welche Daten von Usern konkret erhoben und wie beziehungsweise durch wen diese verarbeitet werden? Wie werden Verstösse aktuell behandelt?
VZ NRW: Nach Art. 13/14 DSGVO treffen Anbieter, die personenbezogene Daten im Rahmen des Anwendungsbereichs der Verordnung verarbeiten, grundsätzlich umfassende Informationspflichten. Hierzu gehört auch die Angabe der Zwecke der Verarbeitung, der Rechtsgrundlagen, des jeweiligen Kontakts des Verantwortlichen aber auch der Hinweis auf Empfänger der Daten.
Vor dem Hintergrund der mit der DSGVO einhergehenden, deutlich gestiegenen Sanktionsmöglichkeiten der Aufsichtsbehörden, wird es für Anbieter sicherlich nun einen grösseren Anreiz geben, mögliche Rechtsverstösse zu vermeiden. Die Verbraucherzentrale Nordrhein-Westfalen wird die Entwicklung auch weiterhin beobachten, kritisch begleiten und sich, soweit nötig, auch gravierenden Rechtsverstössen annehmen, um Verbraucherrechte durchzusetzen.