Robert Kreyßing - Öffentliche Stelle in den Sozialen Medien

Vorliegend dürften insbesondere Online-Kennungen von Relevanz sein. Online-Kennungen sind beispielsweise IP- und MAC-Adressen oder auch Cookie-IDs. Dies sind zwar keine Daten, mit denen Personen stets identifiziert werden können, jedoch ermöglichen sie die Identifizierbarkeit, sobald weitere Informationen zur Verfügung stehen und diese den personenbezogenen Daten und damit natürlichen Personen zugeordnet werden.100 Diese Auffassung folgt der relativen Betrachtungsweise des Personenbezugs mit objektiven Elementen.101

KURZ UND KNAPP

Ein Großteil der Informationen, die im Internet technisch ausgetauscht oder erhoben werden, sind als personenbezogene Daten im datenschutzrechtlichen Sinne einzustufen.

Die nationale und europäische Entwicklung zeigt, dass das Datenschutzrecht erhebliche Schutzziele verfolgt. Dennoch muss festgestellt werden, dass die technischen Entwicklungen so rasant voranschreiten, dass das Recht stets unter Reflexion der technischen Neuerungen angepasst werden muss. Ungeachtet dessen sind die zentralen Aspekte des Datenschutzrechts sowohl vom Gesetzgeber als auch von der Rechtsprechung anerkannt und bilden damit seit Entstehung des Datenschutzrechts die Grundlage für die Rechtsanwendung und -fortentwicklung.

75Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 1 ff. 76Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 9 f. 77BVerfGE 65, 1. 78BVerfGE 100, 313; BVerfGE 115, 320; BVerfGE 120, 274; BVerfGE 125, 260. 79Schmidt in: Taeger, Gabel, DSGVO – BDSG, Art. 1 DSGVO Rn. 25 ff. 80Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 4 ff. 81Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 31. 82Dreier in: Dreier, Bauer, Grundgesetz, Art. 2 I Rn. 79 ff. 83Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 26 f. 84Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 47. 85Albrecht, Jotzo, Das neue Datenschutzrecht, Teil 1 Rn. 1. 86Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108). 87BGBl. 1985 II 539. 88Schiedermair in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 169. 89Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 38. 90Kingreen in: Calliess, Ruffert, EUV / AEUV, AEUV, Art. 16 Rn. 4. 91Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (EG-DSRL). 92Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 12. Juli 2002 (ePrivacy-Richtlinie). 93Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 49. 94Hornung, Spiecker in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 212 f. 95Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 7. 96Mantz, Marosi in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 3 Rn. 11. 97BVerfGE 65, 1, 45. 98Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 9. 99Di Fabio in: Maunz, Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 176. 100Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 27 oder auch Karg in: Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 4 Nr. 1 Rn. 57. 101Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 34 f.

Wie oben skizziert bestehen im Datenschutzrecht unterschiedliche Rechtsgrundlagen. Daher ist zu klären, welche Rechtgrundlagen grundsätzlich für öffentliche Stellen im Bereich der Nutzung Sozialer Medien einschlägig sein könnten und wie diese im Verhältnis zueinanderstehen.

Um die Rechtsgrundlagen zu benennen, ist an den Kern der Sozialen Medien zu erinnern. Dieser besteht wie in Kapitel 2 beschrieben in der sozialen Interaktion und Kommunikation von Privatpersonen. Daneben gibt es für Unternehmen, öffentliche Stellen und Personen des öffentlichen Lebens ebenfalls die Möglichkeit in die Sphäre der Nutzerinnen und Nutzer zu gelangen. Unabhängig von der Art der Nutzerin bzw. des Nutzers ist die Verarbeitung von personenbezogenen Daten charakteristisch und unerlässlich für die Sozialen Medien.102 Einerseits um für die Nutzerinnen und Nutzer die Möglichkeit persönlicher Netzwerke zu schaffen, anderseits um die unternehmerischen, kommerziellen Ziele der entsprechenden Plattform zu verfolgen. Durch die Verarbeitung personenbezogener Daten und durch den Umstand, dass öffentliche Stellen beteiligt sind, kommen grundsätzlich die DSGVO, das BDSG und das TMG in Betracht.

Soziale Medien sind in der Regel als Telemedien im Sinne des § 1 Abs. 1 S. 1 TMG zu qualifizieren.103 Damit richtete sich die rechtliche Einordnung bei der Nutzung Sozialer Medien durch öffentliche Stellen vor Inkrafttreten der DSGVO maßgeblich nach dem TMG und dem BDSG alte Fassung. Das TMG stellt die nationale Umsetzung der EU-Richtlinien 2000/31/EG, 2002/58/EG und 2009/136/EG dar, wobei die vollständige Umsetzung der zuletzt genannten Richtlinie mit dem TMG umstritten ist.104 Ursprünglich war seitens der Europäischen Union vorgesehen, diese EU-Richtlinien durch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (ePrivacyVO), komplementär zur DSGVO und gleichzeitig mit dieser, am 25. Mai 2018 in Kraft treten zu lassen. Demnach würde die ePrivacyVO das TMG, zumindest in großen Teilen, durch den Anwendungsvorrang verdrängen. Im Gesetzgebungsverfahren zur ePrivacyVO gibt es wesentliche Verzögerungen, sodass diese bis dato weder beschlossen noch in Kraft getreten ist. Nach Inkrafttreten der ePrivacy-VO wird diese gemeinsam mit der DSGVO die datenschutzrechtliche Grundlage für die Nutzung Sozialer Medien sein.105

Durch die komplementär gestaltete DSGVO ist nun strittig, ob die DSGVO in Teilen einen Anwendungsvorrang vor dem TMG entfaltet, obwohl sie nicht für den sachlichen Anwendungsbereich des TMG gestaltet ist, da dieser vorwiegend von der ePrivacyVO erfasst werden sollte. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben zur Frage der Anwendbarkeit der DSGVO im Verhältnis zum TMG ein Positionspapier erarbeitet. Im Ergebnis stellt die Datenschutzkonferenz fest, dass insbesondere die §§ 12, 13 und 15 TMG dem Anwendungsvorrang der DSGVO unterfallen und damit nicht mehr anwendbar sind.106 Ebenso geht die herrschende Meinung in der Literatur von einem Anwendungsvorrang der DSGVO aus.107

Eine bedeutende Auswirkung der Harmonisierung des Datenschutzrechts mittels des Rechtsaktes Verordnung bezieht sich auf die rechtliche Bewertung. Vor Inkrafttreten der DSGVO war eine zentrale, maßgebliche Frage bei der rechtlichen Bewertung, welches nationale Datenschutzrecht einschlägig ist. Dieser Komplex war umstritten. Nach Inkrafttreten der DSGVO ist diese Problemstellung entschärft, da für Privatunternehmen in allen EU-Mitgliedsstaaten durch die unmittelbare Rechtswirkung der DSGVO in großen Teilen nun dasselbe Datenschutzrecht gilt. Für öffentliche Stellen ist die DSGVO ebenfalls einschlägig, jedoch unter der Berücksichtigung, dass es für öffentliche Stellen mehr Öffnungsklauseln für nationales Recht gibt. Zukünftig wird die Problemstellung durch die Frage abgelöst, welche Aufsichtsbehörde zuständig ist und wie diese die Anwendung der datenschutzrechtlichen Vorgaben gestaltet. Denn technische Verfahren, insbesondere Anwendungen im Social-Media-Bereich, zeichnen sich durch eine internationale Vernetzung aus. Sie sind selten nur in einem Mitgliedsstaat oder gar lediglich in der Europäischen Union präsent. Daher wird die Frage der Zuständigkeit eine zentrale sein und in der Regel nach Hauptniederlassung oder einzige Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Europäischen Union bestimmt werden.108