Verarbeitung von Daten aus sozialen Medien

Odoo • A picture with a caption

Öffentlich = frei zur beliebigen Verarbeitung?

Durch die vermehrte Nutzung digitaler Medien entstehen mehr und mehr Daten, die frei und öffentlich für jedermann zugänglich sind. Auch im Berufsfeld werden soziale Plattformen wie Xing oder Linkedln genutzt, um Kontakt mit Freunden, (ehemaligen) Kollegen oder Headhuntern herzustellen.

Bei der Erstellung und Nutzung seines Accounts viele personenbezogene Daten wie Name, Alter, Abschluss, ein Foto und persönliche Vorlieben benannt. So entstehen Profile, welche in gewissem Umfang öffentlich zugänglich sind. Damit einher geht ein Missbrauchsrisiko. So zeigt z.B. eine Untersuchung, dass sich über wenige öffentliche Facebook-Likes die Charakterzüge einer Person bestimmen lassen.

Personenbezogene Daten auf Webseiten oder sozialen Netzwerken können von jedem Besucher eingesehen, kopiert und dadurch verarbeitet werden. Ist die Verarbeitung dadurch auch erlaubt?

Nach aktueller Rechtsprechung und Ansicht der Aufsichtsbehörden ist nach der DSGVO, wie schon nach dem BDSG alte Fassung, die Verarbeitung personenbezogener Daten aus öffentlichen Quellen aufgrund einer Interessenabwägung zulässig. Nach Art. 6 Abs. 1 lit. f DSGVO ist:

Diese notwendige Interessenabwägung ist schrittweise vorzunehmen (und zu dokumentieren):

1. Schritt: Das berechtigte Interesse des Verantwortlichen ist zu bewerten. Unternehmen haben ein wirtschaftliches Interesse Daten zu sammeln, sie anzuordnen und zur Verfügung zu stellen.

2. Schritt: Das Interesse des Betroffenen ist zu bewerten. Im Vordergrund steht die Erwartungshaltung der betroffenen Person hinsichtlich der Absehbarkeit der Verarbeitung. Ist zum Zeitpunkt der Erhebung vernünftigerweise eine Verarbeitung zu dem entsprechenden Zweck nicht absehbar, kann sich daraus ein starker Anhaltspunkt ergeben, dass die Interessen und Grundrechte des Betroffenen das berechtigte Interesse des Verantwortlichen überwiegen.

Ist diese hohe Hürde überwunden gilt weiter: Das unbemerkte Verarbeiten der personenbezogenen Daten ist nicht möglich. Denn: die Verarbeiter solcher Daten haben die jeweils betroffenen Personen zu informieren, sobald sie personenbezogene Daten verarbeiten, Art. 14 DSGVO.

In der Praxis liebäugeln einige Verantwortliche daher mit der Ausnahme des Art. 14 Abs. 5 lit. b DSGVO, um sich ihrer Informationspflicht zu entledigen. Demnach entfällt diese in Situationen, in denen sich die Erteilung der Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Die Aufsichtsbehörden tendieren zu einer stark eingeschränkten Auslegung. So hat die polnische Aufsichtsbehörde UODO ein Bußgeld gegen ein polnisches Unternehmen verhängt, das Informationen aus öffentlichen Datenbanken sammelte. Bei der Informationspflicht hatte man sich genau auf die bereits erwähnte Ausnahme gestützt, da man 6.000.000 Betroffene nicht per Einschreiben informieren wollte. Die polnische Aufsichtsbehörde teilte allerdings mit, dass kostengünstige Möglichkeiten bestünden den Betroffenen über die Datenerhebung zu informieren. Vorgeschlagen wurden Maßnahmen wie kurze Werbespots vor den Hauptnachrichten, SMS-Nachrichten, Werbung auf Internetportalen.

Folglich haben Unternehmen aufs Sorgfältigste zu prüfen (und dies zu dokumentieren), ob tatsächlich eine Unverhältnismäßigkeit besteht und diese ggf. zu dokumentieren, um ihrer Pflicht nachzukommen.