Am Beispiel des sozialen Netzwerkes „Facebook“

A. Einleitung und Problemstellung

Seit dem 25.05.2018 beansprucht die Datenschutzgrundverordnung (DSGVO) Geltung in der gesamten Europäischen Union und hat sich – ausgedrückt u.a. mit der Vorschrift des Art. 1 DSGVO – in den Dienst des Schutzes und der Förderung des freien Verkehrs personenbezogener Daten gestellt.¹ Vor diesem Hintergrund ist es unabdingbar gewesen, den oftmals grenzüberschreitenden und somit in besonderem Maße risiko- und gefahrenbehafteten Vorgängen der Datenverarbeitung zwingend zu beachtende Grundsätze der Datenverarbeitung gegenüberzustellen.² Daher hat der europäische Normgeber mit den in Art. 5 DSGVO aufgeführten Grundsätzen der „Rechtmäßigkeit“, der „Verarbeitung nach Treu und Glauben“, der „Transparenz“, der „Zweckbindung“, der „Datenminimierung“, der „Richtigkeit“, der „Speicherbegrenzung“, der „Integrität und Vertraulichkeit“ und der „Rechenschaftspflicht“ tragende Säulen der Datenverarbeitung zum Ausdruck gebracht, die aufgrund ihrer fundamentalen Bedeutung auch nicht in den vorgelagerten Erwägungsgründen fehlen durften.³ Hierin ist zugleich auch eine Antwort auf die gegenwärtigen dynamischen technologischen Entwicklungen zu sehen, zu deren näheren Darlegung eine Passage aus dem sog. Schrems II - Urteil des EuGHs wiedergegeben wird: „Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. Zunehmend machen auch natürliche Personen Informationen öffentlich weltweit zugänglich. Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.“.⁴ 

Auch einige Jahre nach Inkrafttreten der DSGVO steht die Rechtspraxis noch vor der Aufgabe, diese teils sehr weit gefassten Prinzipien mit Substanz zu füllen. So weckt z. B. der Grundsatz der „Verarbeitung nach Treu und Glauben“ gem. Art. 5 I lit. a) Alt. 2 DSGVO einige Erinnerungen an das Rechtsinstitut der „Leistung nach Treu und Glauben“ gem. § 242 BGB, von dem inzwischen bekannt ist, dass sich die Konkretisierung derart offen gestalteter Tatbestände typischerweise in Fallgruppen ausdrücken wird.⁵ 

Im Interesse der Stoffbeschränkung wird sich die nachfolgende Arbeit jedoch ausschließlich auf die Datenverarbeitungsgrundsätze gem. Art. 5 I lit. a) DSGVO konzentrieren („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) und am Exempel „Facebook“ einige ausgewählte Probleme aufzeigen. Facebook stellt ein soziales Netzwerk dar, welches zugleich das Kernprodukt des Konzerns „Meta Platforms Ireland Ltd.“ (nachfolgend Meta) darstellt und seit 2008 in Deutschland angeboten wird.⁶ Den Nutzern dieses Netzwerkes werden eine Vielzahl von Funktionen angeboten, mit denen sie sich vernetzen, Gemeinschaften bilden und ihre Unternehmen stärken können.⁷ Im Gegenzug zu der kostenlosen Nutzung erklären sich die Vertragspartner u. a. mit den Nutzungsbedingungen einverstanden, die vorsehen, dass Meta die personenbezogenen Daten der Nutzer verwenden darf, um ihnen diejenigen Werbungen anzuzeigen, die für sie angesichts der zu beobachtenden individuellen Nutzeraktivitäten und Interessen von großer Relevanz sein dürften.⁸ 
 

B. Die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO

I. Der Terminus der „Verarbeitung“, Art. 4 Nr. 2 DSGVO

Der Begriff der „Verarbeitung“ wird in Art. 4 Nr. 2 DSGVO – ähnlich wie zuvor auch schon in Art. 2 lit. b) EG-DSRL⁹ – mit Hilfe von mannigfaltigen und spezifischen Vorgängen konkretisiert, die innerhalb eines weitreichenden Spektrums möglicher Umgangsformen in Bezug auf personenbezogene Daten eingeordnet werden können.¹⁰ Genannt werden u. a. die Erhebung, das Speichern, die Organisation, die Aufbewahrung und die Anpassung oder Veränderung von Daten, ohne dass es entscheidend darauf ankommt, ob diese Vorgänge mittels automatisierter Verfahren veranlasst und durchgeführt werden.¹¹ Manuelle Verarbeitungsvorgänge können ebenfalls vom sachlichen Anwendungsbereich dieser Vorschrift erfasst sein, sofern die personenbezogenen Daten in einem „Dateisystem“ i.S.d. Art. 4 Nr. 6 DSGVO gespeichert wurden bzw. werden sollen (Art. 2 I DSGVO).¹² Dagegen wird der Terminus der „automatisierten Verarbeitung“ unzulässig ausgedehnt, sofern ein Empfänger die aus einer automatisierten Verarbeitung resultierenden Informationen in einem weiteren Schritt seinerseits manuell weiterverarbeitet.¹³ Jeder dieser Vorgänge, der unter der Verwendung personenbezogener Daten abläuft, muss auf einen Erlaubnistatbestand gem. Art. 6 I DSGVO gestützt werden können.¹⁴ 
 

II. Rechtmäßigkeit, Treu und Glauben, Transparenz, Art. 5 I lit. a) DSGVO

Das Postulat der „Rechtmäßigkeit“ der Verarbeitung gem. Art. 5 I lit. a) Var. 1 DSGVO wird im Wesentlichen durch die benachbarten Vorschriften der Artt. 6 ff. DSGVO präzisiert. Nach Maßgabe des Art. 6 I DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern sie wenigstens auf einen der in dieser Vorschrift genannten Erlaubnistatbestände gestützt werden kann, insbesondere auf eine Einwilligung der betroffenen Person gem. Art. 6 I lit. a) i.V.m. Art. 7, 8 DSGVO oder auf eine sonstige Rechtsgrundlage¹⁵ wie z. B. die Erforderlichkeit i.S.d. Art. 6 I lit. b) DSGVO. Ergänzt werden die Pflichten des Verantwortlichen zudem durch die Vorschrift des Art. 13 I lit. c) DSGVO, die vorsieht, dass er die betroffene Person zum Zeitpunkt der Datenerhebung über die einschlägige Rechtsgrundlage zu informieren hat. Für jeden übergeordneten Zweck ist der damit korrespondierende Tatbestand der Artt. 6 ff. DSGVO – ggfs. in Verbindung mit weiteren Rechtsgrundlagen – zu zitieren, und zwar minuziös nach Satz, Absatz, Buchstabe und Alternative.¹⁶ Demgegenüber ist nicht erforderlich, dass der Verantwortliche den Wortlaut der einschlägigen Normen abbildet oder gar die Rechtslage erörtert.¹⁷

Wie sich Meta und ihr Produkt „Facebook“ vor dem Hintergrund des vorbezeichneten Grundsatzes verhalten, vermittelt ein Blick in die sog. „legal bases“.¹⁸ In dieser eigenständigen Erklärung schildert Meta die ihrer Datenverarbeitung zugrunde gelegten Erlaubnistatbestände. Insgesamt stützt sich Meta in Abhängigkeit vom konkreten Datenverarbeitungsvorgang auf jeden der sechs Erlaubnistatbestände des Art. 6 I lit. a) - f) DSGVO und trägt zusätzlich einzelne Fallgruppen vor, wie und wofür die Daten verwendet werden. Anzumerken ist an dieser Stelle jedoch, dass keiner der einschlägigen Rechtsvorschriften zitiert wird. Es bleibt lediglich bei einer an den Wortlaut des Art. 6 I DSGVO angelehnten und rein inhaltlichen Wiedergabe dieser Vorschriften, womit Friktionen zu einigen Stimmen in der Literatur fortbestehen. Seit dem die DSGVO in Kraft getreten ist,¹⁹ beruft sich Meta bei der Datenverarbeitung im Wesentlichen auf die vertragliche Erforderlichkeit nach Art. 6 I lit. b) DSGVO, wonach sich die Datenverarbeitung als rechtmäßig erweist, sofern sie für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist.²⁰ E contrario stellt Meta bei einem Großteil der Datenverarbeitung nicht mehr vorrangig auf die Einwilligung seiner Nutzer i.S.d. Art. 6 I lit. a) DSGVO ab, die sie mit der Zustimmung zu den Nutzungsbedingungen und der gleichzeitigen Anerkennung der Klausel Ziffer 3.3. erteilt haben.²¹ Begründet wurde diese Umkehr damit, dass Facebook (vor der Umfirmierung zu „Meta“ unter dem Namen „Facebook Ireland Ltd.“ auftretend) bei der Umsetzung der DSGVO überprüft habe, in welchem Umfang sie sich in der Vergangenheit auf die Einwilligungen der Nutzer berufen hat.²² Dabei gelangte sie zu der Erkenntnis, dass die Einwilligung lediglich in einem eng umgrenzten Kreis an Fällen eine geeignete Rechtsgrundlage darstellte und den anderen Erlaubnistatbeständen, insbesondere der Erforderlichkeit i.S.d. Art. 6 I lit. b) DSGVO vor dem Hintergrund ihrer Datenverarbeitung eine größere Sachdienlichkeit anhaftete.²³

Welche Gefahren bestehen, wenn der Großteil der Datenverarbeitung an den Einwilligungen der Nutzer vorbeizieht, soll exemplarisch anhand des Problems der Verknüpfung von „Off-Facebook“- und „On-Facebook“-Daten verdeutlicht werden: Im Jahre 2020 bestätigte der BGH im Ergebnis eine Entscheidung,²⁴ in der das Bundeskartellamt Facebook Ireland Ltd. vorgeworfen hatte, dass es Geräte- und Nutzerdaten, die außerhalb ihrer Applikation „Facebook“ von konzerneigenen Gesellschaften wie z. B. „Instagram“ und „WhatsApp“ oder externen Dritten generiert worden sind („Off-Facebook“-Daten), laufend mit solchen Daten verbunden hat, die Facebook während der aktiven Nutzung erlangte („On-Facebook“-Daten).²⁵ Die Sammlung derartiger „Off-Facebook“-Daten, welche u. a. für die Personalisierung von Werbeanzeigen verwendet wurden, ist für die Nutzer teilweise nicht ersichtlich gewesen.²⁶ Daher wurde Facebook Ireland Ltd. angesichts der Verarbeitung und Zusammenführung dieser Daten die Restriktion auferlegt, dass es eine derartige Datenverarbeitung nicht mehr ohne die Einwilligung der Nutzer veranlassen darf.²⁷ Daraus wird geschlussfolgert, dass die Nutzer künftig vor die Wahl gestellt werden müssen, ob sie einer Personalisierung zustimmen, die ausschließlich unter Zugrundelegung von „On-Facebook“-Daten erfolgt oder zusätzlich auch „Off-Facebook“-Daten berücksichtigt.²⁸ Der BGH konstatierte mit Blick auf diese bisherige Praxis, dass Facebook Ireland Ltd. seine marktbeherrschende Position sowohl zu Lasten der Nutzer, als auch gegenüber den anderen Wettbewerbern auf dem Markt missbräuchlich ausgenutzt hat.²⁹ Prospektiv ist ein besonderes Augenmerk darauf zu richten, ob ein Unternehmen die Bereitstellung ihrer Produkte von der Einräumung eines unangemessen weiten Spielraumes bei der Datenverarbeitung abhängig macht,³⁰ womit die Freiwilligkeit bestimmter Einwilligungen erheblich in Frage gestellt werden kann (vgl. Art. 7 IV DSGVO).

In der Verbindung von „Off-Facebook“- und „On-Facebook“-Daten kann zudem eine Kollision mit der „Verarbeitung nach Treu und Glauben“ gem. Art. 5 I lit. a) Var. 2 DSGVO gesehen werden, womit der Übergang zu dem nächsten Grundsatz vollständig wäre. Dieser soll eine „faire“ Datenverarbeitung sicherstellen, in dem die Modalitäten der Rechtsausübung zwischen dem Verantwortlichen und der betroffenen Person reguliert werden. Eine Konkretisierung gestaltet sich vergleichsweise schwierig, da sich weder in – den auf diesen Grundsatz bezugnehmenden – Art. 13 II, Art. 14 II und Art. 40 II lit. a) DSGVO, noch in den Erwägungsgründen 39 S. 4 und 60 S. 1 eine tiefergehende und über die bloße Nennung hinausgehende normative Ausgestaltung zu erkennen gibt. Sinnvoll erscheint es daher, bei derart offenen Rechtsbegriffen eine Annäherung über typische Fallgruppen zu fördern,³¹ wie man es bereits bei der „Leistung nach Treu und Glauben“ gem. § 242 BGB beobachten konnte³² (z. B. rechtsmissbräuchliches oder widersprüchliches Verhalten).³³ So wird vertreten, dass die Verarbeitung nach Treu und Glauben gem. Art. 5 I lit. a) Var. 2 DSGVO u. a. eine Datenverarbeitung untersagt, die ohne hinreichende Kenntnis der betroffenen Person erfolgt ist, die in Art und Umfang von den geweckten Erwartungen des Betroffenen abgewichen ist³⁴ oder etwas allgemeiner ausgedrückt, die sich bei tatsächlicher oder normativer Betrachtung als „heimliche“ Datenverarbeitung herausstellt hat.³⁵ In derart gelagerten Fällen kann diesem Grundsatz auf der einen Seite eine Funktion als Auffangtatbestand zukommen und auf der anderen Seite als Auslegungsstütze, die im Einzelfall eine Korrektur des bisherigen – ggfs. auch rechtmäßigen – Ergebnisses zu rechtfertigen vermag.³⁶

Zuletzt taucht in Art. 5 I lit. a) Var. 3 DSGVO noch der Grundsatz der „Transparenz“ auf, der besagt, dass sämtliche Informationen zu der Verarbeitung personenbezogener Daten in simplifizierter Fassung, d. h. in einfacher und klarer Sprache verfasst und ohne große Hürden zugänglich sein müssen, sodass die natürliche Person in die Lage versetzt wird, sich einen Eindruck von der Datenverarbeitung und den Begleitumständen zu verschaffen.³⁷ Zu den flankierenden Umständen der Datenverarbeitung gehören u. a. die Identität des Verantwortlichen, die Zwecke der Verarbeitung, sonstige eine transparente Verarbeitung sicherstellende Informationen sowie die Rechte der Betroffenen.³⁸ Spiegelbildlich zu all den vorgenannten Grundgedanken regelt Art. 12 I DSGVO, dass der Verantwortliche geeignete Maßnahmen treffen muss, um gegenüber der betroffenen Person weitergehende Informationen zu der Identität des Verantwortlichen (Art. 13 f. DSGVO), den dieser natürlichen Personen zustehenden Rechtspositionen (Art. 15 ff. DSGVO) sowie zu einer sich erheblich auswirkenden Verletzung des Schutzes personenbezogener Daten (Art. 34 DSGVO) mitteilen zu können. Auch diese Informationen, die für die betroffene Person bestimmt sind, müssen leicht zugänglich sein, in einfacher und klarer Sprache vermittelt und ggfs. mittels visueller Elemente hervorgehoben werden.³⁹ Letztlich äußert sich das Transparenzgebot an verschiedenen Stellen und Kontexten der DSGVO.⁴⁰

Bereits bei der Facebook-Registrierung werden die potenziellen Nutzer u. a. auf die geltenden Nutzungsbedingungen und die Datenschutzrichtlinie aufmerksam gemacht, die mittels eines einfachen Mausklicks aufgerufen werden können.⁴¹ Vor dem Hintergrund der Transparenz ist folglich die Datenschutzrichtlinie von Meta, auf die nicht nur bei der Registrierung, sondern auch innerhalb der Nutzungsbedingungen und der „legal bases“ mehrmals hingewiesen wird, von übergeordneter Bedeutung.⁴² Wirft man in einem weiteren Schritt einen Blick in die Datenschutzrichtlinie, so findet man den reinen Erklärungstext sowie eine Übersicht, die bestimmte Themen hervorhebt. Mit ein wenig Mühe gelangt man dann u. a. auch zu weitergehenden Informationen zu der Datenverarbeitung, weshalb man zumindest prima facie zu der Annahme tendieren könnte, dass Meta den Anforderungen an das Transparenzgebot hinreichend Rechnung trägt. So weit – so gut.

Doch wie sieht es mit der Verständlichkeit und Lesbarkeit dieser Erklärungen aus? Auch wenn der europäische Rechtsetzer u. a. in den Art. 5 I lit. a) und Art. 12 I DSGVO sowie innerhalb der Erwägungsgründe⁴³ verschiedentlich auf das Erfordernis einer „präzisen, transparenten, verständlichen, klaren und einfachen“ Sprache hingewiesen hat, leistet der Regelungskomplex der DSGVO keinen Beitrag zu der Konkretisierung desselben. Die inzwischen durch den Datenschutzausschuss i.S.d. Art. 68 DSGVO ersetzte Artikel-29-Datenschutzgruppe hatte hierzu Leitlinien veröffentlicht, die als Auslegungshilfe für die praktische Umsetzung des Transparenzgebotes fungieren sollten.⁴⁴ Die vorbezeichneten Leitlinien, die u. a. auf den Einsatz von „einfachen Formeln“⁴⁵ und die Vermeidung von Modalverben wie „kann“, „könnte“⁴⁶ sowie „komplexer Satz- und sprachlicher Strukturen“⁴⁷ abstellten, überschritten lediglich teilweise die Schwelle hin zu konkreten Handlungsoptionen. Andere Stimmen aus der Literatur betonten lediglich den zu unterlassenden Gebrauch technischen oder fremdsprachigen Fachvokabulars,⁴⁸ sodass sich die Empfehlungen eher im Bereich generischer Hinweise bewegten, ohne Parameter zu nennen, anhand derer objektiv bestimmt werden kann, wann ein Text für den Erklärungsempfänger in puncto Verständlichkeit und Lesbarkeit die Grenze des Zumutbaren überschreitet.⁴⁹

Die Datenschutzrichtlinie von Meta lässt – zum Teil in Wechselwirkung zu den Nutzungsbedingungen – neben technischem⁵⁰ und juristischem⁵¹ Jargon auch fremdsprachige Begrifflichkeiten⁵² erkennen. Auf diese Weise werden Themen, die für einen durchschnittlichen Dritten ohnehin schwierig zu erfassen sind (z. B. der Schutz des geistigen Eigentums), verkompliziert. Es werden teilweise Begrifflichkeiten verwendet, die ein gewisses Alter, Bildungsniveau und Interesse am Inhalt des Textes voraussetzen.⁵³ Ferner tauchen in der Datenschutzrichtlinie Abkürzungen wie EWR oder zahlreiche Regelungswerke wie Competition and Consumer Protection Act 2014 oder Companies Act 2014 auf, die bei der ersten Lektüre für Unsicherheit sorgen und den Leser dazu zwingen, diese Kürzel und Regelungswerke näher zu erforschen oder aber den betreffenden Absatz zu überspringen. Außerdem bediente sich „Meta“ bei der Gestaltung der Datenschutzrichtlinie einiger Informationsdefizite: So wird etwa betont, dass die Weitergabe von personenbezogenen Daten im Falle eines Unternehmensverkaufes „nur im gesetzlich festgelegten Rahmen“ erfolgen werde, ohne auf diesen Rahmen näher einzugehen.⁵⁴ Zuletzt soll noch darauf aufmerksam gemacht werden, dass die Erlangung von Informationen gelegentlich ein gewisses Zusammenspiel zwischen mehreren eigenständigen Erklärungen erforderlich macht.⁵⁵ In dem vorgenannten Punkt äußert sich ein ganz grundlegendes Problem: Aufgrund der vielen wechselbezüglichen Verweise zwischen „Nutzungsbedingungen“, „Datenschutzrichtlinie“, „legal bases“, „Cookie-Richtlinie“, den „Gemeinschaftsstandards“ etc.⁵⁶ kommt es auf der Seite des Nutzers zu einer Informationsüberflutung (information overload), die nicht nur die Irrtumswahrscheinlichkeit, sondern auch die des Abbruchs der Lektüre rapide steigen lässt.⁵⁷ Vergegenwärtigt man sich daneben, dass eine Registrierung beim sozialen Netzwerk Facebook bereits mit der Vollendung des 12. Lebensjahres möglich ist,⁵⁸ so bewegt sich die Wahrscheinlichkeit, dass minderjährige Nutzer die Reichweite ihrer Zustimmungen hinreichend präzise erfassen können, asymptotisch gegen Null. 

Diese Erkenntnis, die vor dem Hintergrund des mit Nachdruck eingeforderten Transparenzgebotes verwundern mag, fügt sich fast schon schlüssig in ein größeres Gesamtgefüge ein. Denn die Einhaltung simplifizierter Sprache und die damit korrespondierenden Pflichten der Datenverantwortlichen werden anscheinend nur selten überprüft und in Frage gestellt. Zu diesem Ergebnis ist jedenfalls eine Studie⁵⁹ von Gerpott und Mikolas gelangt, die sich mit den Datenschutzerklärungen der 50 größten Internethändler Deutschlands beschäftigt hat. Hiernach müssen die (potenziell) betroffenen natürlichen Personen hohe Lesekompetenzen aufweisen und werden von einer Informationsflut erschlagen, sodass ein Großteil der Betroffenen die Reichweite ihrer Einwilligungen sehr wahrscheinlich nicht einschätzen kann. Diese Tendenz rührt nicht zuletzt daher, dass die datenverarbeitenden Unternehmen ihre Datenschutzerklärungen legalistisch verfassen, bei ihrer linguistischen Ausgestaltung auf eine möglichst effektive Zurückweisung von inhaltlichen Einwänden abzielen und den Versuch unternehmen, multidimensionale Datenverarbeitungsprozesse zu verdecken.⁶⁰

Literatur und Quellenangaben

1 Siehe dazu Lettl, WM 2018, S. 1149.

2 Vgl. auch Buchholtz/Stentzel, Gierschmann/Schlender/Stentzel/Veil, DS-GVO (2018), Art. 5, Rn. 1.

3 Vgl. etwa Erwägungsgrund 39 (DSGVO) in dem sich diese Prinzipien wiederfinden.

4 EuGH, NJW 2020, 2612 – Schrems II.

5 Vgl. Buchholtz/Stentzel, Gierschmann/Schlender/Stentzel/Veil, DS-GVO (2018), Art. 5, Rn. 25.

6 OLG Düsseldorf, MMR 2019, 742, Beschluss vom 26.08.2019 – VI-Kart 1/19 (V).

7 Vgl. vor Ziff. 1 der Nutzungsbedingungen, aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

8 Ziff. der Nutzungsbedingungen, aufgerufen am 19.12.2022 unter: https://de-de.facebook.com/terms.

9 Gola, DS-GVO (2017), Art. 4, Rn. 29.

10 Vgl. dazu Weichert, Däubler/Wedde/Weichert/Sommer, 2018, Art. 4 DSGVO, Rn. 36.

11 Klabunde, Ehmann/Selmayr, DS-GVO (2017), Art. 4, Rn. 19.

12 Albrecht/Jotzo, Begriffsbestimmungen (2017), Rn. 4.

13 Gola, DS-GVO (2017), Art. 4, Rn. 32.

14 Albrecht/Jotzo, Begriffsbestimmungen (2017), Rn. 4.

15 Nach dem zugrundeliegenden Verständnis des Rechtsetzers scheint es sich bei allen Erlaubnistatbeständen des Art. 6 I DSGVO um eine „Rechtsgrundlage“ im weiteren Sinne zu handeln (vgl. dazu Erwägungsgrund 40 (DSGVO), in dem von einer rechtmäßigen Datenverarbeitung auf der Grundlage der „Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage“ die Rede ist.).

16 Lorenz, VuR 2019, S. 215 m.w.N.

17 Lorenz, VuR 2019, S. 215.

18 Aufzufinden unter dem Titel: „Informationen zur Rechtsgrundlage“, zuletzt aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/legal_bases.

19 Vgl. dazu Art. 99 II DSGVO.

20 Dazu Graf von Westphalen/Wendehorst, ZIP 2019, 1939, wonach es beim Merkmal der „Erforderlichkeit“ letztlich darauf ankommt, ob die Erfüllung der die vertragliche Abrede kennzeichnenden Hauptleistung erfordert, dass die Datenverarbeitung – wie vom Verantwortlichen beschrieben – erfolgt; der Datenschutzausschuss hat zur Konkretisierung dieses Merkmals Leitlinien beschlossen (vgl. die Leitlinien des Europäischen Datenschutzausschusses 2/2019 betreffend die Auslegung von Art. 6 I lit. b DSGVO).

21 Siehe auch Mackenrodt/Wiedemann, ZUM 2021, S. 97; vgl. die „legal bases“, zuletzt aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/legal_bases.

22 Siehe BKartA, BeckRS 2019, 4895, Rn. 642, Beschluss vom 06.02.2019, B6-22/16.

23 Siehe BKartA, BeckRS 2019, 4895, Rn. 642, Beschluss vom 06.02.2019, B6-22/16.

24 BKartA, BeckRS 2019, 4895, Beschluss vom 06.02.2019, B6-22/16.

25 BGH, Beschluss vom 23.06.2020 – KVR 69/19, ZUM 2020, 863.

26 Mackenrodt/Wiedemann, ZUM 2021, S. 90.

27 BGH, Beschluss vom 23.06.2020 – KVR 69/19, ZUM 2020, 864.

28 Mackenrodt/Wiedemann, ZUM 2021, S. 90.

29 Mackenrodt/Wiedemann, ZUM 2021, S. 92.

30 Hoffer/Lehr, NZKart 2019, 18.

31 Pötters, Gola, DS-GVO (2017), Art. 5, Rn. 8.

32 Siehe z.B. auch § 275 II 1 BGB, § 815 BGB oder § 9 UrhG, die ebenfalls von „Treu und Glauben“ sprechen.

33 Buchholtz/Stentzel, Gierschmann/Schlender/Stentzel/Veil, DS-GVO (2018), Art. 5, Rn. 25.

34 Heberlein, Ehmann/Selmayr, DS-GVO (2017), Art. 5, Rn. 10.

35 Weichert, Däubler/Wedde/Weichert/Sommer, 2018, Art. 5 DSGVO, Rn. 18.

36 Weichert, Däubler/Wedde/Weichert/Sommer, 2018, Art. 5 DSGVO, Rn. 20.

37 Aden, Zeitschrift für Bürgerrechte und Gesellschaftspolitik, Nr. 231/232 (2020), S. 67.

38 Vgl. dazu Erwägungsgrund 39 S. 2 - 4 (DSGVO).

39 Erwägungsgrund 58 S. 1 (DSGVO).

40 Ausgedrückt mit den Vorschriften der Art. 42 f. DSGVO appelliert der europäische Rechtsetzer u.a. an die Mitgliedstaaten und die Aufsichtsbehörden, ein sog. datenschutzspezifisches Zertifizierungsverfahren mit einem entsprechenden Siegel und Prüfzeichen zu fördern, um nach außen zu signalisieren, dass die DSGVO seitens des jeweiligen Verantwortlichen eingehalten wird (vgl. auch Erwägungsgrund 100). Diese Zertifizierung muss gem. Art. 42 III DSGVO über ein transparentes Verfahren zugänglich sein. Ferner können Verbände und andere Vereinigungen gem. Art. 40 II lit. a) DSGVO weitere Regelungen entwerfen, welche eine transparente Verarbeitung von personenbezogenen Daten fördert und präzisiert. 

41 Das Hinweisfeld erscheint, sofern der potenzielle Nutzer auf das Feld „Neues Konto erstellen“ klickt, zuletzt aufgerufen am 19.12.2024 unter: https://de-de.facebook.com.

42 So findet sich bereits in dem vierten Absatz der Einleitung zu den Nutzungsbedingungen ein Hinweis auf die Datenschutzrichtlinie (vor Ziffer 1.) sowie unter Ziffer 1. („Diese Dienste stellen wir bereit“) und unter Ziffer 2. („Wie unsere Dienste finanziert werden“), aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

43 Vgl. auch Erwägungsgrund 39 und 58 (DSGVO).

44 Art. 29-Datenschutzgruppe, WP260 rev. 01, Leitlinien für Transparenz gemäß der Verordnung 2016/679 (zuletzt überarbeitet am 11.04.2018), S. 4.

45 Art. 29-Datenschutzgruppe, a.a.O., S. 7.

46 Art. 29-Datenschutzgruppe, a.a.O., S. 11.

47 Art. 29-Datenschutzgruppe, a.a.O., S. 10.

48 Siehe dazu auch Ernst, ZD 2017, S. 113.

49 Gerpott/Mikolas, MMR 2021, S. 937.

50 Vgl. die Datenschutzrichtlinie, in der Begrifflichkeiten wie z. B. „Metadaten“, „Hardware- und Software“ und „Plugins“ verwendet werden, aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/update.

51 In der Datenschutzrichtlinie werden Wörter/Wortgefüge wie „Informationen verarbeiten“, „Im Einklang mit geltendem Recht“, „einem regulatorischen Verfahren“ verwendet, aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/update. Innerhalb der Datenschutzrichtlinie wird zudem auf die Nutzungsbedingungen verwiesen, die z. B. Rechtsbegrifflichkeiten wie „Verarbeitung“, „geistige Eigentumsrechte“, „Europäischen Kodex“, „Verletzung des Urheberrechts oder der Marke“, „Vorsatz“ und „grobe Fahrlässigkeit“ erkennen lässt, aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

52 Siehe dazu auch die Datenschutzrichtlinie, die Fremdsprachenvokabular erkennen lässt wie z.B. „Spam“, „Hashtags“ oder „Business Intelligence“, aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/update.

53 In der Datenschutzrichtlinie tauchen z. B. auf: „verifizieren“, „Prozessführenden“, „kuratieren“ und „durchsetzbarer Vertrag“, aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/update; in den Nutzungsbedingungen werden zudem Wörter wie „dekompilieren“ oder „extrahieren“ verwendet, aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

54 Aufgerufen am 19.12.2024 unter: https://www.facebook.com/about/privacy/update.

55 In der Datenschutzrichtlinie wird z. B. der Verantwortliche „Meta Platforms Ireland Limited, ATTN: Privacy Operations, Merrion Road, Dublin 4, D04 X2K5, Ireland“ angegeben. Informationen zum Vertretungsberechtigten (Richard Kelley, Eingetragen in Irland (Companies Registration Office), Handelregisternummer 462932) findet man dagegen erst in den „Nutzungsbedingungen“, aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

56 Zu den sonstigen möglicherweise geltenden Bedingungen und Richtlinien vgl. Ziff. 5 der Nutzungsbedingungen, aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

57 Siehe dazu Gerpott/Mikolas, MMR 2021, S. 937, die auf eine im Januar/Februar 2021 durchgeführte Studie der Postbank hinwiesen, bei der 19% der 3.048 befragten Verbraucher angaben, ihre Zustimmung zu der DSE zu erteilen, ohne diese zuvor gelesen zu haben.

58 Vgl. Ziff. 3. 1. der „Nutzungsbedingungen“, aufgerufen am 19.12.2024 unter: https://de-de.facebook.com/terms.

59 Gerpott/Mikolas, MMR 2021, S. 940.

60 Gerpott/Mikolas, MMR 2021, S. 940.