Datum: 6 Mai 2024
Authors: Felicitas Struck, Peter Kaiser
LG Passau, Endurteil vom 16.02.2024 – 1 O 616/23
Zu der Frage, ob Facebook mit der Datenverarbeitung und Übermittlung an die USA gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) verstoßen hat.
Der Kläger ist Nutzer des sozialen Netzwerks Facebook. Er behauptete, seine persönlichen Daten seien aufgrund einer Sicherheitslücke öffentlich zugänglich gemacht worden. Dies sei möglich gewesen, weil die Datenschutzeinstellungen von Facebook unübersichtlich und intransparent und die Voreinstellungen nicht datenschutzfreundlich seien.
Auch Daten über Aktivitäten außerhalb des Netzwerks („Off-Facebook-Daten“) würden ohne Einwilligung der Nutzer gesammelt und gespeichert. Der Kläger warf dem Unternehmen einen „Scraping“-Vorfall vor, bei dem im April 2021 personenbezogene Daten von zahlreichen Nutzern durch unbekannte Dritte im Internet verbreiten worden sind.
Insbesondere sei die Weiterleitung von Daten an die USA und die National Security Agency (NSA) rechtswidrig, da die USA kein der DSGVO entsprechendes Schutzniveau gewährleisten würde.
Hat Facebook gegen Vorschriften der Datenschutz-Grundverordnung verstoßen, indem es Daten des Beklagten ohne Einwilligung verarbeitet, datenschutzfeindliche Voreinstellungen festgelegt, Off-Facebook-Daten unberechtigt genutzt und eine Übermittlung der Daten an die USA und NSA veranlasst hat?
Art. 5 Abs. 1 a, Art. 6, Art. 25 Abs. 2 DSGVO
Das Gericht kommt zu dem Ergebnis, dass Facebook nicht gegen die Bestimmungen der Datenschutz-Grundverordnung verstoßen hat.
Die Plattform informiert die Nutzer von Anfang an über die Datenverarbeitung und der Kläger willigte hierin freiwillig ein (Art 6 Abs. 1 DSGVO). Nutzern steht es frei, die Einstellungen zur Behandlung von personenbezogenen Daten so zu treffen und zu ändern, wie sie es wollen. Facebook stellt Hinweise und Bedienungshilfen zur Verfügung, mittels derer sich der Nutzer über die Einstellungsmöglichkeiten und den Datenschutz informieren kann. Somit sind die Datenschutzhinweise gem. Art. 5 Abs. 1 a DSGVO transparent ausgestaltet.
Auch die Voreinstellungen sind nicht zu beanstanden. Es kann nach Art. 25 Abs. 2 DSGVO nicht verlangt werden, dass der Verantwortliche stets die datenschutzfreundlichste Voreinstellung trifft. Die Suchbarkeitseinstellung durch „Alle“ entspricht dem Zweck eines sozialen Netzwerks, dass Nutzer auch von anderen gefunden werden können.
Die Daten, die beim „Scraping“-Vorfall betroffen waren, wurden mit Ausnahme der Telefonnummer bereits öffentlich gemacht. Es gehört zum allgemeinen Lebensrisiko der Nutzer sozialer Plattformen, dass bereits veröffentlichte Daten anderswo gespeichert und veröffentlicht werden können. Auch die Verarbeitung der Off-Facebook-Daten stellen kein Verstoß gegen die DSGVO dar, da mithilfe des Cookie-Banners die Einwilligung des Facebook-Nutzers eingeholt wurde. Dabei stellt das Gericht fest, dass die blaue Hervorhebung der Schaltfläche „Alle Cookies erlauben“ üblich und erlaubt ist und die Entscheidungsfähigkeit des Nutzers nicht beeinflusst.
Schließlich ist laut Gericht die Übermittlung von Daten an die USA nicht rechtswidrig. Facebook hielt die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO ein. Der US-Konzern Facebook ist als eine globale Plattform konzipiert und zur Unterhaltung dieses weltweiten Netzwerks ist der grenzüberschreitende Austausch von Daten zwangsläufig nötig. Dies muss den Nutzern bewusst sein. Der Beklagte hat keinen Anspruch darauf, dass seine Daten lediglich in Europa gespeichert und verarbeitet werden. Für die Weiterleitung der Daten an den amerikanischen Auslandsgeheimdienst gibt es keine hinreichenden Beweise. Soweit US-Regierungsbehörden einschließlich Geheimdienste nach US-amerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs 1 Buchstabe c DSGVO zulässig wäre.