Unter der Datenschutzlupe: soziales Netzwerk „Path“

Das soziale Netzwerk „Path“ wird, entgegen mancher Unkenrufe, immer beliebter. Nach Angaben des Mitbegründers hat die Mitgliederzahl die 10 Millionenmarke überschritten und jede Woche kämen ca. 1 Millionen neue Nutzer hinzu.

Der Dienst

Die Grundidee von Path und ein wichtiger Unterschied etwa zu Facebook, ist eine Begrenzung der Kontakte auf maximal 150. Es soll sich um ein Netzwerk und einen Informationsaustausch innerhalb der Familie und engster Freunde handeln. Der Dienst ist vor allem auf die Nutzung über die App, entweder auf iOS oder Android-Geräten, ausgelegt. Zu anfangs noch ohne eigenes Eins-zu-Eins-Nachrichtensystem, wurde dies mit der neuesten Version hinzugefügt, ebenso etwa wie in verschiedenen Nachrichten-Apps immer beliebter werdende besondere Zeichen oder Sticker zum versenden. Zu recht beliebt und daher auch von Konkurrenten übernommen ist die App vor allem für ihre Nutzerfreundlichkeit und das ansprechende Design.

Der Datenschutz

Negativ viel Path in letzter Zeit jedoch beim Thema Datenschutz auf. Die App lud ohne Genehmigung etwa die gesamten Kontakte des Adressbuches des Nutzers auf die Server des Unternehmens und musste daher eine durch die FTC (Federal Trade Comission) verhängte 800.000 Dollar Strafe zahlen, da sie damit gegen den COPPA (Children’s Online Privacy Protection Act) verstieß.
Angeboten wird der Dienst von dem Firmensitz in San Francisco, USA. Eine europäische Niederlassung scheint nicht zu bestehen. Jedoch richtet sich das Angebot auch an internationale User, wie der Blick in die Datenschutzbestimmungen verrät.

Welches Datenschutzrecht?

Zuerst muss man sich natürlich fragen, gilt denn überhaupt europäisches bzw. deutsches Datenschutzrecht, wenn der Anbieter in den USA sitzt? (unabhängig von dem Ergebnis, ist die Frage der Durchsetzung natürlich eine ganz andere)
Da eine europäische Niederlassung nicht besteht, kommt die Anwendbarkeit deutschen Datenschutzrechts nur über § 1 Abs. 5 S. 2 BDSG in Betracht. Die verantwortliche Stelle müsste sich also in einem Drittstaat befinden, was der Fall ist, und sie müsste personenbezogene Daten in Deutschland erheben, verarbeiten oder nutzen (und dazu auf in Deutschland belegene Mittel zurückgreifen, Art. 4 Abs. 1 lit c ) RL 95/46/EG). Für die Datenverarbeitung von Path über die App, dürfte dies der Fall sein, da sie auf die Mobiltelefone der Nutzer zurückgreift, um personenbezogene Daten zu erheben (zumindest auf diejenigen Daten, welche der Nutzer nicht freiwillig zur Verfügung stellt). Auch nutzt Path Cookies um Daten zu erheben, was ebenfalls für ein „Zurückgreifen“ auf die Mobiltelefone und Rechner spricht.

Offene Klauseln

Betrachtet man nun die Datenschutzbestimmungen, denen man ihm Rahmen der Registrierung zustimmen muss, so fällt negativ auf, dass diese teilweise sehr offen in Bezug auf den Umgang mit personenbezogenen Daten formuliert sind. So heißt es etwa, dass Daten „for any other purpose for which the information was collected“ genutzt werden dürfen. Also für jeglichen anderen Zweck, für den die Daten erhoben wurden, genutzt werden dürfen. Eigentlich soll es aber in der Klausel gerade darum gehen zu erfahren, für welche Zwecke die Daten genutzt werden dürfen. Die datenschutzrechtliche Einwilligung nach § 4 Abs. 1, Abs. 3, § 4a Abs. 1 BDSG (für sog. Inhaltsdaten) und nach § 12 Abs. 1, Abs. 2, § 13 Abs. 1, Abs. 2 TMG (für sog. Nutzungs- und Bestandsdaten) erfordert eine vorherige Unterrichtung bzw. Hinweis auf diese Zwecke und die Art und den Umfang der Verarbeitung. Sie muss zumindest auch hinreichend bestimmt formuliert sein. Jeden einzelnen Zweck aufzuführen erfordert dies freilich nicht, aber gewisse Konkretisierungen sind nötig. Es erscheint also eher fraglich, ob eine solche weite und offene Klausel dem gerecht werden würde.

Versteckte Einwilligung

Für außerhalb der USA wohnhafte Nutzer legen die Datenschutzbestimmungen fest: „By using Path, you consent to the collection, transfer, use, storage and disclosure of your information as described in this privacy policy“. Im Prinzip ist eine solche Einwilligung natürlich möglich, solange die Zwecke der Verarbeitung soweit als möglich konkret beschrieben werden. Jedoch muss eine Einwilligung (wie hier) nach § 4a Abs. 1 S. 3 BDSG, wenn sie mit anderen Erklärungen, also den Datenschutzbestimmungen insgesamt, abgegeben wird, besonders hervorgehoben werden. Nötig ist also etwa ein Fettdruck des Textes oder ein Absetzen vom restlichen Teil, was hier jedoch nicht gegeben ist.

Einwilligung in Werbung

Auch werden die Daten der Nutzer dazu verwendet, um personalisierte Werbung anzuzeigen bzw. an sie zu versenden. Zwar wird unter dem Punkt „Accessing and Modifying Your Information“ auch erklärt, dass in Bezug auf Werbung per E-Mail eine opt-out Möglichkeit besteht. Dies allein genügt jedoch nicht, solange diese Information ebenfalls nicht besonders hervorgehoben im Text sichtbar ist. Desweiteren muss aus wettbewerbsrechtlicher Sicht bemängelt werden, das weder im Rahmen der Registrierung noch in dem Fließtext selbst, eine ausdrückliche Einwilligung in den Erhalt von Werbung per E-Mail verlangt wird. Nach § 7 Abs. 2 Nr. 3 UWG ist hierfür jedoch eben diese erforderlich. Bei der Registrierung müsste also darauf hingewiesen werden, dass der Nutzer auch in den Erhalt von Werbung per E-Mail einwilligt. Auf diese Rechtsverletzung gestützte Unterlassungsansprüche könnten etwa Wettbewerber oder auch eine Verbraucherschutzorganisation geltend machen.

Fazit

Path selbst ist ein sehr ansprechend gestalteter und interessanter Dienst. Jedoch sollte deutschen Nutzern bewusst sein, dass es sich hier (zumindest derzeit) noch um einen rein in Amerika ansässigen Anbieter handelt, der seinem Handeln (fälschlicherweise) nur heimisches Recht zu Grunde legen wird. Bezeichnenderweise sucht Path derzeit einen Leiter für die Rechtsabteilung.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>