Jusletter IT

Abklärungen und Untersuchungen von Facebook nach geltendem Recht

  • Author: Serdal Avsar
  • Category: Articles
  • Region: Switzerland
  • Field of law: Data Protection
  • Citation: Serdal Avsar, Abklärungen und Untersuchungen von Facebook nach geltendem Recht, in: Jusletter IT 26 September 2018
The author examines if the social network facebook respects the legal data protection principles under the applicable law, and the possibility of the Federal Data Protection and Information Commissioner to investigate under art. 29 of the Federal Act on Data Protection. It results that facebook violates the proportionality, the consent and the binding to a purpose of the data processing. Also, the conditions of cross-border data transfer and data files subject to registration are not respected. However, due to the structure of art. 29 Federal Act on Data Protection as a «can»-regulation no measures are taken with the justification of costs and legal security. (as)

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Geltungsbereich des DSG in Bezug auf Facebook
  • 3. Rechtmässigkeit der Datenbearbeitung
  • 4. Treu und Glauben im Zusammenhang
  • 5. Erforderlichkeit
  • 6. Zumutbarkeit
  • 7. Zweckbindung der Datenbearbeitung
  • 8. Grenzüberschreitende Datenbekanntgabe
  • 9. Datensicherheit
  • 10. Zuständigkeit des EDÖB
  • 11. Systemfehler
  • 12. Registrierungspflichtige Datensammlung
  • 13. Schlusswort

1.

Einleitung ^

[1]

Das soziale Netzwerk Facebook verbindet unabhängig von nationalstaatlichen Grenzen Millionen von Menschen. Der Erhalt von räumlich distanzierten Freundschaften scheint durch einfache Daumen-hoch Zeichen kinderleicht. Angepriesen wird Facebook als kostenlose Plattform, die Nutzer bezahlen allerdings indirekt trotzdem. Mit den über die Nutzer gesammelten Daten werden im Rahmen von Big Data Persönlichkeitsprofile1 erstellt und diese genutzt um personalisierte Werbung anzubieten. In diesem Prozess werden viele datenschutzrechtliche Aspekte tangiert. In der Schweiz werden die Persönlichkeits- und Grundrechte von Personen, deren Daten bearbeitet werden, mittels Datenschutzgesetz geschützt.2 Mit dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (im weiteren EDÖB)3 wurde eine Aufsichts- und Beratungsfunktion im Datenschutzgesetz institutionalisiert. Die Behörde hat im Rahmen ihrer Aufsichtstätigkeit über die Datenbearbeitung im Privatbereich mehrere Abklärungen nach Art. 29 des Datenschutzgesetzes (DSG) durchgeführt. Jüngste Beispiele sind die Empfehlungen des EDÖB an das Bonusprogramm der Helsana Gruppe (April 2018) und an Decathlon Schweiz (Mai 2018).4 Im erstgenannten Fall ist eine Klage beim Bundesverwaltungsgericht hängig, da die Helsana Zusatzversicherungen AG die Empfehlungen des EDÖB abgelehnt hat. Bei den Kundenbindungsprogrammen von Coop (Supercard) und Migros (Cumulus) wurden ebenso Abklärungen und diese wurden durch die Datenschutzbehörde getroffen, Empfehlungen wurden durch die Beteiligten jedoch mehrheitlich eingehalten.5 Die tragenden Argumente für die Kontrolle der Datenbearbeitungen der jeweiligen Unternehmen waren regelmässig der grosse Benutzerkreis und die Sensibilität der bearbeiteten Daten.

[2]

Ausgehend von den letztgenannten Fällen, stellt sich der Autor die Frage, ob die Datenschutzbehörde aufgrund der Grösse des Benutzerkreises und der Sensibilität der bearbeiteten Daten auch die Datenbank und die Datenbearbeitungsmethoden des in der Schweiz meistgenutzten sozialen Netzwerks Facebook im Rahmen von Art. 29 DSG überprüfen sollte.

2.

Geltungsbereich des DSG in Bezug auf Facebook ^

[3]

Bei den Nutzern eines sozialen Netzwerks handelt es sich um Datenbearbeiter i.S. des DSG, wenn Personendaten von Dritten zugänglich gemacht werden.6 Hingegen ist beim sog. posten von eigenen Informationen auf Facebook das DSG nicht anwendbar.7 Die von den Nutzern bereitgestellten Daten sind als Personendaten im Sinne des DSG zu beurteilen.8 Regelmässig handelt es sich bei den durch Facebook bearbeiteten Daten um besonders schützenswerte Personendaten9 oder um Persönlichkeitsprofile, die einen höheren Schutz geniessen als gewöhnliche Personendaten.10 Die Plattformbetreiber sind als Inhaber der Datensammlung von den Datenschutzregeln miterfasst, da in der Regel alle Daten auf dem sozialen Netzwerk gespeichert werden und dem Netzwerkbetreiber unbeschränkt zur Verfügung stehen.11

[4]

Die aktuellen Kollisionsregeln12 in der Schweiz stossen bei Haftungsthemen hinsichtlich sozialer Netzwerke, die ihr Angebot global anbieten ohne gleichzeitig einen inländischen Sitz zu haben, schnell an ihre Grenzen.13 Inwieweit Nutzer in einem Streitfall gegen den Betreiber von Facebook auf rechtlichen Beistand der Schweizer Gerichte zählen können, ist grösstenteils noch offen.14 Es mangelt an einer klaren Anknüpfung hinsichtlich der Frage des anwendbaren Rechts.15 In den AGB16 von Facebook wird zwar eine Rechtswahl angegeben und gleichzeitig auch eine Wahl des Gerichtsstandes.17 Die Rechtswahl und der Gerichtsstand liegen allerdings regelmässig sehr weit vom Wohnsitz des Betroffenen entfernt. Das Anliegen den grundrechtlichen Charakter des Datenschutzes zu verwirklichen wird dementsprechend behindert. Dies könnte sich dann ändern, wenn den betroffenen Personen für die Beurteilung der Datenbearbeitungen das Recht an ihrem Wohnsitz und ihr Wohnsitzgerichtsstand zwingend offenstehen würden.18

3.

Rechtmässigkeit der Datenbearbeitung ^

[5]

Beim Betreiber des hier betrachteten sozialen Netzwerks Facebook handelt es sich um das gleichnamige US-amerikanische Unternehmen Facebook Inc. Jedes Mitglied von Facebook muss den AGB des Unternehmens zustimmen. Die AGB stellen eine Einwilligungserklärung im Sinne eines Rechtfertigungsgrundes dar (Art. 4 Abs. 5 und Art. 13 Abs. 1 DSG).19 Die Einwilligung zum blossen Beitritt in das soziale Netzwerk erfolgt freiwillig, die Rahmenbedingungen der Datenbearbeitung werden jedoch umfassend in den AGB geregelt, wodurch letztlich die Freiheit der Benutzer beschränkt wird. Einwilligungen hinsichtlich der Erfassung von besonders schützenswerten Personendaten werden keine abgefragt und auch nicht erteilt. Dies ist eine potenzielle Gefahr für die Persönlichkeitsrechte der Benutzer und könnte insofern einen Systemfehler darstellen.20

4.

Treu und Glauben im Zusammenhang ^

[6]

Facebook verstösst gegen den Grundsatz von Treu und Glauben (Art. 2 Abs. 1 des Zivilgesetzbuches [ZGB]), indem das Unternehmen Daten über Nichtmitglieder sammelt, ohne dass letztere damit rechnen müssten oder vorgängig informiert wurden. Festgestellt hat dies die französische Datenschutzbehörde, Commission Nationale de l’Informatique et de Libertés (CNIL), in einem förmlichen Schreiben an Facebook vom 26. Januar 2016 im Rahmen einer Überprüfung der Datenschutzrichtlinien von Facebook.21

5.

Erforderlichkeit ^

[7]

Fraglich ist, ob das Ausmass der Datensammlung für die Erfüllung des Zwecks22 erforderlich ist oder ob er nicht auch mit geringerem Datenvolumen erreicht werden könnte. In den Datenrichtlinien von Facebook wird aufgelistet welche Daten gesammelt und wozu sie benötigt werden.23 Es werden beispielsweise eher offensichtliche Punkte erwähnt wonach die Aktivitäten auf Facebook oder die bereitgestellten Informationen gesammelt werden. Ferner gibt es auch weniger offensichtliche Punkte wie unter anderem der Hinweis, dass Geräteinformationen gesammelt werden. Daneben werden auch das Betriebssystem, Geräteeinstellungen, Datei- und Software-Namen, der Gerätestandort, Verbindungsinformation, Sprache sowie die IP-Adresse verzeichnet. Das soziale Netzwerk verstösst in diesem Sinne nicht gegen Treu und Glauben bei seinen Mitgliedern, indem es heimlich Datenbearbeitungen betreibt, mit welchen die Benutzer nicht rechnen mussten. Es wird offen deklariert. Nicht offen deklariert wird jedoch, dass die Daten auf Facebook kombiniert werden können und so im Ergebnis viel mehr Aufschluss über den Benutzer geben als tatsächlich suggeriert wird. Gemäss einem Bericht der Washington Post und dem Schreiben der französischen Datenschutzbehörde (CNIL) verwertet Facebook 96 persönliche Daten einer Person durch Kombinationen im Rahmen von Big Data Analtytics24, um personalisierte Werbungen anbieten zu können. Darunter auch sexuelle Orientierung, religiöse sowie politische Anschauungen, Hausbesitz oder Informationen über den Lebensmitteleinkauf.25 Es ist nicht ersichtlich, inwiefern der Vernetzung der Menschen untereinander gedient wird, wenn Facebook weiss, wie und wo die Nutzer einkaufen oder ob die Nutzer zur Miete oder im eigenen Haus wohnen. Eine klare Grenzziehung hinsichtlich der erforderlichen Informationen ist jedoch nicht wirklich möglich, eine offene Deklarierung aller gesammelten Daten wäre hingegen für das Unternehmen aber problemlos möglich.

6.

Zumutbarkeit ^

[8]

Hinsichtlich der Frage der Zumutbarkeit (Verhältnismässigkeit i.e.S.) ist festzuhalten, dass Facebook ein Geschäftsinteresse an der Sammlung von Daten hat. Ferner spricht für das Sammeln von jeglichen Daten durch Facebook, dass es realitätsfern wäre zu glauben, dass das Unternehmen eine Dienstleistung ohne jegliche Gegenleistung anbietet. Die Entwicklung und Betreibung eines sozialen Netzwerks bedeutet einen enormen finanziellen Aufwand.26 Die Plattform ist für Werbetreibende umso attraktiver, je mehr die Betreiber solcher Plattformen über ihre Nutzer wissen. Auch wenn gewisse Informationen prima vista nicht erforderlich erscheinen könnten sie im Rahmen von Big Data Analytics monetarisiert werden. Andererseits liegen Risiken für die Privatsphäre und die informationelle Selbstbestimmung der Nutzer vor. Es besteht viel Ungewissheit und Intransparenz hinsichtlich der Datenbearbeitungsmethoden von Facebook. Das Geschäftsgeheimnis kann nicht als Argument dienen für die Datenaufbewahrung von ehemaligen Benutzern, der Speicherung von Daten von Nicht-Mitgliedern, die Überwachung von persönlichen Nachrichten oder die Verwertung von Kontaktdaten bei der Eingabe der Mobiltelefonnummer.27 Die Rechte der Nicht-Mitglieder bzw. die Privatsphäre der Mitglieder wiegen schwerer als die wirtschaftlichen Interessen der Plattformbetreiber.

7.

Zweckbindung der Datenbearbeitung ^

[9]

Der Zweck von Facebook ist sehr weit formuliert.28 Darunter leidet die Zweckbindung der Datenbearbeitung und damit mangels Erkennbarkeit der Datenbearbeitung gleichzeitig auch das Prinzip von Treu und Glauben sowie die Verhältnismässigkeit.29 Die Erkennbarkeit der Datenbearbeitung liegt bei den durch das soziale Netzwerk selbst bereitgestellten Informationen im Rahmen der unternehmenseigenen Datenrichtlinien vor. Keine Erkennbarkeit liegt jedoch vor, wenn Facebook durch Kombinationen von Daten sehr persönliche Eigenschaften seiner Nutzer errechnet, zu welchen die Nutzer keine ausdrückliche Einwilligung abgegeben haben (Art. 4 Abs. 5 DSG). Hinsichtlich dieser Daten liegt auch kein Rechtfertigungsgrund für die Bearbeitung vor (Art. 13 Abs. 1 DSG). Erst recht liegt keine Zweckbindung oder Einwilligung vor, wenn Facebook Informationen von Nicht-Mitgliedern sammelt und diese speichert. Folglich lässt sich das Risikopotenzial für Persönlichkeitsverletzungen durch Datenbearbeiter aufgrund der AGB schwer voraussehen. Die einwilligenden Nutzer wissen nicht wirklich worauf sie sich einlassen, wenn sie auf das Kästchen mit der Formulierung «Ich habe die AGB gelesen und bin einverstanden mit den Bedingungen» klicken.

8.

Grenzüberschreitende Datenbekanntgabe ^

[10]

Benutzer von Facebook aus der Schweiz schliessen die Nutzungsvereinbarung mit Facebook Ireland Limited ab.30 Das Unternehmen in Irland mit Sitz in Dublin stellt eine Tochtergesellschaft der Muttergesellschaft in den USA dar. Facebook nahm am Safe-Harbor Programm zwischen der USA und der Schweiz teil.31 Dies diente als Ausnahme für grenzüberschreitende Datenbekanntgaben i.S.v. Art. 6 Abs. 2 lit. a DSG. Letzteres war deshalb nötig, da gemäss den Nutzungsbedingungen von Facebook der Benutzer zustimmt, dass seine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden. Das stellte insofern ein Problem dar, als aus einem Urteil des EuGHs hervorging, dass eine hohe Wahrscheinlichkeit des Zugriffs des amerikanischen Auslandsgeheimdienstes (NSA) auf personenbezogene Daten auf Facebook in Europa bestand.32 Gleicher Meinung war der Bundesrat in der Stellungnahme auf die Interpellation Eichenberger, in welcher das Gremium davon sprach, dass die Amerikaner einen «weitgehenden Gebrauch von ihren Zugriffsrechten gemacht» hätten.33 Die USA war seit den Snowden-Enthüllungen34 und dem Urteil des EuGH nicht mehr auf der Liste des EDÖB als Land mit angemessenem Datenschutz. Dadurch lag keine Ausnahme im Sinne von Art. 6 Abs. 2 lit. a DSG vor. Bekräftigt wurde dies durch die Pressemitteilung vom 22. Oktober 2015, in welchem die Datenschutzbehörde erklärte, dass er das Safe-Harbor-Abkommen als nicht genügende Rechtsgrundlage für Datenübermittlung von Personendaten in die USA betrachtet.35. Mittlerweile wurde das Safe-Harbor-Abkommen im Januar 2017 durch das Privacy Shield Abkommen ersetzt.36 Inwiefern sich dieses Abkommen in der Praxis erweist, wird sich erst noch zeigen müssen. Klar ist bereits, dass Facebook am Privacy Shield Abkommen teilnimmt, aber gleichzeitig den Geltungsbereich dieses Abkommens auf die Dienste von Facebook stark einschränkt.37

9.

Datensicherheit ^

[11]

In einer älteren Version der AGB von Facebook formulierte das Unternehmen, dass es nach besten Kräften für die Datensicherheit sorgt, garantieren können sie diese jedoch nicht. Letztere Formulierung wurde durch den derzeitigen Datenschutzbeauftragten des Kantons Zürich Baeriswyl bereits im Jahre 2010 kritisiert.38 Von Facebook kann zwar keine absolute Sicherheit verlangt werden, dennoch könnte sich das Unternehmen mindestens verpflichten internationale Standards einzuhalten.39 So wurde angesichts der Snowden-Enthüllungen klar, dass Facebook an einem Überwachungsprogramm namens PRISM des amerikanischen Auslandsgeheimdienstes (NSA) teilnimmt.40 Ferner wurde im jüngsten Datenskandal im Zusammenhang mit Facebook und Cambridge Analytica deutlich, dass Cambridge Analytica unrechtmässig über 87 Millionen Nutzerdaten analysiert haben soll, wovon auch bis zu 29’00 Schweizer Nutzer betroffen waren.41 Mark Zuckerberg, der CEO und Vorsitzende von Facebook Inc., hat vor dem amerikanischen Kongress eingestanden, dass die Benutzerdaten nicht genügend geschützt wurden und es deshalb zu unrechtmässigen Analysen kam, welche in der Folge für den Wahlkampf von Donald Trump verwendet wurden.42

10.

Zuständigkeit des EDÖB ^

[12]

Es ist davon auszugehen, dass die Zuständigkeit des EDÖB wahrscheinlich durch das Bundesgericht bejaht werden würde. Facebook enthält Informationen über Personen in der Schweiz und veröffentlicht diese in einer Weise, dass sie in der Schweiz abrufbar sind. Demnach liegt ein überwiegender Anknüpfungspunkt zur Schweiz vor. Dem steht – in Anlehnung an das Google Street View Urteil des Bundesgerichts43 – auch nicht entgegen, dass die Datenbearbeitung selbst im Ausland erfolgt. Das EDÖB erachtete gemäss einem Schlussbericht über die Evaluation des DSG vom Jahre 2011 die Erfolgsaussichten einer Abklärung von Facebook jedoch als sehr gering, weil das Unternehmen im Gegensatz zu Google keinen Sitz in der Schweiz hat.44 Ferner seien die Chancen eines positiven Urteils sowie die Frage nach einer allfälligen Rechtsdurchsetzung im internationalen Umfeld mit zu grossen Unsicherheiten und einem unverhältnismässig hohen Ressourceneinsatz verbunden.45 Das Argument des Mangelnden Sitzes kann jedoch nicht mehr überzeugend vorgebracht werden, da Facebook mittlerweile seit dem 23. August 2016 im Genfer Vorort Châtelaine eine Niederlassung eröffnet hat.46

[13]

Das Argument der Unsicherheit und des grossen Ressourceneinsatzes vermag in der Praxis teilweise zu überzeugen. Dennoch stellt sich an dieser Stelle die theoretische Frage, ob im Fall von Facebook ein Tatbestand nach Art. 29 Abs. 1 lit. a–b DSG vorliegt und Abklärungen und Empfehlungen seitens des EDÖB möglich wären.

11.

Systemfehler ^

[14]

Facebook hat laut eigenen Angaben mehr als zwei Milliarden monatliche Nutzer weltweit.47 Davon entfallen 3.76 Millionen Nutzer auf die Schweiz.48 Das quantitative Element der Überprüfung ist in Anbetracht der Praxis des EDÖB zweifelsohne erfüllt. Ferner werden sensible Daten auf Facebook bearbeitet.49 Die Daten der Mitglieder werden Dritten durch Facebook zu Marketingzwecken zur Verfügung gestellt. Die Datenbearbeitung erfolgt in den USA und damit findet eine grenzüberschreitende Bekanntgabe von Daten in ein Land mit ungenügenden Datenschutzmassnahmen statt (Art. 6 DSG).50 Die Bearbeitungsmethoden von Facebook stellen somit eine Gefahr für die Persönlichkeitsrechte einer grösseren Anzahl von Personen dar. Zumal auch die Datenbearbeitungsgrundsätze verletzt werden.51 Ein Systemfehler nach Art. 29 Abs. 1 lit. a DSG kann folglich bejaht werden.

12.

Registrierungspflichtige Datensammlung ^

[15]

Bei den durch Facebook bearbeiteten Daten handelt es sich regelmässig um besonders schützenswerte Daten sowie um Persönlichkeitsprofile. Ferner werden die Daten Dritten zu Werbezwecken bekannt gegeben. Es treffen auf den Plattformbetreiber keine Ausnahmeregelungen nach Art. 11a Abs. 5 lit. a–f DSG zu. Demnach müsste Facebook – wenn man entsprechend dem Google Street View Urteil des Bundesgerichts davon ausgeht, dass ein überwiegender Anknüpfungspunkt zur Schweiz vorliegt – seine Datenbank registriert haben. Die Anmeldung müsste im Register der Datensammlung des EDÖB (WebDatareg) einsehbar sein.52 Eine solche Anmeldung ist jedoch nicht auffindbar. Folglich kann angenommen werden, dass sie nie erfolgt ist. Im Ergebnis liegt insofern eine meldepflichtige Datensammlung vor, welche pflichtwidrig vom Datenbearbeiter nicht angemeldet wurde.

13.

Schlusswort ^

[16]

Die Analyse der datenschutzrechtlichen Bearbeitungsgrundsätze in Verbindung mit den Abklärungen und Empfehlungen im Privatrechtsbereich nach geltendem Recht haben ergeben, dass das soziale Netzwerk Facebook potenziell geeignet ist, die Persönlichkeitsrechte einer grösseren Anzahl von Personen zu verletzen. Letzteres haben die jüngsten Datenmissbrauchsfälle auch klar gezeigt. Die Voraussetzungen für eine Sachverhaltsabklärung durch den EDÖB sind gegeben. Die zuständige Behörde führt allerdings trotz erfüllter Tatbestände keine Sachverhaltsabklärungen durch. Gerechtfertigt wird dies aus Gründen der Rechtsunsicherheit im Zusammenhang einer allfälligen Rechtsdurchsetzung im internationalen Umfeld und der Ressourcenknappheit der Behörde. Aufgrund der kann Formulierungen in Art. 29 Abs. 2–4 DSG liegt insofern allerdings keine pflichtwidrige Unterlassung der Behörde vor. Es bleibt an dieser Stelle bloss zu hoffen, dass nicht jede datenschutzrechtlich zuständige Behörde in gleicher Weise untätig bleibt.

Serdal Avsar cand. Blaw; bei der vorliegenden Arbeit handelt es sich um eine Bachelorarbeit die an der Universität Zürich im Zusammenhang eines Seminars bei Prof. Dr. Reto M. Hilty im Jahre 2016 geschrieben wurde.

  1. 1 In Art. 3 lit. d des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) wird die Bedeutung eines Persönlichkeitsprofils legal definiert als eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.
  2. 2 Unter Persönlichkeit wird die Summe der individuellen Grundwerte einer Person verstanden, m.a.W. das was eine Person «ausmacht» und zur Unterscheidung von anderen dient (Heinz Hausheer/Regina E. Aebi-Müller, Das Personenrecht des Schweizerischen Zivilgesetzbuches, 4. Aufl., Bern 2016, S. 124, N 10.02).
  3. 3 Der EDÖB hat im Bereich des Datenschutzes insbesondere folgende Aufgaben; Aufsicht und Beratung von Bundesorganen und Privatpersonen, Information der Öffentlichkeit, ferner Zusammenarbeit mit in- und ausländischen Datenschutzbehörden. Wenn der Begriff EDÖB ohne nähere Bezeichnung verwendet wird, ist die Behörde als Ganzes gemeint und nicht die Person des Beauftragten selbst.
  4. 4 25. Tätigkeitsbericht des EDÖB, abrufbar unter: www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html (alle Websites zuletzt besucht am 29. August 2018).
  5. 5 EDÖB, Berichte über die Datenschutzkontrollen der Kundenbindungsprogramme Cumulus (Migros) und Supercard (Coop) vom 23. Mai 2005, abrufbar unter: https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/medieninformationen/medienmitteilungen--archiv/medienmitteilungen-2005/berichte-ueber-die-datenschutzkontrollen-der-kundenbindungsprogr.html.
  6. 6 Bruno Baeriswyl, Neuer Regulierungsschub im Datenschutzrecht?, in: Rolf H. Weber/Florent Thouvenin (Hrsg.), Big Data und Datenschutz – Gegenseitige Herausforderungen, Zürich 2012, S. 102.
  7. 7 Ebd. (Fn. 6).
  8. 8 Bericht des Bundesrates in Erfüllung des Postulats Amherd (11.3912) vom 29.September 2011, Rechtliche Basis für Social Media, S. 20 ff.
  9. 9 Besonders schützenswerte Personendaten sind insbesondere Daten, die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit einer Person beinhalten (Art. 3 lit. c DSG).
  10. 10 Rechtliche Basis für Social Media, S. 20 ff. (Fn. 8).
  11. 11 In Art. 3 lit. i DSG liegt diesbezüglich eine Legaldefinition vor. Demnach ist der Inhaber einer Datensammlung eine private Person oder ein Bundesorgan, welcher über den Zweck und den Inhalt der Datensammlung entscheidet.
  12. 12 Unter anderem: Lugano-Übereinkommen vom 30. Oktober 2007 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (LugÜ; SR 0.275.12) sowie das Bundesgesetz über das Internationale Privatrecht (IPRG; SR 291).
  13. 13 Rechtliche Basis für Social Media, S. 29 (Fn. 8); vgl. auch Art. 33, 129 f., 139 IPRG.
  14. 14 Claudia Keller, AGB von Social Media Plattformen, Medialex 2012, S. 188.
  15. 15 Baeriswyl, S. 98 ff. (Fn. 6).
  16. 16 Nutzungsbedingungen von Facebook (Version April 2018), abrufbar unter: www.facebook.com/legal/terms/plain_text_terms.
  17. 17 Für die Schweiz als nicht EU Mitgliedsstaat sind die irischen Gerichte zuständig und jedweder Anspruch unterliegt dem irischen Recht ohne Rücksicht auf kollisionsrechtliche Bestimmungen. Vgl. Ziff. 4.4 der Nutzungsbedingungen von Facebook (Fn. 16).
  18. 18 Alexander Kernen, Schützenhilfe für Opfer von Persönlichkeitsverletzungen im Internet, in: Jusletter 6. Februar 2012. Für Mitgliedstaaten der EU gilt dies aufgrund der neuen Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) bereits heute.
  19. 19 Baeriswyl, S. 93 (Fn. 6).
  20. 20 Vgl. hierzu Ausführungen in Rz. 11.
  21. 21 Der Originaltext der förmlichen Anschreibung ist nicht mehr auffindbar auf der Homepage von CNIL, aus diesem Grund sei hier auf die Berichterstattung darüber verwiesen; vgl. www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act.
  22. 22 Ausschnitt aus den Nutzungsbedingungen von Facebook: «Unsere Mission ist es, den Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden, und die Welt näher zusammenzubringen», abrufbar unter: https://de-de.facebook.com/terms.
  23. 23 Die Datenrichtlinien von Facebook (Version April 2018) sind abrufbar unter: https://www.facebook.com/privacy/explanation/.
  24. 24 Eine Analysemethode worin einmal gewonnene Daten systematischen Überprüfungen unterzogen werden, um daraus die persönlichen Bedürfnisse von Benutzern deutlicher herausfiltern zu können.
  25. 25 98 personal data points that Facebook uses to target ads to you, in: The Washtington Post Online vom 9. August 2016, abrufbar unter: www.washingtonpost.com/news/the-intersect/wp/2016/08/19/98-perso nal-data-points-that-facebook-uses-to-target-ads-to-you/?utm_term=.f52d2e89bb22.
  26. 26 Facebook’s $1 Billion Data Center Network, abrufbar unter: https://www.datacenterknowledge.com/archives/2012/02/02/facebooks-1-billion-data-center-network .
  27. 27 So auch Rechtliche Basis für Social Media, S. 16 (Fn. 8).
  28. 28 Vgl. Fn. 22.
  29. 29 Baeriswyl, S. 94, (Fn. 6).
  30. 30 Vgl. Fn. 22.
  31. 31 Abrufbar unter: https://www.export.gov/safeharbor_swiss.
  32. 32 Urteil des EuGH vom 6. Oktober 2015, Rechtssache C-362/14, Data Protection Commissioner vs. Schrems, Rz. 30.
  33. 33 Interpellation Eigenberger vom 24. September 2015 (15.4001), abrufbar unter: www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20154001.
  34. 34 Rolf H. Weber, Rahmenbedingungen der Datensammlung, digma 2016, S. 34; Helmut Eiermann, Resignation oder Revanche?, digma 2014, S. 108.
  35. 35 Abrufbar unter: : https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/taetigkeitsberichte/23--taetigkeitsbericht-2015-2016.htmll.
  36. 36 Swiss – U.S. Privacy Shield, abrufbar unter: https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/taetigkeitsberichte/24--taetigkeitsbericht-2016-2017/swiss-u-s--privacy-shield.html.
  37. 37 Das Datenschutzschild Schweiz – USA, abrufbar unter: https://www.facebook.com/about/pri- vacyshield.
  38. 38 Bruno Baeriswyl, Kleingedrucktes unter der Lupe – Die AGB von sozialen Netzwerken versprechen keinen Datenschutz, digma 2010, S.57.
  39. 39 Bis zur Einführung der Datenschutzgrundverordnung der EU (DSGVO) im Mai 2018, hatte sich das Unternehmen zu keiner Sicherheitsmassnahme verpflichtet. Auch die DSGVO bringt nur bedingt Besserung für die Schweiz, da alle Länder die nicht Mitgliedstaat der EU sind, von den Standards der DSGVO ausgeschlossen sind. Vgl. die Nutzungsbedingungen 4.4. (Fn. 22).
  40. 40 Hannes Federrath/Karl-Peter Fuchs/Dominik Herrmann, Schutz vor Überwachung im Internet, digma 2014, S. 106; vgl. auch Rainer J. Schweizer, Ein neues Staatsschutzgesetz?, Sicherheit & Recht, 03/2013, S. 123.
  41. 41 Bis zu 29’000 Schweizer Facebook-Nutzer sind vom Datenskandal betroffen, NZZ Online vom 5. April 2018, abrufbar unter: www.nzz.ch/wirtschaft/facebook-cambridge-analytica-koennte-daten-von-87-millio-nen-menschen-missbraucht-haben-ld.1374393.
  42. 42 Vgl. «FAZ Online» vom 10. April 2018, abrufbar unter: www.faz.net/ak-tuell/wirtschaft/digino-mics/facebook-datenskandal-mark-zuckerberg-gibt-feh-ler-zu-15534285.html.
  43. 43 BGE 138 II 346.
  44. 44 Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011, BBl 2012 335, 350, S. 177.
  45. 45 Evaluation DSG, S. 183 (Fn. 44).
  46. 46 Handelsregister Eintrag von Facebook in Genf, abrufbar unter: www.zefix.ch/de/search/en-tity/list/firm/1145660?name=facebook&searchType=exact.
  47. 47 Abrufbar unter: https://newsroom.fb.com/company-info/.
  48. 48 Vgl. «Bernetblog» vom 08. Juli 2016, abrufbar unter: https://bernet.ch/blog/2016/07/08/facebook-zahlen-schweiz-ue50-waechst-weiter/.
  49. 49 Vgl. hierzu Ausführungen in Rz. 2.
  50. 50 Teilweise ist zwar Facebook Inc. in den Vereinigten Staaten nur der Unterverarbeiter und Facebook Ireland der Datenverarbeiter, aber auch da ist nicht ersichtlich wo und wie das Unternehmen eine Grenze zieht (vgl. Fn. 37).
  51. 51 Vgl. hierzu Ausführungen in Rz. 3.–4. und 6.–7.
  52. 52 Abrufbar unter: www.datareg.admin.ch/.