Die Datenschutzbehörden haben Position bezogen: Das User-Tracking auf Websites und in Apps sei mit Geltung der DSGVO nur noch mit Opt-In zulässig. Auch wenn ich den Aufsichtsbehörden in grundlegenden Punkten zustimme, halte ich Timing und Details der Positionierung für kritikwürdig.
Der Inhalt im Überblick
Aufsichtsbehörden verlangen Opt-In für User-Tracking
Mit Datum vom 26. April 2018 hat die DSK ein Positionspapier veröffentlicht, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern auf Websites und Apps beschäftigt. Die DSK (Datenschutzkonferenz) ist ein Gremium, in dem sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen.
Für Furore wird die unter Ziffer 9 des Papiers geäußerte Auffassung sorgen:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“
Zustimmungswürdige Punkte der DSK
In einigen grundlegenden Punkten verdient das DSK-Papier Zustimmung:
- Vorrang der DSGVO
Auch wenn gerade wir in Deutschland uns generell damit schwer tun: Ab dem 25. Mai gilt vorrangig die DSGVO, nationale Sonderwege, wie wir sie nun lange Zeit auch beim Tracking hatten, müssen weichen (Ziff. 1 des DSK-Papiers). - Die §§ 12 ff. TMG sind ab dem 25. Mai nicht mehr anzuwenden
Die Ausnahme des Art. 95 DSGVO für vorrangige Sonderregelungen im Online-Bereich wird die Datenschutzregelungen des TMG nicht retten können: Dies wäre allenfalls noch vertretbar, indem man § 15 Abs 3. TMG als Umsetzung der aktuell noch geltenden ePrivacy-Richtlinie in der Fassung von 2009 („Cookie-Richtlinie“) verstehen würde, aber das scheint nicht einmal mehr das BMI so zu sehen, welches diesen „sportlichen“ Kurs vor einigen Jahren noch eingeschlagen hatte (Ziff. 2-4 des DSK-Papiers). - Vor der ePrivacy-Verordnung findet sich die Lösung allein in der DSGVO
Eine unmittelbare Anwendung der genannten „Cookie-Richtlinie“ kommt aus vielerlei Gründen nicht in Betracht, so dass sich die Frage der Rechtmäßigkeit des Trackings vor dem Inkrafttreten einer noch ungewissen ePrivacy-Verordnung allein nach den Vorschriften der DSGVO richtet. Ohne Einwilligung eines Nutzers kommt als Rechtsgrundlage nur Art. 6 Abs. 1 lit. f. DSGVO in Betracht (Ziff. 5-8 des DSK-Papiers). - Rechtspolitische Erwägungen (I.)
Rechtspolitisch betrachtet muss man sich in der Tat die Frage stellen, ob man derartig detaillierte Datenerfassungen, wie sie aktuell für Analyse- und Werbezwecke erfolgen, ohne Zustimmung des Nutzers erlauben sollte, selbst wenn Sie nur in pseudonymer Form erfolgen. Aber ist das Sache der Aufsichtsbehörden?
Kritik an der DSK-Position zum Tracking
Damit wäre ich bei der Kritik an dem Positionspapier der Aufsichtsbehörden:
- Rechtspolitische Erwägungen (II.)
Wie gesagt kann man die aktuelle Regelung in § 15 Abs. 3 TMG zum Tracking (Opt-Out-Prinzip) mit guten Gründen rechtspolitisch kritisieren. Eine Änderung dieses Regelungsprinzips ist aber nicht Sache der Aufsichtsbehörden, sondern Sache des Gesetzgebers und in der Auslegung letztendlich Sache der Gerichte. Insofern ist es natürlich legitim, dass die Aufsichtsbehörden Position beziehen, wie sie es hier getan haben, das letzte Wort wird aber ein Gericht haben. Was zunächst gut klingt, wird aber Weile haben: Bis es hier zu einer gerichtlichen Entscheidung kommt, wird man lange Zeit mit einem erheblichen Risiko leben müssen, wenn man hier nicht den Aufsichtsbehörden folgt. - Timing
Was mich zu meinem Hauptkritikpunkt bringt: Die DSK hat ihr Papier genau vier Wochen vor dem „Kick Off“ der DSGVO herausgebracht. Und das in einer Situation, in der nach dem ganzen Hin und Her mit der ePrivacy-Verordnung ohnehin schon maximale Rechtsunsicherheit beim Umgang mit Tracking besteht und die Unternehmen mit der Umsetzung der DSGVO überlastet sind. Viele dürften in so kurzer Zeit wohl nur die Möglichkeit haben, Webseiten und Apps offline zu nehmen, um nicht mit den Anforderungen der Aufsichtsbehörden über Kreuz zu geraten. Darüber hinaus müsste man mit Inkrafttreten der zukünftigen ePrivacy-Verordnung wieder alles umbauen. - Erneut ein deutscher Sonderweg
Die bisher nach der „Cookie-Richtlinie“ und in anderen EU-Staaten anerkannte Lösung, sich einen einzigen Opt-In für das Tracking insgesamt einzuholen, wäre hiermit auch umgangen, da man nach der DSK für jeden Tracker eine dedizierte Einwilligung einholen müsste. Insofern bewegt man sich auch nicht „im Einklang mit dem europäischen Rechtsverständnis zu Art. 5 der Cookie-Richtlinie“, was ohnehin eine etwas merkwürdige Argumentation ist, wenn man die Richtlinie eigentlich nicht anwenden möchte und noch vollkommen unklar ist, wie die ePrivacy-Verordnung am Ende aussehen wird. - Inhaltliche Kritik
In der rechtlichen Auslegung der DSGVO bewegt sich das Positionspapier der DSK in einem Bereich, der sicher vertretbar ist, den man aber durchaus auch anders sehen kann: Mit guten Gründen könnte man das Tracking auch auf ein überwiegendes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, solange es jedenfalls pseudonym erfolgt. Durch die Pseudonymisierung würde den schutzwürdigen Interessen der Nutzer Rechnung getragen. Im Ergebnis wäre man dann wieder beim Opt-Out-Prinzip.
Fazit
Die rechtliche Frage, ob das Tracking von Nutzern auf Websites oder in Apps mit Geltung der DSGVO ab dem 25. Mai nur noch mit Opt-In oder wie bisher nach dem Opt-Out-Prinzip zulässig sein wird, ist von erheblicher praktischer Bedeutung. Die Aufsichtsbehörden haben nun eine strenge Position bezogen, was im Prinzip natürlich legitim, vom Zeitpunkt her aber mehr als unglücklich ist. Der allgemeinen Akzeptanz des Datenschutzes bei Unternehmen in Deutschland tut man damit keinen Gefallen, selbst wenn man die Entscheidung politisch als richtig einstufen mag.
Im Hinblick auf drohende Bußgelder sorgt ein wenig für Beruhigung, dass beispielsweise Prof. Caspar (Hamburger Aufsichtsbehörde) bereits geäußert hat, bei strittigen rechtlichen Fragen zur DSGVO keine Bußgelder zu verhängen. Solche Bußgelder wären als Verstoß gegen den Bestimmtheitsgrundsatz wohl auch nicht rechtmäßig. Die entscheidende Frage ist dann, inwieweit man sich darauf verlassen will.
Ein heißes Eisen kurz vor dem langen Wochenende – wir freuen uns auf Ihre Meinung in den Kommentaren.
Hallo , ein Profil erstellen: ist damit schon ein normaler affiliate Link gemeint ? Das klassische Order Tracking ?
VG Torsten Sch.
Hallo Dr. Datenschutz,
vielen Dank für den Artikel.
M.E. könnte man die jetzt geaüßerte Auffassung der DSK auf folgende Argumentation stützen:
1. Die Zulässigkeit von Tracking-Maßnahmen richtet sich auch nach dem 25. Mai grundsätzlich allein nach Art. 5 III ePrivacyRL und der jeweiligen mitgliedstaatlichen Umsetzungsnorm.
2. Die deutsche „Umsetzung“ in § 15 III TMG ist jedoch m.E. klar richtlinienwidrig und kann auch nicht richtlinienkonform ausgelegt und damit „künstlich am Leben erhalten werden“. Ich halte es auch für legtim, dass die Datenschutzaufsichtsbehörden eine klar richtlinienwidrige Umsetzungsnorm erst gar nicht anwenden und die endgültige gerichtliche Klärung demjenigen aufbürden, der sich weiterhin auf § 15 III TMG berufen möchte. Das hätten sie m.E. auch schon früher machen können!
3. Wenn man – wie die DSK – davon ausgeht, dass Art. 5 III ePrivacyRL nicht unmitelbar anwendbar ist, muss man prüfen, ob Art. 5 III ePrivacyRL in Deutschland – ohne (anwendbare) nationale gesetzliche Umsetzung – ggf. trotzdem Geltung verschafft werden kann.
4. Die Lösung könnte wie folgt aussehen:
– In Bezug auf die Zulässigkeit von Online-Tracking würden es – mangels (anwendbarer) nationaler Norm zur Umsetzung des Art. 5 III ePrivacyRL – insoweit einen „Fallback“ auf Art. 6 DSGVO geben.
– Bei der Frage, ob bzw. inwieweit Online-Tracking noch auf ein „berechtigtes Interesse“ gestützt werden kann (Art. 6 I lit. f) DSGVO) oder es aber einer Einwilligung (Art. 6 I lit. a) DSGVO) bedarf, muss dann jedoch Art. 5 III ePrivacyRL als lex specialis gem Art. 95 DSGVO berücksichtigt werden.
– Mit anderen Worten: Art. 6 DSGVO ist in Bezug auf Online-Tracking richtlinienkonform (!) dahingehend auszulegen, dass jedenfalls für Online-Tracking für Werbezwecke eine Einwilligung erforderlich ist (siehe Art. 5 III ePrivacyRL; WP29 Papier zu Ausnahmen von Einwilligungspflicht) und Art. 6 I lit. f) DSGVO insoweit gesperrt ist.
5. Die Anforderungen an eine wirksame Einwilligung richten sich ab 25. Mai nach Art. 7 f. DSGVO, da die ePrivacyRL insoweit keine Regelung trifft, sondern diesbezüglich nur auf die RL 95/46 verweist [M.E. ergibt sich auch aus Erwägunggrund 66 der ÄnderungsRL u.a zur Änderung der ePrivacyRL (sog. Cookie-RL) nichts anderes Es dürfte sich insoweit um ein Redaktionsversehen gehandelt haben]. Dieser Verweis gilt gem. Art. 94 II 1 DSGVO als Verweis auf die DSGVO (hier v.a. Art. 7 f. DSGVO).
Die Cookie-Richtlinie ist nicht auf einer Seite die ich kenne per opt-in umgesetzt.
Einfach mal ausprobieren:
– Neues Browserprofil
– Seite besuchen mit Cookiebanner „Mit dem Besuch der Seite stimmen sie zu, ansonsten verlassen sie die Seite“
– Seite verlassen
– Liste der Cookie ansehen und Trackingcookies die 10 Jahre gültig sind finden
Das ist klar gegen die Richtlinie, weil der Nutzer trotz opt-out (Laut Banner einfaches verlassen der Seite) die Trackingcookies immernoch hat.
Es ist sehr schön, wenn die DSVGO jetzt tatsächlich die Zähne hätte ein echtes opt-in zu erzwingen.
Ein Opt-Out ist nicht ein einfaches Verlassen der Seite, sondern Sie müssen sich aktiv aus dem Tracking austragen. So einen Link finden Sie meistens in der Datenschutzerklärung.
Viel Spaß dabei, wenn Sie ab dem 25.5. auf jeder zweiten Seite auf „Nein, ich möchte kein Tracking“ klicken müssen.
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet
nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.“
Ich lese diesen Beschluss der DSK als eine durchaus hilfreiche Klarstellung, die sich auf identifizierbare Betroffene bezieht. Davon wäre die pseudonymisierte Auswertung von Nutzungsstatistiken z.B. gar nicht tangiert. Und völlig richtig, würde ich diese Verarbeitung weiterhin mit dem überwiegenden Interesse begründen.
Die Rechtsgrundlage für die Auswertung des Nutzerverhaltens z.B. durch eine Firewall (bisher mit §13TMG) begründet wäre auch zukünftig mit Art. 32 DSGVO gegeben. Auch für die Trennung von Bots und Menschen, schließlich soll die verantwortliche Stelle ja auch die Belastbarkeit der Systeme gewährleisten.
Sofern das Tracking allerdings zu Werbezwecken, (insbesondere zu personalisierter Werbung) erfolgt, kommen wir m.E. um eine Einwilligung wirklich nicht herum. So hatte ich die DSK bisher verstanden.
Die DS-Aufsichtsbehörden forderten 2010, die ePrivacy-RL so umzusetzen, dass die Widerspruchslösung für Nutzungsprofile im TMG durch eine Einwilligungslösung ersetzt wird. 2015 wiederholten sie ihre Forderung. Jetzt, da sich die ePrivacy-VO auf unbestimmte Zeit verzögert, sehen die Aufsichtsbehörden mit Einführung der DS-GVO die Gelegenheit, endlich die ersehnte Einwilligungslösung durchzusetzen. In der Einwilligung wird ein „wesentliches Instrument zur Wahrung ihrer Privatsphäre bei der Nutzung des Internets“ (so die Formulierung 2015) gesehen.
Die Aufsichtsbehörden gehen damit in mehrfacher Hinsicht von falschen Annahmen aus:
• Man ignoriert die Erkenntnis, die sich im Rahmen der Diskussion um die ePrivacy-VO verbreitet, dass die informierte Einwilligung eine Fiktion ist, die mit der Realität kaum etwas zu tun hat. Der homo dataprotectionensis, der jede Einwilligungserklärung genau liest, bevor er einwilligt, spielt in der Datenschutztheorie eine zentrale Rolle. In der freien Wildbahn wird diese species aber äußerst selten beobachtet.
• Man geht weiter von der, technisch gesehen, falschen Annahme aus, dass Cookies und Nutzungsprofile identisch wären. Cookies befinden sich auf dem Endgerät des Nutzers, und ihr Inhalt, eine Tracking-ID, wird bei jedem Abruf zum Anbieter oder einem externen Tacker übertragen. Cookies sind damit kein Trackingverfahren, sondern ein Wiedererkennungsverfahren. Die Nutzungsprofile, also die Trackingdaten und ihre Auswertungen, dagegen, befinden sich auf Servern der Tracker. Sie werden weder von der ePrivacy-RL noch von der ePrivacy-VO geregelt. Eine Einwilligung in Nutzungsprofile wird von keiner europäischen gesetzlichen Bestimmung gefordert.
• Man glaubt offenbar, dass jede Verschärfung der Datenschutzbestimmungen automatisch einen besseren Schutz der Nutzer nach sich zieht. Die Praxis zeigt, dass hier das Gegenteil der Fall ist: Die Einwilligungslösung der ePrivacy-RL hat sich zu einer reinen Bürokratie entwickelt, bei der die Nutzer gedankenlos einwilligen, ohne zu wissen, in was. Die Tracker dagegen sind in ihrem Tracking praktisch nicht eingeschränkt. Die vermeintlich schwache Widerspruchslösung im bisherigen TMG dagegen setzt einen starken Anreiz, innerhalb des Rahmens des pseudonymen Trackings zu bleiben, um eine Einwilligung zu vermeiden, die den Spaß des Nutzers an der Website empfindlich beeinträchtigt. In der Praxis schützt diese Widerspruchslösung den Nutzer mehr als eine Einwilligungslösung.
Es wäre durchaus möglich und sinnvoll gewesen, den Artikel 6 lit. f so auszulegen, dass einem pseudonymen Tracking keine überwiegenden Rechte der Nutzer entgegenstehen, so dass nur bei einem darüber hinaus gehenden personenbezogenen Tracking eine Einwilligung erforderlich ist. Damit wäre in Deutschland im Wesentlichen die TMG-Bestimmung erhalten geblieben. Gleichzeitig hätte das ein gutes Signal an die europäischen Aufsichtsbehörden gesetzt. Die andern europäischen Länder kennen die Privilegierung des pseudonymen Trackings und ein Zusammenführungsverbot mit personenbezogenen Daten bisher nicht. Die Anbieter stehen dort meist auf dem Standpunkt: Wenn ich die Cookie-Einwilligung habe, kann ich tracken, was ich will. Zu befürchten ist, dass nun auch Deutschland auf deren Niveau abrutscht: Bürokratischer Aufwand für die Einwilligung, aber, wenn Tracking, dann grenzenloses personenbezogenes Tracking. Google und Facebook könnten sich freuen. Wenn es Ihnen gelingt, dem Nutzer die Einwilligung unterzujubeln, können sie weiter grenzenlos tracken und weiter alle irgendwie erreichbaren Daten über einen Nutzer zu riesigen personenbezogenen Persönlichkeitsprofilen zusammenführen. Vorausgesetzt, es gelingt den deutschen Aufsichtsbehörden, ihre Auslegung Google und Facebook aufzuzwingen, was durchaus fraglich ist.
Ach was wäre es schön, wenn sich der Datenschutz mal wieder um die wirklich wichtigen Aspekte des Datenschutzes kümmern würde und aufhören würde, sich in der Wahrnehmung der normalen Menschen zum Gängel-Instrument zu entwickeln. Aber viel lieber tummelt man sich auf den bequemen Nebenkriegsschauplätzen von Online-Shops und -Diensten, als dass man sich mit den Dienstherren anlegt.
1. Gewaltenteilung
Es ist nicht Aufgabe einer Behörde über die Gültigkeit oder Anwendbarkeit eines Gesetzes zu entscheiden. Bereits hierin liegt ein Verstoß gegen die Grundsätze der Gewaltenteilung des Art 20 Abs. 3 GG. Die Exekutive, die die Gesetze ausführt, ist an die Gesetze gebunden. Es ist nicht Aufgabe der Behörden Gesetze für unwirksam zu erklären.
Soweit also Vorschriften des TMG nach Ansicht des Gesetzgebers bestehen bleiben, so ist es Aufgabe der Gerichte hierüber zu entscheiden.
Der BGH hat dem EuGH mit Beschluss vom 05.10.2017, Az.: I ZR 7/16 daher auch diverse Fragen im Hinblick auf die Zulässigkeit von Cookies, den entsprechenden Inhalt von Einwilligungen und den notwendigen Datenschutzinformationen im Zusammenhang mit der Richtlinie 2002/58/EG (ePrivacy-Richtlinie),zur Entscheidung vorgelegt.
Fakt ist: Die Aufsichtsbehörden haben hier eindeutig Ihre Kompetenzen überschritten.
2. Allenfalls richtlinienkonforme Anwendung des TMG, jedoch kein Wegfall
Der BGH stellt diese Frage ausdrücklich im Hinblick auf eine richtlinienkonforme Auslegung des § 15 Abs. 3 TMG.
Hintergrund ist vermutlich auch Erwägungsgrund 66 der Cookie-Richtlinie 2009/136/EG, welcher von einem Ablehnungsrecht nach entsprechend erteilten Informationen spricht. Wobei eine Einwilligung bzw.. Ablehnung auch über die Browsereinstellungen ausgedrückt werden können soll. So eindeutig wie es die Aufsichtsbehörden gerne hätten ist ihre Auffassung also nicht, damit ist auch die Vorlage des BGH beim EuGH zu erklären.
Wie der BGH in seinem Beschluss deutlich macht, wären die auf der Richtlinie 2002/58/EG basierenden Vorschriften des TMG allenfalls richtlinienkonform auszulegen keinesfalls durch die DSGVO zu ersetzen. Die Krux beim TMG ist lediglich, dass einige Vorschriften der bisherigen Datenschutzrichtlinie 95/46/EG und andere der Richtlinie 2002/58/EG zuzuordnen sind, wobei letztere nicht durch die DSGVO ersetzt werden (siehe Art. 95 DSGVO). Die DSGVO könnte die vorhandenen Regelungen der Richtlinie 2002/58/EG allenfalls ergänzen, d.h. das „wie“ einer ggf. erforderlichen Einwilligung näher bestimmen, während das „ob“ einer Einwilligung allerdings von der konkreten Auslegung der Richtlinie 2002/58/EG abhängig ist.
Der BGH ist so auch bereits bei seiner Entscheidung zur Personenbeziehbarkeit von IP-Adressen verfahren und hat die Vorschriften des TMG einfach richtlinienkonform ausgelegt (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/13). Egal wie also der EuGH letztendlich entscheidet, die auf Richtlinie 2002/58/EG basierenden Vorschriften des TMG werden also nicht durch die DSGVO verdrängt, sondern würden allenfalls richtlinienkonform angewendet.
3. DSGVO = berechtigtes Interesse zu berücksichtigen
Selbst wenn man nun die DSGVO für unmittelbar anwendbar halten würde, so wäre zudem Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse der verantwortlichen Stelle) zu berücksichtigen. Erwägungsgrund 47 stellt insoweit klar, dass auch Werbeinteressen ein berechtigtes Interesse darstellen können.
Der EuGH hat bereits mehrfach (zuletzt mit Urteil vom 19. Oktober 2016, Az.: C 582/14) im Hinblick auf die weitestgehend ähnliche Vorschrift der Datenschutzrichtlinie 95/46/EG festgestellt
„Insoweit ist ferner darauf hinzuweisen, dass Art. 7 Buchst. f der Richtlinie 95/46 einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen. Ein Mitgliedstaat kann daher für diese Kategorien das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt.“
Da frage ich mich natürlich, ob diese Maßnahme wirklich Sinn macht. Denn die meisten Besucher kommen doch von den großen Seiten (Google, Facebook, Pinterest, etc.). Selbst wenn Webseitenbetreiber jetzt jedem Besucher die Möglichkeit bieten, das Tracking (wahrscheinlich) kurzfristig zu deaktivieren, ist es den Suchmaschinen doch trotzdem möglich Ableitungen zu ziehen oder womöglich trotzdem zu erfahren, was sie wo wie man gemacht haben. Denn sie haben ja in ihren eigenen Datenschutz, etc. Erklärungen die Rechte dazu. Wenn ich also über ein Android-Handy surfe, ist es eigentlich uninteressant, ob ich bei der Seite XY die Cookies oder sonst was deaktivieren kann. Denn ich habe Google schon das Recht gegeben mich zu tracken. Warum sollte ich es dann irgendwo wieder entziehen wollen. Denn die meisten Seiten werden damit garantiert nicht mehr Mist machen. Das einzige was passieren könnte ist, dass nicht so Internetaffine Menschen, sich nicht mehr großartig außerhalb bekannter Bereiche aufhalten werden. Dann sind sie auf Facebook aber trauen sich keine Empfehlungen/Links mehr anzuklicken, weil sie auf jeder Seite irgendwelche Formulare oder sonstiges anklicken müssen.
[Gelöscht. Off-Topic.]
Ich würde mich freuen, wenn die (p.t.) Kommentierenden das „Sie“ und „sie“ richtig anwendeten. Beispiele: Stefan Schleipfer „Wenn es Ihnen gelingt, dem Nutzer die Einwilligung unterzujubeln, können sie weiter grenzenlos tracken und weiter alle irgendwie erreichbaren Daten über einen Nutzer zu riesigen personenbezogenen Persönlichkeitsprofilen zusammenführen.“ Mir gelingt es nicht jemandem etwas unterzujubeln (sondern Google und Facebook), daher muss es klein geschrieben werden „ihnen“. Gleiches bei Marcus Kirsch: „Die Aufsichtsbehörden haben hier eindeutig Ihre Kompetenzen überschritten.“ Die Aufsichtsbehörden haben hier eindeutig ihre Kompetenzen überschritten – und nicht meine. Alles klar? Hier schreiben doch Leute mit einem gewissen Bildungsniveau!