Internet-Law

Onlinerecht und Bürgerrechte 2.0

20.8.11

Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten“ alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

posted by Stadler at 16:04