Internet-Law

Onlinerecht und Bürgerrechte 2.0

22.8.11

Wie geht es weiter mit dem Datenschutz?

Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation „Digitale Gesellschaft“ schreibt in ihrem Blog dazu:

Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

In einem lesenswerten Beitrag von Adrian Schneider auf Telemedicus wird das Grundproblem sehr treffend auf den Punkt gebracht:
Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein.

Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

Update:
Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

posted by Stadler at 10:15  

21 Comments

  1. Danke für diesen wunderbaren Beitrag. Lass‘ uns weiter daran arbeiten. t.

    Comment by Thorsten Feldmann — 22.08, 2011 @ 10:36

  2. Die wiedererstarkten zentralen, nicht die dezentralen Stukturen sind das Problem!

    („BDSG funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert.“)

    Natürlich muss und will man externe Inhalte einbinden. Daran stört sich auch niemand, wenn das externe aus einer Vielfalt von Drittanbietern gezogen wird.

    Wenn aber heute (wieder – und das ursprünglich ja eben dezentral konzipierte Netz konterkarierend) wenige zentrale Instanzen Unmengen von Daten und damit Nutzerprofilen sammeln, dann gehen Datenschutzfragen nun vor allem mit Monopol-/Oligopolfragen einher.

    Und Deutschland ist da ein Stück weit Spezialfall: Eine hochzentrale Trackingstruktur mit 90% Reichweite wie AGOF/INFOnline/IVW gibt es wohl nur hierzulande, und Google erreicht in keinem anderen Land so hohe Marktanteile wie hier.

    Webanalytics auf Trackingbasis, wie sie vom ULD nun zu Recht bei Facebook Insights und zuvor bei Google und beim Behavioral Targeting moniert werden, sind um so bedenklicher, je mehr Menschen und je tiefer sie die Webnutzung dieser Menschen erfassen.

    Datenschutz sollte daher eine Aufgriffschwelle verankern, wie sie in der Monopolbekämpfung des Wettbewerbsrechts bekannt und erfolgreich eingesetzt wird.

    Comment by Bernhardt Hennrich — 22.08, 2011 @ 10:49

  3. Also diese Erklärung der Situation erinnert sehr stark an Zustände in einer Bananenrepublik aus den Filmen, wie man sie in Mittel- und Südamerika des letzten Jahrhunderts vielleicht ansiedeln mochte.

    Eine Gesetzeslage wie in einer solchen Bananenrepublik kann durchaus dazu führen, dass Deutschland die besten Jahre gehabt hat und sich auf dem absteigenden Ast befindet. Der Rest der Welt wird uns überholen und bei uns wird Stillstand herrschen.

    Und das ist kein Witz, sondern Geschichte die sich immer wieder wiederholt. Die Frage, warum sich manche Länder kaum oder gar rückwärts entwickelt haben, konnte man durchaus mit der Führung im Land und deren Gesetze beantworten.

    Aber seit ein Herr Riester einfach mal schnell alle Selbständigen ohne GmbH zu Scheinselbständigen erklärt hat, weiß ich, dass wir die Zukunft verpeilen. Und es geht so weiter wie damals.
    Früher zeigte man auf Russland, weil es dort scheints keine Rechtssicherheit gab, bald kann die Welt auf uns zeigen.

    Comment by Frank — 22.08, 2011 @ 10:50

  4. Eine kleine Frage, lieber Thomas: ist denn nicht gerade Facebook eben das, was wir früher als zentralisierte Großrechenanlagenarchitektur bezeichnet hätten?

    Comment by Falk Lüke — 22.08, 2011 @ 11:00

  5. Es wird wirklich höchste Zeit, auch beim Datenschutzrecht in der Wirklichkeit anzukommen.

    Meiner Ansicht nach fängt die Problematik dort an, dass in den Köpfen vieler noch immer die Trennung von virtuellem und realen Leben vorherrscht.

    Zum einen muss der Bürger die Freiheit erhalten, sich genauso frei im Netz bewegen zu können, wie dies im realen Leben möglich ist. In diese Richtung gehört auch das Denken des Bürgers:
    a) was ich im Leben nicht an Daten freigeben möchte, gehört auch nicht ins Netz.
    b) Ich werde in keinem Umfeld Straftaten begehen, also auch nicht im Netz.
    c) Genauso wenig, wie ich meine Kreditkartendaten draußen plakatieren würde, schlampe ich nicht im Netz damit herum.
    Und so weiter…

    Ich nenne das mal: gesunder Menschenverstand. Mit gesundem Menschenverstand habe ich seit meiner Geburt nur gute Erfahrungen gesammelt. Auch im Internet. Mich interessieren Datenschutzgesetze – so gesehen – persönlich herzlich wenig. Im beruflichen Bereich interessieren sie mich, um Abmahnungen zu umgehen und andere nicht zu gefährden und rechtlich in Bedrängnis zu bringen.

    Ansonsten sind gesunder Menschenverstand, Moral und Integrität hervorragende Berater in Sachen Datenschutz. Ich vertraue darauf, dass der Bürger sehr gut mit weniger Maßregelung umgehen kann. Und Verbrechern sind Gesetze doch schon jetzt sowas von egal.

    Comment by Tom Kolbe — 22.08, 2011 @ 11:14

  6. „Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.“

    Das ist ein wichtiger und interessanter Punkt. Ich meine aber: Der Umstand, dass das Datenschutzrecht so sehr durch die Datenschutzbehörden selbst geprägt ist, ist dem Nichtstun des Gesetzgebers und der fehlenden Rechtsprechung geschuldet. Wenn sich der Gesetzgeber ausschweigt und einschlägige Rechtsprechung fehlt, müssen die Datenschutzbehörden zusehen, wie sie mit dem geltenden Recht klarkommen. Und das tun sie, indem sie sich auf gemeinsame Linien verständigen.

    Das Problem ist, dass es kaum eine Überprüfung und Klärung dieser gemeinsamen Linien gibt. Das liegt zum großen Teil auch daran, dass es an der konsequenten Durchsetzung dieser Positionen mangelt. Ändert die Finanzverwaltung ihre Rechtsauffassung, gibt es in kürzester Zeit Rechtsprechung dazu, weil der Bürger spätestens beim nächsten Steuerbescheid unmittelbar davon betroffen ist. Das ist im Datenschutzrecht anders. Gerade im Online-Datenschutz wurde in der Vergangenheit mehr geredet als beschieden. Wo kein Kläger, da kein Richter. Und ohne Richter keine Rechtsprechung.

    Deswegen kann ich eigentlich nur hoffen, dass das ULD jetzt mal ernst macht und es in Folge dessen zu ein paar klärenden Urteilen kommt. Nur wenn die Datenschutzbehörden auch mal konsequent durchsetzen, was sie fordern, werden sich die massiven Probleme des Datenschutzrechtes in der Praxis wirklich zeigen.

    Comment by Adrian — 22.08, 2011 @ 11:31

  7. @4. Aber Facebook liegt nicht in Deutschland und schon gar nicht in der Hand des Webseiten-Benutzers.

    Die Datenschützer könnten bzgl. Facebook und Co. eine klare Ansage machen, dass gewöhnliche HTML-Links erlaubt sind ohne Wenn und Aber.
    Wer unbedingt aktive (Script) Links haben will, muss sich an die Datenschutzbestimmungen halten.

    Aber es braucht eine klare Regel die jeder versteht, ohne großen Aufwand einzuhalten ist und die praxisorientiert ist.

    Die Schei*e mit der Aufklärung kann man an die Freunde der aktiven Links anhängen, den aktive Links sind nichts anderes als fremde Spionageprogramme auf der eigenen Webseite. Wer sich über Google-Analytics aufregte, müsste bei Facebook-Plugins in Ohnmacht fallen.

    Es würde auch Sinn machen, wenn der Staat aufklärt, statt die Webseitenbetreiber damit zu belasten. Jeder hat eine eigene Vorstellung davon, was richtige Aufklärung bedeutet, das kann man nicht jedem einzelnen überlassen.

    Es macht aber auch Sinn, Scripte zu blocken, solche wie Facebook und Analytics, und sich jedesmal bei den Diensten wie Facebook auch abzumelden. Auch das ist Teil einer Aufklärung, bei der jeder selbst es in der Hand hat, ob er getrackt werden will oder nicht.

    Nur bei den Evercookies hört der Spaß wirklich auf und der Datenschutz sollte sich insbesondere die Browserhersteller mal genauer ansehen, wessen Herren sie dienen, von wem sie bezahlt werden. Gerade dort ginge in Sachen Datenschutz viel viel mehr, das ist aber offenbar nicht gewollt.

    Und dass Facebook insgesamt aus Datenschutz-Sicht verboten gehört, dürfte wohl vielen klar geworden sein?
    Die Dimensionen von Facebook in Verbindung mit den Plugins und weiteren Diensten kann sich kaum noch einer vorstellen, wirklich.

    Sollte Facebook jemals ein wenig Interesse an den Datenschutzinteressen der User gehabt haben, hätten sie die Facebook-Button URL auch auf eine andere Domain als facebook.com setzen können, damit ein Scriptblocker der domainbezogen blockt, dieses blocken kann ohne dass gleich der Facebook-Zugang geblockt wird.

    So aber ist man aus Bequemlichkeit gezwungen, in Facebook eingeloggt zu sein und das böse Tracking-Spiel mit zu machen. Oder aber man muss sich jedesmal abmelden oder anmelden und den Blocker neu einstellen. Das ist sicher so gewollt, denn Facebook nützt gnadenlos das menschliche Verhalten aus.

    Und dann kommen so Datenschützer von Gestern und wollen die IP verbieten und zwingen Webseitenbetreiber mit oder ohne eines simplen Kontakformulars zu Erklärungen die keines der Probleme lösen, die es erst seit der Datenschutzdiskussion gibt.

    Ich nutze Facebook nicht wirklich, Google+ gar nicht. Wer über Demokratie nachdenkt, muss auch über die Datenkraken nachdenken, die einem jegliche Anonymität rauben. Was heute Recht ist kann morgen schon strafbar sein (Bananenrepubliken machen das so) und dann kann die „Freie Meinungsäusserung“ von Gestern plötzlich fatal für den Meinungsäusserer sein. Aber Facebook und Co. vergessen nichts, zeichnen jede Spur auf und decken Alias-Namen auf.

    Aber so wie damals mit Riester, dass in Wirklichkeit höchstwahrscheinlich gar nicht die echte Scheinselbständigkeit im Sinne der ausgebeuteten Leute bekämpft werden sollte, sondern mit dem Rundumschlag mit Zwang nur mehr solvente Beitragszahler für das Sozialsystem gewonnen werden sollten (das traue ich Riester zu), genau so krank ist die Sache mit dem Datenschutz jetzt.

    Wäre seitens der Politik Interesse an sinnvollen Gesetzen vorhanden, könnten sie das auch in die Hand nehmen. Ganz unbekannt dürfte der Schiefstand wohl nicht sein.
    Also was steckt diesmal für eine Absicht dahinter? Ist es nur Amtsmüdigkeit oder Plan?

    Comment by Frank — 22.08, 2011 @ 11:34

  8. Ach, Herr Stadler – wunderbar, danke! :-)))

    Auch wenn ich mich etwas gegen die pauschale Aburteilung des „totalitären“ wehre – das erkläre ich mal bei Gelegenheit – ist dieser Artikel wunderbar.

    Ich freue mich gerade sehr, dass nun Farbe bzw. Grau ins Spiel kommt. Das war eines meiner Ziele von Anfang an! :-)))

    Comment by Julia Schramm — 22.08, 2011 @ 11:36

  9. @5.
    „…und es in Folge dessen zu ein paar klärenden Urteilen kommt. “

    Treffen wird es vermutlich zuerst die, die sowieso kein Geld für Berufungen haben und im ersten (negativen) Urteil gleich ihre Existenz verlieren und Hartz4’ler werden.

    Das ist doch ein abgekartertes Spiel, dass ein Amtsgericht ein ungerechts Urteil fällt das von Landesgericht gekippt werden würde und erst bei OLG Rechtssicherheit geben würde. Da ernährt doch die Justiz sich selbst auf Kosten von uns.

    Braucht es immer Klagen und Urteile, um ein Gesetz richtig anwenden zu können? Ist es so von den Gründervätern der Gesetzmäßigkeit gedacht, dass immer erst die Justiz die Gesetze bestätigen muss bevor sie richtig angewendet werden können?

    Comment by Frank — 22.08, 2011 @ 11:58

  10. In der Tat ein guter Beitrag zu dieser Thematik. Vielleicht sollte wir Alle interessiert nach Österreich schauen. Hier haben drei Wiener Studenten 16 Klagen gegen die irische Niederlassung von facebook eingereicht. http://goo.gl/U3c8Q

    Mir stellt sich die Frage, warum konnte das unser ULD nicht?

    Comment by Ole — 22.08, 2011 @ 12:06

  11. @Falk Lüke:

    Auftragsdatenverarbeitung in Rechenzentren erfolgte zumeist vor dem Hintergrund, dass große Unternehmen Teile ihrer Unternehmensdatenverarbeitung outgesourct haben.

    Facebook ist eine Community die aus ein paar hundert Millionen, zumeist privater Mitglieder besteht. Den Vergleich halte ich daher nicht für naheliegend.

    Es geht aber hier auch nicht nur um das was bei Facebook quasi intern passiert, sondern generell um die Daten, die bei den unterschiedlichsten Kommunikationsvorgängen im Netz anfallen bzw. verarbeitet werden.

    Gerade die Kommunikation in einem offenen und dezentralen Netzwerk wie dem WWW ist etwas, was mit geschlossenen Rechenzentren der alten Schule kaum zu vergleichen ist.

    Comment by Stadler — 22.08, 2011 @ 12:12

  12. @Stadler: Interessante Einschätzung, die ich aber so nicht teilen kann. Es geht meine Erachtens nicht um die Frage, „die bei den unterschiedlichsten Kommunikationsvorgängen im Netz anfallen“. Meine Frage war ja recht eindeutig, ob wir von einen zentralisierten oder einer dezentralen Datenverarbeitungsstruktur ausgehen müssen. Mehr oder minder erstaunlicherweise ist Facebook seinem Wesen nach aber eine zentralisierte Großrechenanlage, die nur eines macht: sie verarbeitet nicht nur Daten selbst und „im Auftrag“, sie nutzt diese auch selbst.
    Und das ist der Kern-Unterschied und damit auch die Hauptbaustelle jedweder gesetzgeberischen Tätigkeit in diesem Kontext. Die Kernfrage dafür kann nur sein: wenn ich Dienste eines Dritten einbinde, (wie) kann ich mich selbst von der Haftung für deren Handeln freistellen?
    Und da möchte ich jetzt ungern mit Gemeinplätzen wie dem Facebookschen (bei Jeff Jarvis) „so funktionieren Browser“ abgespiesen werden.

    Comment by Falk Lüke — 22.08, 2011 @ 12:33

  13. Viel schlimmer als das Vollzugsdefizit finde ich, dass praktisch keine Website, kein Online-Angebot in Deutschland völlig legal ist. Somit ist prinzipiell jeder zum Abschuss durch gewerbliche Konkurrenz oder Abmahnanwälte freigegeben, und selbstverständlich können diejenigen, denen ein Bußgeld o.Ä. am meisten wehtut, sich mangels Zeit, Geld, und Erfahrung am wenigsten dagegen wehren.

    Comment by Hackworth — 22.08, 2011 @ 12:58

  14. Der Unterschied ist doch der, dass sich bei Facebook jeder selbst anmelden kann wenn er will und entscheiden kann, wann er bei Facebook etwas von sich preis gibt, aber beim Facebook-Button ist diese Wahlfreiheit nicht und selbst Nichtmitglieder werden getrackt.

    Während es bei Google-Analytics noch darum geht, eine Seite gerade für den Besucher zu optimieren, hat der Seitenbesucher als Nichtmitglied von Facebook gerade nichts mehr davon, dass er mit getrackt wird.

    Comment by Frank — 22.08, 2011 @ 13:03

  15. @5 Adrian

    Die gerichtliche Verhandlung nach Gesetzen, die von sogenannten Datenschutzexperten in den letzten Jahrzehnten zusammengrdreht wurden, um eine falsche Rechtsdoktrin zu etablieren?

    Es sollen also dutzende Privatpersonen in x Instanzen „mal in der Praxis“ den Unsinn auseinanderwurschteln und dabei ihr Geld opfern? Nein.

    Die Herrschaft des Düsseldorfer Kreises, die widersinnige Verdrehung des Datenschutzes in ein paternalistisches, dem übertriebenen Individualismus huldigendem Persönlichkeitsrecht, muss beseitigt werden ohne dass weiterer Schaden angerichtet wird.

    Comment by Jens Best — 22.08, 2011 @ 13:52

  16. @Falk Lüke: Wir dürfen nicht der Versuchung erliegen, irgendein Lex Facebook zu schaffen, weil wir dort einen Missstand ausgemacht haben. Es geht vielmehr darum, das Netz in seiner Gesamtheit zu betrachten.

    Das was das ULD beanstandet, ist etwas, was in den 80’er Jahren bei einer Datenverarbeitung in einem Rechenzentrum überhaupt nicht denkbar gewesen wäre. Die Möglichkeit den Like-Button extern einbinden zu können, setzt vielmehr eine Struktur wie das WWW voraus. Wir reden also auch hier über gänzlich unterschiedliche Phänomene.

    Comment by Stadler — 22.08, 2011 @ 16:29

  17. @Thomas Stadler Was die Gesamtschau angeht, sind wir uns einig. Die Fokussierung auf Facebook allein ist falsch und bringt uns nicht wesentlich in der Debatte weiter (auch wenn es einige Plattformspezifika in dieser Debatte gibt).

    Ob das so nicht denkbar war? Naja. Die Weitergabe von Kundendatenlisten zwecks Durchführung von Bestellannahmen in Callcentern ist eher 90er, aber (da sich derjenige ja einen Vorteil/wirtschaftlichen erhofft) grundsätzlich nicht so fern dieser Thematik. Es geht im Kern um die Frage: muss ich für meine Dienstleister haften – oder nicht? Und wenn doch: ab wann? Welche Sorgfaltspflichten treffen wen?
    Und da kommen wir dann doch ganz schnell wieder an der Frage der Transparenz des Betreibers an, welche Zusicherungen dieser macht. Niemand sollte dem Trugschluss erliegen, dass das alles einfach wäre. Dass das ULD die Gesetzeslage so auslegt, wie es das tut, dass es sie dann so anwendet, wie es sie auslegt, das ist das, was man sich von einer unabhängigen Stelle grundsätzlich abstrakt als Demokrat wünscht. Ob sie damit richtig liegen, werden wohl eh die Gerichte klären müssen, was uns allen zwecks Klarheit eigentlich auch nicht Unrecht sein dürfte…

    Comment by Falk Lüke — 22.08, 2011 @ 17:32

  18. Hier gibt es ja gar keinen Like-Button.

    Comment by Hans — 22.08, 2011 @ 21:31

  19. Zur Zuständigkeit würde ich aber § 59 Abs. 1 Satz 1 RStV berücksichtigen.

    Comment by Christoph — 22.08, 2011 @ 21:54

  20. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist gemäß § 32 des Schleswig-Holsteinisches Gesetzes zum Schutz personenbezogener Informationen vom 9. Februar 2000 (LDSG SH) eine Anstalt Öffentlichen Rechts, getragen durch das Land Schleswig-Holstein, § 33 Abs. 1 LDSG SH. Aufgabe des ULD ist gemäß § 39 Abs. 1 und 2 die Einhaltung der Vorschriften des LDSG sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen und bei nichtöffentlichen Stellen (Wirtschaft) gemäß § 38 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BDSG) zu überwachen. Das ULD ist danach die zuständige Aufsichtsbehörde für den Datenschutz für das Land Schleswig-Holstein.

    Gemäß Ziffer 3.5.2 der Ordnungswidrigkeiten-Zuständigkeitsverordnung (OWi-ZustVO) ist das ULD zuständig für die Ahndung von Ordnungswidrigkeiten gemäß § 43 BDSG. Eine Zuweisung der Ahndung von Ordnungswidrigkeiten nach dem Telemediengesetz (TMG) wurde in die OWi-ZustVO nicht aufgenommen. Daher richtet sich die Zuständigkeit für den Erlass von Bußgeldern nach den allgemeinen, im Gesetz über die Ordnungswidrigkeiten (OWiG) normierten Regeln.§ 36 Nr. 2 a) OWiG bestimmten Grundsätzen. Danach ist die fachlich zuständige oberste Landesbehörde zuständig.

    Für die Verfolgung der Ordnungswidrigkeiten gemäß § 16 TMG besteht für das Land Schleswig-Holstein eine geteilte Zuständigkeit. Die Ahndung von Verstößen gegen die Impressumspflicht nach § 16 Abs. 1 und 2 Nr. 1 TMG obliegt gemäß § 38 Abs. 6 Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein vom 13. Juni 2006 (Medienstaatsvertrag HSH) der Medienanstalt Hamburg / Schleswig-Holstein (MA HSH). Für die Ahndung der restlichen Ordnungswidrigkeiten ist damit das ULD zuständig, da in § 45 Abs. 1 LDSG SH die Aufgaben des Innenministeriums auf das ULD im Bereich des Datenschutzes übergegangen sind.

    Für die Überwachung der Einhaltung des datenschutzrechtlichen Teils des Telemediengesetzes (§ 11 – 15 TMG) sind gemäß § 59 Abs. 1 Staatsvertrag für Rundfunk und Telemedien (RStV) die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Kontrollbehörden zuständig. Sie überwachen für ihren Bereich die Einhaltung der Datenschutzbestimmungen des Telemediengesetzes. Das ULD ist damit für die Überwachung der datenschutzrechtlichen Bestimmungen des Telemediengesetzes zuständig. Diese Auffassung wird im Übrigen auch von der Kommentarliteratur gestützt: „Im nicht-öffentlichen Bereich, d.h. bei privat betriebenen Telemedien, sind im Bereich des Datenschutzes folgende Landesbehörden zuständig: […]in Schleswig-Holstein das unabhängige Landeszentrum für Datenschutz“[sic!]. (Volkmann, in: Spindler/Schuster, Recht der elektronischen Medien 2. Auflage 2011, RStV § 59, Rdn. 30).

    Das ULD steht Kritik und Hinweise unter facebook@datenschutzzentrum.de offen gegenüber. Regelmäßig aktualisiert wird auch die Seite https://www.datenschutzzentrum.de/facebook/ unter der das ULD auf Anfragen und Hinweise reagiert.

    Comment by Dr. Moritz Karg — 23.08, 2011 @ 15:45

  21. Das sieht mir zwar nach einem Crossposting der PM aus. Trotzdem schön, dass das ULD dieses Blog verfolgt. ;-)

    Comment by Stadler — 23.08, 2011 @ 16:05

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.