Internet-Law

Wer DoubleClick, Google AdSense oder den Facebook Like-It Button auf seiner Website benutzt, verstößt gegen deutsches Datenschutzrecht, sagt der Niedersächsische Datenschutzbeauftragte.

Allein die Verwendung des Facebook-Like-Buttons auf der eigenen Webseite kann zu Verstößen gegen sechs verschiedene Vorschriften und Rechtsgrundsätze führen. Dass das in der juristischen Literatur überwiegend anders gesehen wird, erwähnt der Landesdatenschutzbeauftragte noch nicht einmal. Aber zumindest für Google Analytics wurde eine Mogelpackung rechtskonforme Lösung gefunden, verkündet der Niedersächsische Datenschutzbeauftragte freudig. Der Mann ist auch schon mehrfach durch seine vernünftigen und praktikablen Lösungen aufgefallen.

Die Deutsche Gesellschaft für Recht und Informatik (DGRI) hat eine kritische und beachtenswerte Stellungnahme zum Entwurf der geplanten EU-Datenschutzverordnung verfasst. Die DGRI nimmt erkennbar auch Bezug auf die aktuelle rechtswissenschaftliche Diskussion, die die Politik bislang eher ignoriert hat.

An der Stellungnahme erscheinen mir zwei Punkte besonders erwähnenswert, nämlich der Hinweis darauf, dass nicht alle (personenbezogenen) Daten gleich sind und, dass das Einwilligungserfordernis gerade im Internet nicht praktikabel erscheint.

Das geltende Datenschutzrecht und auch die geplante Verordnung sind in einem Schwarz-Weiß-Schema verhaftet. Wenn ein Datum personenbezogen ist, unterliegt es einheitlich und ohne weitere Differenzierung dem strengen Schutzregime des Datenschutzrechts. Wird es nicht als personenbezogen bewertet, fällt es vollständig aus dem Anwendungsbereich.

Dieses äußerst starre Konzept wirft Probleme auf. Bereits die Unterscheidung, welche Daten personenbezogen sind und welche nicht, ist in vielen Fällen unklar und umstritten. Hierdurch entsteht eine erhebliche Rechtsunsicherheit, an der die EU-Verordnung nichts ändert. Aber auch dann, wenn Daten als personenbezogen bewertet werden, können sie sowohl in objektiver als auch in subjektiver Hinsicht für den Betroffenen von sehr unterschiedlicher Bedeutung sein.

Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.

Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70’er und 80’er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.

Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in diesem Punkt einem Trauerspiel.

Was fehlt, ist eine ehrliche und offene Analyse des Ist-Zustands. Impulse hierfür kommen derzeit aus der Rechtswissenschaft und Teilen der Internet-Community, aber nicht aus der Politik und noch weniger von den Datenschutzaufsichtsbehörden. Der Enwurf der EU-Kommission lässt ebenfalls nicht erkennen, dass eine solche Analyse statgefunden hätte. Wenn die geplante Verordnung in dieser oder ähnlicher Form in Kraft tritt, wird ein bereits gescheitertes Grundkonzept nochmals über Jahre hinweg festgeschrieben.

Die Schieflage der gesamten Diskussion zeigt sich aber noch an anderen Umständen. Die EU übermittelt Bankdaten und Fluggastdaten ihrer Bürger in äußerst großzügiger und unkontrollierter Art und Weise an die USA. Damit wird die Idee des europäischen Datenschutzes, wonach eine Übermittlung an Stellen außerhalb der EU erhöhten Anforderungen unterliegt, auf den Kopf gestellt. Auch andere Fälle belegen, dass der Staat selbst vielfach wenig von Datenschutz hält. Dieses Messen mit zweierlei Maß führt insgesamt zu einer Legitimationskrise des Datenschutzrechts.

Während man einerseits gerne kleinteilig über datenschutzrechtliche Nebenaspekte wie Google Street View diskutiert, werden andererseits sensible Daten von Bürgern bereitwillig an ausländische Staaten übermittelt. In dieser Situation fällt es mir schwer, mich noch über Facebook oder Google aufzuregen.

Ein neuer Aufsatz von Lennart Schüßler (AnwZert ITR 24/2011, Anm. 2 – nur vorübergehend online!) bestätigt die bisherige kritische Haltung der juritsischen Fachliteratur zur Position des ULD und des Düsseldorfer Kreises.

Die im sog. Düsseldorfer Kreis zusammengeschlossenen Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich haben sich kürzlich der Ansicht des ULD angeschlossen, wonach ein Webseitenbetreiber, der den Facebook-Like-Button in seine Website einbindet, (ebenfalls) gegen das Datenschutzrecht verstoßen soll.

Dem widerspricht Schüßler und weist zu Recht darauf hin, dass das deutsche Datenschutzrecht kein „Veranlasserprinzip“ kennt. Der Düsseldorfer Kreis und das ULD nehmen laut Schüßler aus Wertungsgesichtspunkten eine Verantwortlichkeit des Wesbeitenbetreibers an, die sich auf Grundlage des TMG, BDSG und der Datenschutzrichtlinie nicht begründen lässt.

Das deckt sich mit meiner Einschätzung, die ich hier im Blog bereits mehrfach geäußert hat. Der Düsseldorfer Kreis und das ULD betreiben letztlich Rechtspolitik und zwar in einer Art und Weise, wie sie mit der geltenden Rechtslage nur schwer in Einklang zu bringen ist. Das Papier des Düsseldorfer Kreises lässt eine überzeugende juristische Begründung auch vermissen.

Diese Schlussfolgerung legt zumindest das sog. Datenschutzbarometer der Xamit Bewertungsgesellschaft mbH nahe, das auf einer allerdings automatisierten Auswertung deutscher Websites beruht. Nach dieser Auswertung soll auf 82 % der deutschen Webpräsenzen gegen Datenschutzrecht verstoßen werden. Diese rechtliche Bewertung orientiert sich an den Vorgaben des Düsseldorfer Kreises bzw. der Aufsichtsbehörden, die freilich nicht immer unumstritten sind.

Die Zunahme der Datenschutzverstöße ist laut der Studie u.a. auf die verstärkt anzutreffende Einbindung des Facebook-Like-Buttons zurückzuführen und auf den Einsatz nicht datenschutzkonformer Statistiktools. Speziell was die Einbindung des Like-Buttons angeht, sieht die derzeit herrschende Ansicht in der juristischen Literatur allerdings keinen Rechtsverstoß des Webseitenbetreibers.

Das m.E. durchaus gewagte und reißerische Fazit der Studie lautet, dass sich der wirtschaftliche Vorteil durch Datenschutzverstöße in der Bundesrepublik auf mehr als 7,5 Mrd. Euro beläuft. Dieser Annahme liegt m.E. allerdings keine wirklich fundierte Berechnung zugrunde (siehe S. 49 ff. der Untersuchung).

Man sollte die Zahlen und Schlussfolgerungen von Xamit daher insgesamt eher skeptisch betrachten.

Der sog. Düsseldorfer Kreis – das Treffen der obersten Datenschutzbehörden für den nichtöffentlichen Bereich – hat sich in einem neuen Papier der Haltung des ULD zu sozialen Netzwerken und Social-Plugins angeschlossen.

Die Grundaussage, wonach auch soziale Netzwerke die außerhalb des europäischen Wirtschaftsraums ansässig sind, deutsches Datenschutzrecht zu beachten haben, halte ich für rechtlich zutreffend. Dass speziell das Angebot von Facebook allerdings weit davon entfernt ist, mit deutschem und europäischem Datenschutzrecht konform zu sein, ist andererseits offensichtlich. Möglicherweise wird die EU künftig effektiver gegen dieses Vollzugsdefizit vorgehen, sollte das Datenschutzrecht tatsächlich in einer EU-Verordnung geregelt werden, weil dann wegen der Datenschutzverstöße großer amerikanischer Player wie Google oder Facebook auch mit spürbaren Bußgeldern gerechnet werden kann.

Zu den zuletzt äußerst umstrittenen Themen der Einbindung von Social-Plugins und des Betreibens von Facebook-Fanseiten schreibt der Düsseldorfer Kreis:

In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Daten- verarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.

Auch wenn ich die Bedenken des Düsseldorfer Kreises nachvollziehen kann, entspricht diese Aussage meines Erachtens nicht der geltenden Rechtslage. Denn eine irgendwie geartete (Störer-)Verantwortlichkeit kennt das deutsche Datenschutzrecht nicht. Adressat des BDSG und des TMG ist vielmehr die verantwortliche Stelle (§ 3 Abs. 7 BDSG), die allerdings auch ein Mindestmaß an Datenhoheit inne haben muss. Und daran fehlt es bei Webseitenbetreibern die Social-Plugins einbinden und auch bei Facebook-Fansites.

Die Haltung des Düsseldorfer Kreises wirft letztlich die Frage auf, ob diese Verantwortlichkeit nicht jeden Inhaber eines Facebookprofils treffen müsste, nachdem bereits der Betrieb einer Facebook-Fanseite ausreichend für die Begründung einer datenschutzrechtlichen Verantwortung sein soll. Die einzige Einschränkung die die Datenschutzbehörden machen, ist nur noch die Stellung als Unternehmen. Aber auch das ist letztlich inkonsequent, denn das BDSG ist nur dann nicht anwendbar, wenn die Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Das kann man – wenn man der Logik des Düsseldorfer Kreises folgt –  aber für die Mitwirkung an einer Datenverarbeitung, die für unternehmerische Zwecke von Facebook erfolgt, ganz bestimmt nicht annehmen.

Die Haltung des Düsseldorfer Kreises ist deshalb, wie so häufig, inkonsequent. Konsequent zu Ende gedacht, hätte man nämlich formulieren müssen, dass ein Facebookprofil generell nicht mit deutschem Datenschutzrecht vereinbar ist. Denn man wirkt damit an der unzulässigen Datenverarbeitung von Facebook mit. Was für Fanpages von Facebook gilt, muss letztlich auch für jeden beliebigen Account gelten. Die sich aufdrängende Schlussfolgerung, dass 20 Millionen deutsche Facebooknutzer sich nicht datenschutzkonform verhalten, wollte der Düsseldorfer Kreis dann aber offenbar doch nicht ziehen, zumal auch Menschen wie der Bundesdatenschutzbeauftragte Facebookprofile haben.

Ob sich dieses Dilemma jemals vernünftig auflösen wird, darf man übrigens bezweifeln. Denn die Währung in der der Nutzer von sozialen Medien wie Facebook oder Google+ bezahlt, heißt personenbezogene Daten. Es entspricht gerade dem Geschäftsmodell von Facebook und Google+ möglichst viele Nutzerdaten zu erheben und diese auch entsprechend zusammenzuführen, um damit das Nutzerverhalten zu analysieren. Gleichzeitig wird dem Nutzer der Umfang der Datenerhebung und vor allen Dingen der Weiterverarbeitung und Zusammenführung von Daten natürlich gezielt verschwiegen.

Die Durchsetzung eines Datenschutzregimes auf deutschem Niveau würde das Geschäftsmodell von Facebook oder Google+ zerstören. Für datenschutzfreundliche soziale Medien müsste der Nutzer nämlich in einer anderen Währung bezahlen, die Euro oder Dollar heißt.

Diese  Zusammenhänge und Mechanismen sollten sich nicht nur die Datenschutzbehörden vor Augen führen, sondern gerade auch wir Nutzer.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit seiner Aufforderung an Webseitenbetreiber und Betreiber von Facebook-Fanpages viel Staub aufgewirbelt. Das ULD hält sowohl die Einbindung eines Facebook-Like-Buttons als auch den Betrieb einer Fanpage bei Facebook für datenschutzwidrig.

Dass ich die rechtliche Einschätzung des ULD für falsch halte, habe ich hier bereits erläutert. Auch in der juristischen Fachliteratur überwiegt bislang die Kritik. Für besonders lesenswert halte ich in diesem Zusammenhang den Beitrag des Kollegen Flemming Moos für die K&R.

Ein weiteres Gutachten des wissenschaftlichen Dienstes des Schleswig-Holsteinischen Landtags vom 24.10.2011 kommt ebenfalls zu diesem Ergebnis. Das Gutachten prüft zunächst schulmäßig die Frage, ob man bei IP-Adressen und Cookies überhaupt von personenbezogenen Daten sprechen kann und stellt insoweit den Streitstand ausführlich dar. An dieser Stelle ist die Haltung des ULD nach Ansicht des wissenschaftlichen Dienstes zwar nicht abwegig, andererseits könne angesichts der kontroversen juristischen Diskussion auch nicht ohne weiteres davon ausgegangen werden, dass die Ansicht des ULD gerichtlich bestätigt wird.

Die insoweit entscheidende Frage, ob der Betreiber einer Facebook-Fanpage bzw. einer Webseite die den Like-Button einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist, beurteilt der wissenschaftliche Dienst anders als das ULD. Zutreffend wird diesbezüglich in dem Gutachten ausgeführt, dass für die Annahme einer verantwortlichen Stelle stets ein gewisser Grad an Einflussmöglichkeit auf die tatsächlich erfolgenden Datenverarbeitungsprozesse erforderlich ist. Und genau diese Einflussmöglichkeit fehlt vollständig. Die Datenverarbeitungsprozesse werden einzig und allein von Facebook gesteuert, Betreiber von Fanpages und Websites haben hierauf keinerlei Einfluss.

Damit verfestigt sich der Trend, dass die überwiegende Mehrheit in der juristischen Fachwelt das Vorgehen des ULD für rechtswidrig hält.

Update vom 02.12.2011:
Von mir bislang übersehen, ist zu dieser Thematik ein weiterer Fachaufsatz von Carlo Piltz (CR 2011, 657) mit dem Titel „Der Like-Button von Facebook“ erschienen. Piltz prüft zunächst, ob Facebook selbst gegen deutsches Datenschutzrecht verstößt und bejaht dies. Das deckt sich mit meiner Ansicht, die ich unlängst ebenfalls noch in Aufsatzform für die Zeitschrift für Datenschutzrecht (ZD 2011, 57) dargestellt habe.

Piltz befasst sich dann auch noch mit der vom ULD aufgeworfenen Fragestellung und gelangt zu dem Ergebnis, dass der Webseitenbetreiber, der den Facebook-Like-Button bei sich einbindet, nicht verantwortliche Stelle im Sinne des BDSG und des TMG ist. Zur Begründung führt auch Piltz aus, dass die Webseitenbetreiber keinen direkten Einfluss auf die Funktionsweise des Plug-Ins haben und damit auch nicht auf die Datenübermittlung.  Wenn allerdings keinerlei Verfügungsgewalt über die erhobenen Daten besteht, erscheint es nicht angebracht, so Piltz, die Webseitenbetreiber als verantwortliche Stelle zu beurteilen.

Auf der Jahrestagung der Deutschen Gesellschaft für Recht und Informatik (DGRI) am vergangenen Wochenende in München wurde u.a. über eine Modernisierung des Datenschutzrechts diskutiert. Peter Bräutigam hat ein Thesenpapier vorgestellt, das von ihm, Jochen Schneider und Bernd H. Harder stammt und das, ein neues, zeitgemäßes Rahmenkonzept für den Datenschutz fordert.

Dieser Ansatz bzw. diese Thesen sind bereits seit einigen Monaten im Gespräch. Die Thesen, die auf eine grundlegende Reform des Datenschutzrechts abzielen, sind in der Diskussion bei der DGRI überwiegend auf Zustimmung gestoßen.

Wesentlicher Bestandteil dieses Konzeptes ist ein Abschied von dem geltenden Verbotsprinzip. Zentraler Ansastzpunkt des geltenden Rechts ist die Annahme, dass zunächst jede Art der Verarbeitung personenbezogener Daten verboten ist, solange nicht ein gesetzlicher Erlaubnisstatbestand eingreift (Verbot mit Erlaubnisvorbehalt). Dieses Modell differenziert nicht nach der Art der personenbezogenen Daten und fragt auch nicht nach der Schwere der Beeinträchtigung.

Das vorgestellte Konzept geht demgegenüber davon aus, dass die Gleichbehandlung aller personenbezogener Daten nicht mehr zweckmäßig ist, sondern will das materielle Schutzgut „Privatsphäre/Persönlichkeit“ in den Mittelpunkt stellen und damit gleichzeitig das Regelungsobjekt „Daten“ abschaffen. Letztlich soll also an die Stelle des Verbotsprinzips eine Abwägung verschiedener Rechtspositionen treten.

Verdeutlicht wurde das im Vortrag anhand des Beispiels des personenbezogenen Datums der Religonszugehörigkeit. Während die Zugehörigkeit des Papstes zum katholischen Glauben für diesen kein sensibles Datum darstellt, kann der Angehörige einer religiösen Minderheit ein hohes subjektives Interesse am Schutz derselben Information haben. Nachdem also ein und dasselbe Datum für unterschiedliche Personen eine ganz unterschiedliche Bedeutung haben kann und damit auch ein unterschiedliches Schutzbedürfnis besteht, erscheint es auch nicht gerechtfertigt, in beiden Fällen auf dasselbe Schutzniveau abzustellen.

Das geltende Datenschutzrecht fragt zunächst nicht danach, ob und in welchem Umfang der Schutz eines bestimmten Datums notwendig erscheint, sondern schützt zunächst jedes personenbezogene Datum gleich und folgt damit in gewisser Weise einem Schwarz-Weiß-Schema. Dieses Phänomen wurde außerhalb von Fachkreisen auch häufiger durch die Forderung, dass man nicht Daten sondern Menschen schützen sollte, kritisiert.

Die Kritik erscheint mir durchaus treffend. Denn wer das Individuum und nicht ein starres Datum in den Mittelpunkt der Betrachtung stellt, muss sich zunächst immer fragen, in welchem Umfang der Einzelne im konkreten Fall überhaupt eines Schutzes bedarf.

Im Vortrag schlossen sich weitere Thesen an, wie die Forderung nach der Schaffung eines verschuldensunabhängigen Schadensersatzanspruchs, der auch den immateriellen Schaden umfassen soll. Insoweit soll auch ein vereinfachtes Verfahren vorgesehen werden, in dem auch ein Mindestschaden geltend gemacht werden kann. Man erhofft sich dadurch eine effektive Ahndung von Datenschutzverstößen, an der es bislang zumeist mangelt.

Auch wenn hier einiges noch äußerst vage dargestellt ist, scheint die Diskussion um eine grundlegende Änderung des Datenschutzrechts zumindest in der Fachwelt angekommen zu sein.

Letztlich wird aber entscheidend sein, was die EU-Kommission demnächst zur Frage der Neuregelung des Datenschutzrechts vorschlagen wird. Es steht allerdings zu vermuten, dass die Datenschutzbehörden, die die Diskussion in den letzten Jahren und Jahrzehnten maßgeblich bestimmt haben, sich mit Ansätzen wie dem von Schneider/Bräutigam/Harder nicht werden anfreunden können.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit Blick auf die Einbindung des Facebook-Like-Buttons und den Betrieb von Facebook-Fanseiten den Ton deutlich verschärft, nachdem offenbar die meisten Angeschriebenen der Aufforderung des ULD nicht nachgekommen sind.

Der Landesdatenschutzbeauftragte Weichert wird in einer Pressemitteilung des ULD vom 04.11.2011 u.a. mit den Worten zitiert:

Staatskanzlei und IHK sollten sich nicht feige wegducken; sie sollten jetzt zumindest dem Gesprächsangebot des ULD folgen, das auf eine schnelle und hinsichtlich des Verfahrens einvernehmliche gerichtliche Klärung hinausläuft.

Das ist für eine Behörde eine durchaus interessante Wortwahl, zumal sie gegen die eigene Landesregierung gerichtet ist. Das ULD hat sich aber möglicherweise nicht nur im Ton vergriffen, sondern dürfte sich auch in rechtlicher Hinsicht auf dem Holzweg befinden.

Denn der Umstand, dass Facebook gegen Datenschutzrecht verstößt, führt nicht ohne weiteres dazu, dass inländische Webseitenbetreiber und Betreiber von Fanpages bei Facebook als verantwortliche Stelle der von Facebook durchgeführten Datenverarbeitung zu betrachten sind. Gerade an dieser juristisch entscheidenden Stelle, erscheint die Argumentation des ULD auch eher dürftig. Die Begründung des ULD läuft letztlich auf eine Art Störerhaftung im Datenschutzrecht hinaus, was als Novum zu betrachten wäre. Diesem Begründungsansatz des ULD ist der geschätzte Kollege Flemming Moos bereits überzeugend entgegengetreten. Die „gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetrieber bzw. Fansite-Betreiber“ die das ULD zu konstruieren versucht, ist rechtlich nicht haltbar.

Die Pressemitteilung des ULD ist auch deshalb von Interesse, weil das ULD die Musterverfügung nach § 38 Abs. 5 BDSG mit Zwangsgeldandrohung sowie die Beanstandungen gegenüber der Staatskanzlei sowie gegenüber der IHK Schleswig-Holstein ins Netz gestellt hat.

Vielleicht wäre das ULD besser beraten, in Zusammenarbeit mit den anderen deutschen Datenschutzbehörden zu überlegen, wie man direkt gegen Facebook vorgeht. Denn das deutsche Datenschutzrecht gilt auch für Facebook. Das bestehende Vollzugsdefizit kann man nicht dadurch kompensieren, dass man den Sack prügelt, obwohl man den Esel meint.

Das Land Schleswig-Holstein wird seine Facebook-Fanpage weiter betreiben und der Aufforderung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zur Abschaltung ihrer Fanseite nicht nachkommen. Die Landesregierung will zwar einen Warnhinweis anbringen, zweifelt im übrigen aber erheblich an der Rechtsauffassung des Datenschutzbeauftragten.

Diese rechtlichen Zweifel werden bislang auch von der juristischen Literatur überwiegend geteilt. Auch der wissenschaftliche Dienst des Bundestages hat die Rechtsansicht des ULD kritisch beleuchtet. Die rechtliche Betrachtung hat sich bisher auf den Like-Button konzentriert und den weiteren Aspekt der Fanpages eher stiefmütterlich behandelt, obwohl das Vorgehen gegen die Fanpages rechtlich noch fragwürdiger erscheint als das gegen Webseitenbetreiber, die Like-Buttons einbinden. Wenn die Ansicht des ULD zutreffend wäre, würde dies bedeuten, dass die (geschäftliche) Nutzung von Facebook und sicherlich auch von Google+ generell datenschutzwidrig wäre. Das ULD schreibt in seiner Stellungnahme:

(…) ist der Nutzer des Dienstes Facebook (auch) als Mitverantwortlicher anzusehen, soweit er z.B. personenbezogene Inhalte Dritter einstellt. Zwar sind bei Sozialen Netzwerken Ausnahmen für den Fall „ausschließlich persönlicher oder familiärer Tätigkeiten“ anerkannt. Allerdings räumt der Nutzer laut Ziffer 2 Nr. 1 der Facebook-Nutzungsbedingungen dem Betreiber Facebook weitgehende Rechte an den Inhalten ein, so dass der persönlich-familiäre Bereich verlassen wird. Somit sind auch Betreiber von Fanpages als für die damit ausgelösten Verarbeitungsprozesse als verantwortliche Stellen anzusehen.

Vor diesem Hintergrund habe ich mich beispielsweise auch gefragt, ob dann nicht auch das Facebook-Profil des Bundesdatenschutzbeauftragten Peter Schaar – das sicherlich nicht rein privater Natur ist – als datenschutzwidrig bewertet werden müsste.

Wenn man wie das ULD den Betreiber einer Facebook-Fanseite als verantwortliche Stelle des von Facebook durchgeführten Trackings bewertet, dann sprengt man damit das Grundkonzept des geltenden Datenschutzrechts und begründet im Ergebnis eine Art datenschutzrechtlicher Störerhaftung, die gesetzlich nicht vorgesehen ist.

Man darf gespannt sein, wie die weiteren Schritte des ULD aussehen und ob es tatsächlich rechtsförmlich gegen die eigene Landesregierung vorgehen wird.