Internet-Law

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel „Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?“.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:

• Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht? (Stefan Schmidt)
• Öffentlichkeitsarbeit einer Landesbehörde (Niko Härting)
• Stellungnahme zum „Facebook“-Boykott-Aufruf  vom 19. August 2011 durch die schleswig-holsteinische Datenschutzbehörde ULD (Strunk/Dirks)
• Arbeitspapier zu Facebooks Like-Button (Adrian Schneider)
• Bussgelder: Kommt das Facebook-Verbot? (Jens Ferner)
• Einbindung des Facebook „Like-Buttons“ nicht datenschutzkonform? (eigener Beitrag)

Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation „Digitale Gesellschaft“ schreibt in ihrem Blog dazu:

Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

Update:
Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten“ alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) fordert in einer Pressemitteilung vom 19.08.2011 alle Webseitenbetreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen, weil man nach eingehender technischer und rechtlicher Prüfung zu dem Ergebnis gelangt sei, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Das ULD droht den Diensteanbietern sogar mit Untersagungsverfügungen und Bußgeldern, sollten sie der Aufforderung nicht nachkommen.

Das ULD hat seine vollständige Analyse ebenfalls veröffentlicht.

Dass Facebook jedenfalls verpflichtet ist, deutsches Datenschutzrecht zu beachten, hatte ich gestern in einem ausführlichen Beitrag dargestellt.

Update:
Gegenüber Heise-Online legt Thilo Weichert nach und erklärt „Wir werden die Eskalation suchen und dazu das gesamte Instrumentarium nutzen„. Man kann sich da natürlich die Frage stellen, warum das ULD die Eskalation gegenüber Webseitenbetreibern sucht und nicht unmittelbar gegen Facebook – ggf. in Zusammenarbeit mit anderen Landesbehörden – agiert. Das gesamte Instrumentarium würde jedenfalls ein Vorgehen deutscher Datenschutzbehörden gegen Facebook umfassen.

Update:
Es sieht irgendwie so aus, als würde das ULD selbst Plugins von Facebook und Twitter benutzen. Oder was ist das am unteren Bildschirmrand Herr Weichert?

Das sind offenbar nur Share-Links. Außerdem wurde ich darauf hingewiesen, dass es sich um eine Seite des Landes handelt und nicht um eine offizielle Seite des Datenschutzbeauftragten. Dennoch zeigt das Beispiel den schwierigen Umgang auch der offiziellen Stellen mit Facebook und Co.

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

Google+ hat nunmehr mehrfach die Profile solcher Nutzer gesperrt, die sich nicht mit ihrem tatsächlichen bürgerlichen Namen angemeldet haben. Ich bin gefragt worden, ob das Verhalten von Google nicht gegen § 13 Abs. 6 TMG verstößt. Danach muss der Diensteanbieter grundsätzlich gewährleisten, dass der Nutzer den Dienst auch anonym oder pseudonym nutzen kann.

Die Regelung wirkt auf den ersten Blick eindeutig. Aber nur solange man davon ausgeht, dass das Profil bei Google+ nicht selbst ein Telemedium im Sinne des TMG und/oder RStV darstellt. Eine solche Annahme halte ich zwar für gewagt, sie wird aber zu Twitter- und Facebook-Profilen durchaus, vielleicht sogar mehrheitlich, vertreten.

Daran unmittelbar schließt sich nämlich dann die Frage an, ob solche Profile den Impressumspflichten des TMG oder RStV unterliegen, was einer anonymen oder pseudonymen Nutzung entgegenstehen würde.

Wann Blogs einer Impressumspflicht unterliegen, habe ich an anderer Stelle dargelegt. Die weit verbreitete Ansicht, die meisten Menschen würden ja privat bloggen und unterlägen deshalb keiner Pflicht zur Anbieterkennzeichnung, ist in dieser Form jedenfalls nicht haltbar.

Denn nach § 55 Abs. 1 RStV benötigen nur solche Telemedien, die ausschließlich persönlichen und familiären Zwecken dienen, kein Impressum. Und das ist wesentlich enger als der Begriff privat. Wer also privat bloggt, twittert oder bei Google+ postet, um der Welt da draußen etwas mitzuteilen, der beschränkt sich nicht auf persönliche oder familiäre Zwecke. Andererseits ermöglicht es gerade Google+ mit der Einteilung in Kreise (Circles), eine Kommunikation auf den Familien- und Freundeskreis zu beschränken. Eine Nutzung ausschließlich für persönliche und familiäre Zwecke ist deshalb zumindest möglich und vorgesehen. Wie der Nutzer sein Profil tatsächlich nutzen will, weiß Google nicht vornherein und es ist auch nicht die Sache Googles dies festzulegen.

Vor diesem Hintergrund erscheint es mir rechtlich problematisch, wenn Google von jedem Nutzer verlangt, er müsse sich mit seinem korrekten bürgerlichen Namen anmelden und mit diesem auch in Google+ agieren.

Heute entstand auf Twitter und in Blogs eine gewisse Aufregung um die Meldung, dass der Bundesrat soziale Netzwerke erst ab einem Alter von 16 Jahren erlauben will. Hintergrund war eine etwas irreführende Meldung von internetworld, die sich mit einer geplanten Änderung des Telemediengesetzes befasst, die ich hier aus anderen Gründen schon kritisiert habe.

Worum geht es bei dieser Altersgrenze genau? Hier ist der relevante Wortlaut:

Der Diensteanbieter hat denNutzer bei der erstmaligen Erhebung von personenbezogenen Daten in allgemein verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar darüber zu unterrichten, welche Sicherheitseinstellungen zum Schutz der Privatsphäre des Nutzers voreingestellt sind. Der Diensteanbieter muss dem Nutzer die Einstellungsmöglichkeit bieten, dass das Nutzerkonto sowie sonstige vom Nutzer erstellte Inhalte mittels anderer, nicht in diesen Telemediendienst integrierter Telemediendienste, welche die Suche von Inhalten ermöglichen (externe Suchmaschinen), nicht gefunden oder ausgelesen werden können; der Diensteanbieter hat dies entsprechend Satz 1 voreinzustellen. Satz 3 gilt nicht, soweit der Zweck des Telemediendienstes bei objektiver Betrachtung die Auffindbarkeit oder Auslesbarkeit von Inhalten mittels externer Suchmaschinen umfasst. Einem Nutzer, der bei der Erhebung seiner personenbezogenen Daten ein Alter von unter 16 Jahren angegeben hat, darf eine Änderung der Voreinstellung nach Satz 3 erst ermöglicht werden, wenn er das Alter von 16 Jahren erreicht hat.

Die Grundidee besteht – neben wieder einmal neuen Belehrungspflichten – darin, die sozialen Netzwerke zu verpflichten, per default die strengsten Privacy-Einstellungen vorzugeben, die der Nutzer dann durch eine bewusste eigene Änderung lockern kann. Die Grundeinstellung soll dafür sorgen, dass weder Suchmaschinen noch Nichtmitglieder die Nutzeprofile sehen können. Und diese Lockerung soll erst möglich sein, wenn der Nutzer 16 Jahre alt ist.

Jetzt muss man ganz pragmatisch natürlich sehen, dass sich speziell Facebook bislang wenig um die Einhaltung des TMG und BDSG schert und man deshalb zunächst überlegen sollte, wie man das bestehende Vollzugsdefizit beseitigt. Denn immer neue Gesetze, die die großen Player wie Facebook ohnehin wieder ignorieren, verbessern die Position der Nutzer ja nicht.

Außerdem wird die Regelung in der Praxis bereits deshalb leerlaufen, weil die Nutzer dann eben im Zweifel angeben werden, dass sie 16 sind. Die geplante Regelung bringt aber eine interessante datenschutzrechtliche Problematik in Erinnerung. Für eine datenschutzrechtliche Einwilligung ist nach überwiegender Ansicht zwar keine Geschäftsfähigkeit (also Volljährigkeit), wohl aber eine ausreichende Einsichtsfähigkeit erforderlich, die Kindern regelmäßig fehlt. Deshalb können sich Kinder eigentlich schon nach geltendem Recht nicht selbständig in sozialen Netzen anmelden.

Das LawBlog und netzpolitik.org berichten über Glastotag, ein Projekt des britischen Glastonbury Musikfestivals, das eine Gesichterkennung der Festivalbesucher ermöglicht. Das funktioniert über (hochauflösende) Fotos der Festivalbesucher, die mithilfe der Gesichtserkennung von Facebook „getaggt“ werden. Die Gesichter werden so identifiziert und mit Facebook-Profilen verknüpft. Das soll im Falle von Glastonbury bereits bei 9.000 Personen funktioniert haben.

Ein ähnliches Projekt existiert auch in Deutschland für das Rheinkulturfestival in Bonn. Es handelt sich hierbei um ein Projekt des WDR, also einer öffentlich-rechtlichen Rundfunkanstalt.

Diese Konzepte sind, gemessen an deutschem – und vermutlich auch britischem – Recht, nicht zulässig. Die Verbreitung und Veröffentlichung hochauflösender Fotos auf denen Festivalbesucher erkennbar und identifizierbar sind, verstößt, sofern eine Einwilligung der abgebildeten Person nicht vorliegt, gegen § 22 KUG. Die Veröffentlichung solcher Fotos im Netz, verbunden mit der Aufforderung Personen zu „taggen“, stellt darüber hinaus eine Verletzung der Persönlichkeitsrechte der betroffenen Personen dar. Nachdem damit aber auch eine Verarbeitung und Speicherung personenbezogener Daten einhergeht und man solche Projekte wohl als Aufforderung zum Rechtsbruch betrachten muss, dürfte in Deutschland zudem eine Zuständigkeit der Datenschutzbehörden gegeben sein.

Update vom 13.07.2011:
Auch die Rockband U2 ermöglicht eine Gesichtserkennung der Besucher ihrer Konzerte. Für mich hat das bereits orwellsche Dimensione angenommen, während andere das offenbar für eher harmlos halten.

„Facebook ist gefährlich“ und „Der Rat des Juristen kann nur sein, Facebook zu meiden“, schreibt Prof. Thomas Hoeren in einem Beitrag für den Deutschen Anwaltsspiegel. Die Begründung die er liefert, enttäuscht dann allerdings doch etwas.

Hoeren überrascht schließlich aber doch noch und zwar mit der durchaus gewagten These, dass deutsches Datenschutzrecht für Facebook nicht gelten würde. Hier hätte bereits die Lektüre der Facebook-Richtlinien (Statement of Rights And Responsibilities) weiter geholfen. Denn danach gilt für Streitigkeiten zwischen Facebook und seinen deutschen Nutzern deutsches Recht.

Unabhängig davon, wäre man aber auch nach der von Hoeren zitierten Vorschrift des § 1 Abs. 5 BDSG zu diesem Ergebnis gelangt. Denn auch wenn Facebook eine Niederlassung in Irland unterhält, soll das Nutzungsverhältnis nach dem Willen von Facebook mit der US-Mutter bestehen. Und für diesen Fall ordnet § 1 Abs. 5 S. 2 BDSG die Geltung des BDSG an.

Facebook hat gerade damit begonnen, ein Gesichtserkennungs-Feature einzubauen. Wenn Facebooknutzer neue Fotos hochladen, gleicht eine Software diese automatisch mit anderen Fotos ab. Wenn hierbei das Gesicht einer Person erkannt wird, das auch auf dem hochzuladenden Foto zu finden ist, schlägt Facebook dem Nutzer vor, diese Person zu markieren („taggen“). Damit werden letztlich Fotos mit den Namen der abgebildeten Personen beschriftet.

Dieser Vorgang beinhaltet eine Verarbeitung und Nutzung personenbezogener Daten. Denn der Bezug zwischen der abgebildeten Person und ihrem Namen wird erst durch die Gesichtserkennungssoftware hergestellt und anschließend durch die Markierung auch öffentlich gemacht. Eine solche Verarbeitung personenbezogener Daten erfordert nach dem Bundesdatenschutzgesetz grundsätzlich die Einwilligung der betroffenen Person. Ganz unabhängig davon, dass natürlich auch das Hochladen von Fotos, auf denen fremde Personen abgebildet sind, rechtlich nur dann zulässig ist, wenn die abgebildeten Personen in die Veröffentlichung eingewilligt hat (§ 22 KUG).

Das grundsätzliche Problem der Vorgehensweise von Facebook besteht darin, dass Facebook diese Funktion bei allen Nutzern standardmäßig aktiviert hat. Wer sich nicht erkennen und markieren lassen will, muss diese Funktion deshalb in seinen Einstellungen deaktivieren. Nach deutschem und europäischem Datenschutzrecht wäre allerdings die umgekehrte Vorgehensweise erforderlich. Facebook hätte diese neue Funktion also per Default deaktiviert halten müssen. Es ist dann den Nutzern überlassen, diese Funktion ausdrücklich zu aktivieren. Aber auch in diesem Fall müsste Facebook den Nutzern die Funktion erläutern und auch erklären, welche konkreten Daten dadurch kombiniert und gespeichert werden. Denn der Betroffene muss auf den Zweck der Datenerhebung und -verabreitung hingewiesen werden (§ 4a BDSG).

Nach geltender Rechtslage könnte eine solche Gesichtserkennung nur mithilfe eines sauberen Opt-In-Verfahrens datenschutzkonform ausgestaltet werden.