Internet-Law

Facebook hat vor kurzem eine Timeline (Chronik) eingerichtet, in der die verschiedensten Aktivitäten eines Facebooknutzers öffentlich – oder auch eingeschränkt, wenn man die standardmäßigen Privatsphäreneinstellungen entsprechend abändert – angezeigt werden. Um beobachten zu können, was diese neue Chronik per default so alles preisgibt, habe ich meine Privatsphäreneinstellungen bewusst unverändert gelassen und es ganz gezielt vermieden, irgendeinen Bestätigungsbutton anzuklicken.

Die Preisgabe der Information, dass ich beispielsweise etwas in die Gruppe „Netzpolitik“ poste, erscheint mir naheliegend, zumal ich ja möchte, dass das gelesen wird. Dass in meiner Chronik allerdings auch Einträge erscheinen wie „Thomas hat einen Artikel gelesen.“, einschließlich des Links auf den gelesenen Artikel, ist weniger harmlos. Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt. Im konkreten Beispielsfall hatte ich in der Facebook-Gruppe „Netzpolitik“ auf einen Link geklickt, der zu einem Artikel des britischen Guardian führte.

Die Preisgabe dieser Information ist ohne meine ausdrückliche Einwilligung allerdings datenschutzwidrig und verletzt grundsätzlich auch mein allgemeines Persönlichkeitsrecht. Denn ehrlich gesagt, möchte ich weder die Allgemeinheit noch meine Facebook-Freunde ständig darüber informieren, was ich online lese. Auch wenn Facebook mittlerweile bei den Privatsphäreneinstellungen relativ viele Möglichkeiten anbietet, lässt sich speziell der genannte Aspekt wohl auch nicht einzeln deaktivieren. Man kann diesen Eintrag nur nachträglich aus der Chronik ausblenden. Wer nur die Einstellung gewählt hat, dass seine Postings öffentlich sein sollen, muss noch lange nicht damit rechnen, dass er damit auch in die Preisgabe der von ihm angeklickten Links einwilligt.

Bereits der Umstand, dass Facebook das gesamte Nutzungsverhalten eines jeden Facebooknutzers lückenlos aufzeichnet, verstößt gegen das Datenschutzrecht und zwar selbst dann, wenn der Nutzer den Datenschutzbestimmungen von Facebook ausdrücklich zugestimmt haben sollte. Denn der Nutzer wird von Facebook erst gar nicht darüber informiert, dass sein gesamtes Nutzungsverhalten lückenlos getrackt wird und damit Bewegungsprofile erstellt werden.

Die Zustimmungserklärung, die Facebook versucht den Nutzern unterzujubeln, entspricht ohnehin nicht den Anforderungen von § 4a BDSG. Das bedeutet, dass kein deutscher Nutzer von Facebook den Datenschutzbestimmungen in rechtswirksamer Weise zustimmen wird oder zugestimmt hat. Das ist allerdings ein Umstand, der Facebook wenig zu kümmern scheint.

Facebook verstößt weiterhin konsequent gegen deutsches und europäisches Datenschutzrecht, an das es allerdings gebunden ist.

Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.

Google  will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.

Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.

Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:

Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.

Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:

Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:

• Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
• Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
• IP-Adresse.
• Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
• Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:

Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.

Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.

Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:

Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.

Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.

Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.

Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).

Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.

Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.

Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.

Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.

Ein Gesetzesentwurf der Bundestagsfraktion der SPD vom 24.01.2012 sieht vor, in das Telemediengesetzes (TMG) in § 13 folgenden Absatz 8 einzufügen:

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Durch diese Neuregelung soll die E-Privacy-Richtlinie umgesetzt werden. Der Vorschlag der SPD ähnelt in diesem Punkt einem Gesetzesentwurf des Bundesrates.

Dass ich eine derartige Regelung kritisch sehe, weil die inflationäre Zunahme von Pop-Up-Fenstern zu befürchten steht, hatte ich bereits erläutert. Ob auf diese Weise tatsächlich eine Erhöhung des Datenschutzniveaus erreicht werden kann, darf bezweifelt werden. Vielmehr ist zu erwarten, dass die User aufpoppende Fenster schlicht genervt wegklicken werden, was der Vorstellung einer datenschutzrechtlichen Einwilligung, die auf einer ausreichenden Information beruht, letztlich eher zuwider läuft.

Die wesentliche Frage, unter welchen Voraussetzungen eine Ausnahme von der Einewilligungslösung gemacht werden kann, weil die Verwendung von Cookies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, beantwortet die Entwurfsbegründung der SPD freilich nicht. Wäre beispielsweise die Verwendung von Session-Cookies oder gar permanenten Cookies in Onlineshops unbedingt erforderlich, um den Shop betreiben zu können? Die Gesetzgebungstechnik der SPD-Fraktionn bedingt, dass diese zentrale Frage einmal mehr den Gerichten überlassen wird.

Diese Schlussfolgerung legt zumindest das sog. Datenschutzbarometer der Xamit Bewertungsgesellschaft mbH nahe, das auf einer allerdings automatisierten Auswertung deutscher Websites beruht. Nach dieser Auswertung soll auf 82 % der deutschen Webpräsenzen gegen Datenschutzrecht verstoßen werden. Diese rechtliche Bewertung orientiert sich an den Vorgaben des Düsseldorfer Kreises bzw. der Aufsichtsbehörden, die freilich nicht immer unumstritten sind.

Die Zunahme der Datenschutzverstöße ist laut der Studie u.a. auf die verstärkt anzutreffende Einbindung des Facebook-Like-Buttons zurückzuführen und auf den Einsatz nicht datenschutzkonformer Statistiktools. Speziell was die Einbindung des Like-Buttons angeht, sieht die derzeit herrschende Ansicht in der juristischen Literatur allerdings keinen Rechtsverstoß des Webseitenbetreibers.

Das m.E. durchaus gewagte und reißerische Fazit der Studie lautet, dass sich der wirtschaftliche Vorteil durch Datenschutzverstöße in der Bundesrepublik auf mehr als 7,5 Mrd. Euro beläuft. Dieser Annahme liegt m.E. allerdings keine wirklich fundierte Berechnung zugrunde (siehe S. 49 ff. der Untersuchung).

Man sollte die Zahlen und Schlussfolgerungen von Xamit daher insgesamt eher skeptisch betrachten.

Der sog. Düsseldorfer Kreis – das Treffen der obersten Datenschutzbehörden für den nichtöffentlichen Bereich – hat sich in einem neuen Papier der Haltung des ULD zu sozialen Netzwerken und Social-Plugins angeschlossen.

Die Grundaussage, wonach auch soziale Netzwerke die außerhalb des europäischen Wirtschaftsraums ansässig sind, deutsches Datenschutzrecht zu beachten haben, halte ich für rechtlich zutreffend. Dass speziell das Angebot von Facebook allerdings weit davon entfernt ist, mit deutschem und europäischem Datenschutzrecht konform zu sein, ist andererseits offensichtlich. Möglicherweise wird die EU künftig effektiver gegen dieses Vollzugsdefizit vorgehen, sollte das Datenschutzrecht tatsächlich in einer EU-Verordnung geregelt werden, weil dann wegen der Datenschutzverstöße großer amerikanischer Player wie Google oder Facebook auch mit spürbaren Bußgeldern gerechnet werden kann.

Zu den zuletzt äußerst umstrittenen Themen der Einbindung von Social-Plugins und des Betreibens von Facebook-Fanseiten schreibt der Düsseldorfer Kreis:

In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Daten- verarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.

Auch wenn ich die Bedenken des Düsseldorfer Kreises nachvollziehen kann, entspricht diese Aussage meines Erachtens nicht der geltenden Rechtslage. Denn eine irgendwie geartete (Störer-)Verantwortlichkeit kennt das deutsche Datenschutzrecht nicht. Adressat des BDSG und des TMG ist vielmehr die verantwortliche Stelle (§ 3 Abs. 7 BDSG), die allerdings auch ein Mindestmaß an Datenhoheit inne haben muss. Und daran fehlt es bei Webseitenbetreibern die Social-Plugins einbinden und auch bei Facebook-Fansites.

Die Haltung des Düsseldorfer Kreises wirft letztlich die Frage auf, ob diese Verantwortlichkeit nicht jeden Inhaber eines Facebookprofils treffen müsste, nachdem bereits der Betrieb einer Facebook-Fanseite ausreichend für die Begründung einer datenschutzrechtlichen Verantwortung sein soll. Die einzige Einschränkung die die Datenschutzbehörden machen, ist nur noch die Stellung als Unternehmen. Aber auch das ist letztlich inkonsequent, denn das BDSG ist nur dann nicht anwendbar, wenn die Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Das kann man – wenn man der Logik des Düsseldorfer Kreises folgt –  aber für die Mitwirkung an einer Datenverarbeitung, die für unternehmerische Zwecke von Facebook erfolgt, ganz bestimmt nicht annehmen.

Die Haltung des Düsseldorfer Kreises ist deshalb, wie so häufig, inkonsequent. Konsequent zu Ende gedacht, hätte man nämlich formulieren müssen, dass ein Facebookprofil generell nicht mit deutschem Datenschutzrecht vereinbar ist. Denn man wirkt damit an der unzulässigen Datenverarbeitung von Facebook mit. Was für Fanpages von Facebook gilt, muss letztlich auch für jeden beliebigen Account gelten. Die sich aufdrängende Schlussfolgerung, dass 20 Millionen deutsche Facebooknutzer sich nicht datenschutzkonform verhalten, wollte der Düsseldorfer Kreis dann aber offenbar doch nicht ziehen, zumal auch Menschen wie der Bundesdatenschutzbeauftragte Facebookprofile haben.

Ob sich dieses Dilemma jemals vernünftig auflösen wird, darf man übrigens bezweifeln. Denn die Währung in der der Nutzer von sozialen Medien wie Facebook oder Google+ bezahlt, heißt personenbezogene Daten. Es entspricht gerade dem Geschäftsmodell von Facebook und Google+ möglichst viele Nutzerdaten zu erheben und diese auch entsprechend zusammenzuführen, um damit das Nutzerverhalten zu analysieren. Gleichzeitig wird dem Nutzer der Umfang der Datenerhebung und vor allen Dingen der Weiterverarbeitung und Zusammenführung von Daten natürlich gezielt verschwiegen.

Die Durchsetzung eines Datenschutzregimes auf deutschem Niveau würde das Geschäftsmodell von Facebook oder Google+ zerstören. Für datenschutzfreundliche soziale Medien müsste der Nutzer nämlich in einer anderen Währung bezahlen, die Euro oder Dollar heißt.

Diese  Zusammenhänge und Mechanismen sollten sich nicht nur die Datenschutzbehörden vor Augen führen, sondern gerade auch wir Nutzer.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit seiner Aufforderung an Webseitenbetreiber und Betreiber von Facebook-Fanpages viel Staub aufgewirbelt. Das ULD hält sowohl die Einbindung eines Facebook-Like-Buttons als auch den Betrieb einer Fanpage bei Facebook für datenschutzwidrig.

Dass ich die rechtliche Einschätzung des ULD für falsch halte, habe ich hier bereits erläutert. Auch in der juristischen Fachliteratur überwiegt bislang die Kritik. Für besonders lesenswert halte ich in diesem Zusammenhang den Beitrag des Kollegen Flemming Moos für die K&R.

Ein weiteres Gutachten des wissenschaftlichen Dienstes des Schleswig-Holsteinischen Landtags vom 24.10.2011 kommt ebenfalls zu diesem Ergebnis. Das Gutachten prüft zunächst schulmäßig die Frage, ob man bei IP-Adressen und Cookies überhaupt von personenbezogenen Daten sprechen kann und stellt insoweit den Streitstand ausführlich dar. An dieser Stelle ist die Haltung des ULD nach Ansicht des wissenschaftlichen Dienstes zwar nicht abwegig, andererseits könne angesichts der kontroversen juristischen Diskussion auch nicht ohne weiteres davon ausgegangen werden, dass die Ansicht des ULD gerichtlich bestätigt wird.

Die insoweit entscheidende Frage, ob der Betreiber einer Facebook-Fanpage bzw. einer Webseite die den Like-Button einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist, beurteilt der wissenschaftliche Dienst anders als das ULD. Zutreffend wird diesbezüglich in dem Gutachten ausgeführt, dass für die Annahme einer verantwortlichen Stelle stets ein gewisser Grad an Einflussmöglichkeit auf die tatsächlich erfolgenden Datenverarbeitungsprozesse erforderlich ist. Und genau diese Einflussmöglichkeit fehlt vollständig. Die Datenverarbeitungsprozesse werden einzig und allein von Facebook gesteuert, Betreiber von Fanpages und Websites haben hierauf keinerlei Einfluss.

Damit verfestigt sich der Trend, dass die überwiegende Mehrheit in der juristischen Fachwelt das Vorgehen des ULD für rechtswidrig hält.

Update vom 02.12.2011:
Von mir bislang übersehen, ist zu dieser Thematik ein weiterer Fachaufsatz von Carlo Piltz (CR 2011, 657) mit dem Titel „Der Like-Button von Facebook“ erschienen. Piltz prüft zunächst, ob Facebook selbst gegen deutsches Datenschutzrecht verstößt und bejaht dies. Das deckt sich mit meiner Ansicht, die ich unlängst ebenfalls noch in Aufsatzform für die Zeitschrift für Datenschutzrecht (ZD 2011, 57) dargestellt habe.

Piltz befasst sich dann auch noch mit der vom ULD aufgeworfenen Fragestellung und gelangt zu dem Ergebnis, dass der Webseitenbetreiber, der den Facebook-Like-Button bei sich einbindet, nicht verantwortliche Stelle im Sinne des BDSG und des TMG ist. Zur Begründung führt auch Piltz aus, dass die Webseitenbetreiber keinen direkten Einfluss auf die Funktionsweise des Plug-Ins haben und damit auch nicht auf die Datenübermittlung.  Wenn allerdings keinerlei Verfügungsgewalt über die erhobenen Daten besteht, erscheint es nicht angebracht, so Piltz, die Webseitenbetreiber als verantwortliche Stelle zu beurteilen.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit Blick auf die Einbindung des Facebook-Like-Buttons und den Betrieb von Facebook-Fanseiten den Ton deutlich verschärft, nachdem offenbar die meisten Angeschriebenen der Aufforderung des ULD nicht nachgekommen sind.

Der Landesdatenschutzbeauftragte Weichert wird in einer Pressemitteilung des ULD vom 04.11.2011 u.a. mit den Worten zitiert:

Staatskanzlei und IHK sollten sich nicht feige wegducken; sie sollten jetzt zumindest dem Gesprächsangebot des ULD folgen, das auf eine schnelle und hinsichtlich des Verfahrens einvernehmliche gerichtliche Klärung hinausläuft.

Das ist für eine Behörde eine durchaus interessante Wortwahl, zumal sie gegen die eigene Landesregierung gerichtet ist. Das ULD hat sich aber möglicherweise nicht nur im Ton vergriffen, sondern dürfte sich auch in rechtlicher Hinsicht auf dem Holzweg befinden.

Denn der Umstand, dass Facebook gegen Datenschutzrecht verstößt, führt nicht ohne weiteres dazu, dass inländische Webseitenbetreiber und Betreiber von Fanpages bei Facebook als verantwortliche Stelle der von Facebook durchgeführten Datenverarbeitung zu betrachten sind. Gerade an dieser juristisch entscheidenden Stelle, erscheint die Argumentation des ULD auch eher dürftig. Die Begründung des ULD läuft letztlich auf eine Art Störerhaftung im Datenschutzrecht hinaus, was als Novum zu betrachten wäre. Diesem Begründungsansatz des ULD ist der geschätzte Kollege Flemming Moos bereits überzeugend entgegengetreten. Die „gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetrieber bzw. Fansite-Betreiber“ die das ULD zu konstruieren versucht, ist rechtlich nicht haltbar.

Die Pressemitteilung des ULD ist auch deshalb von Interesse, weil das ULD die Musterverfügung nach § 38 Abs. 5 BDSG mit Zwangsgeldandrohung sowie die Beanstandungen gegenüber der Staatskanzlei sowie gegenüber der IHK Schleswig-Holstein ins Netz gestellt hat.

Vielleicht wäre das ULD besser beraten, in Zusammenarbeit mit den anderen deutschen Datenschutzbehörden zu überlegen, wie man direkt gegen Facebook vorgeht. Denn das deutsche Datenschutzrecht gilt auch für Facebook. Das bestehende Vollzugsdefizit kann man nicht dadurch kompensieren, dass man den Sack prügelt, obwohl man den Esel meint.

Das Landgericht Aschaffenburg hat mit Urteil vom 19.08.2011 (Az.: 2 HK O 54/11) entschieden, dass im Falle einer (auch) geschäftlichen Nutzung eines Facebookprofils (oder einer Facebook-Fanseite) eine Impressumspflicht im Sinne von § 5 TMG besteht. Auch Nutzer von Facebook-Accounts müssen laut LG Aschaffenburg eine eigene Anbieterkennung vorhalten, wenn nicht nur eine reine private Nutzung vorliegt.

Außerdem meint das Gericht, dass ein Impressum nicht unter der Bezeichnung „Info“ erwartet werde und bereits darin ein Verstoß gegen § 5 TMG liegt, was man durchaus bezweifeln kann. Denn was soll man unter Info anderes erwarten, als Informationen zum Inhaber des Profils?

Konkret ging es um ein regionales Infoportal, das zusätzlich ein Profil bei Facebook unterhält. Der Streitwert wurde mit EUR 2.000,- überraschend niedrig angesetzt.

Der Hamburgische Datenschutzbeauftragte hat heute eine, zumindest für mich, überraschende Pressemitteilung herausggegeben, in der er erklärt, dass Webseitenbetreibern ab sofort ein beanstandungsfreier Einsatz von Google Analytics möglich sei. Parallel hat auch Google Deutschland eine Mitteilung seines betrieblichen Datenschutzbeauftragten dazu veröffentlicht.

Das ist zwar für Nutzer von Google Analytics im Ergebnis erfreulich, zeigt allerdings bei näherer inhaltlicher Betrachtung, dass Deutschland nunmehr endgültig zum datenschutzrechtlichen Schilda geworden ist.

Der Hamburger Datenschutzbeauftragte teilt u.a. mit, dass  Google das Verfahren nunmehr dahingehend geändert habe, dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Gleichzeitig verlangt er aber, dass der Webseitenbetreiber mit Google einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen soll.

Diese Ausführungen sind datenschutzrechtlich widersprüchlich und auch widersinnig. Wenn tatsächlich eine Anonymisierung der IP-Adressen der Nutzer vor einer Übermittlung an Google stattfindet, dann bedeutet dies nichts anderes, als dass an Google keine personenbezogenen Daten mehr übermittelt werden.

Damit entfällt aber nach dem Gesetz die Pflicht des § 13 TMG, über die Datenerhebung und -verwendung zu informieren und insoweit dann auch die Notwendigkeit einer Datenschutzerklärung. Eine Vereinbarung über eine Auftragsdatenverarbeitung kann dann ebenfalls nicht mehr geboten sein, weil diese ja gerade eine (externe) Verarbeitung personenbezogener Daten voraussetzt.

Die Forderung nach einer schriftlichen Vereinbarung zwischen dem Webseitenbetreiber und Google i.S.v. § 11 BDSG ist aber auch deshalb fragwürdig, weil die inhaltlichen Anforderungen des § 11 BDSG in dieser Konstellation schwerlich erfüllbar sind. Erforderlich wäre es nämlich, dass Google an die Weisungen des Webseitenbetreibers gebunden ist (§ 11 Abs. 3 BDSG) und, dass Google dem Webseitenbetreiber umfangreiche Prüf- und Kontrollmöglichkeiten einräumt.

Google hält insoweit auch schon eine standardisierte Vereinbarung bereit, die Google sogar unterschreiben und zurückschicken will. Diese Vereinbarung genügt m.E. aber den inhaltlichen Anforderungen des § 11 BDSG, insbesondere, was die Kontrollrechte angeht, nicht. Denn die Kontrollmöglichkeit wird von Google darauf beschränkt, dass der Webseitenbetreiber als Auftraggeber einen Prüfbericht eines Wirtschaftsprüfers einsehen kann.

Auch die Konstruktion erscheint unklar. Offenbar soll diese Vereinbarung nach der Ansicht Googles mit Google Deutschland getroffen werden, während die Datenverarbeitung aber in den USA stattfindet. Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der Vorschrift des § 11 BDSG.

Machen wir es also nicht komplizierter als es ist. Wenn mittels Google Analytics, bei Einsatz des sog. IP-Masking, keine personenbezogenen Daten mehr übermittelt werden – und genau das besagt die Pressemitteilung des Hamburger Datenschutzbeauftragten – dann sind insoweit auch keinerlei datenschutzrechtliche Anforderungen mehr zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG).

Die bayerische Aufsichtsbehörde hat mir übrigens bereits zu Beginn des Jahres, im Rahmen einer Mandatsbearbeitung, mitgteteilt, dass gegen den Einsatz von Google Analytics keine Einwände bestünden, wenn das von Google bereitgestellte Zusatztool zum sog. IP-Masking verwendet und zusätzlich eine ausreichende Datenschutzerklärung vorgehalten wird.

Ergänzend noch ein paar Links zum Thema:

Datenschutztheater (von Kris Köhntopp)

Google Analytics ist amtlich datenschutzkonform (Heise)

Die Diskussion zu meinem Post auf Google+

GOOGLE ANALYTICS IST DATENSCHUTZKONFORM NUTZBAR!? (von Laurent Meister)

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel „Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?“.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:

• Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht? (Stefan Schmidt)
• Öffentlichkeitsarbeit einer Landesbehörde (Niko Härting)
• Stellungnahme zum „Facebook“-Boykott-Aufruf  vom 19. August 2011 durch die schleswig-holsteinische Datenschutzbehörde ULD (Strunk/Dirks)
• Arbeitspapier zu Facebooks Like-Button (Adrian Schneider)
• Bussgelder: Kommt das Facebook-Verbot? (Jens Ferner)
• Einbindung des Facebook „Like-Buttons“ nicht datenschutzkonform? (eigener Beitrag)