Neues Gutachten zur Facebook-Kampagne des ULD
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit seiner Aufforderung an Webseitenbetreiber und Betreiber von Facebook-Fanpages viel Staub aufgewirbelt. Das ULD hält sowohl die Einbindung eines Facebook-Like-Buttons als auch den Betrieb einer Fanpage bei Facebook für datenschutzwidrig.
Dass ich die rechtliche Einschätzung des ULD für falsch halte, habe ich hier bereits erläutert. Auch in der juristischen Fachliteratur überwiegt bislang die Kritik. Für besonders lesenswert halte ich in diesem Zusammenhang den Beitrag des Kollegen Flemming Moos für die K&R.
Ein weiteres Gutachten des wissenschaftlichen Dienstes des Schleswig-Holsteinischen Landtags vom 24.10.2011 kommt ebenfalls zu diesem Ergebnis. Das Gutachten prüft zunächst schulmäßig die Frage, ob man bei IP-Adressen und Cookies überhaupt von personenbezogenen Daten sprechen kann und stellt insoweit den Streitstand ausführlich dar. An dieser Stelle ist die Haltung des ULD nach Ansicht des wissenschaftlichen Dienstes zwar nicht abwegig, andererseits könne angesichts der kontroversen juristischen Diskussion auch nicht ohne weiteres davon ausgegangen werden, dass die Ansicht des ULD gerichtlich bestätigt wird.
Die insoweit entscheidende Frage, ob der Betreiber einer Facebook-Fanpage bzw. einer Webseite die den Like-Button einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist, beurteilt der wissenschaftliche Dienst anders als das ULD. Zutreffend wird diesbezüglich in dem Gutachten ausgeführt, dass für die Annahme einer verantwortlichen Stelle stets ein gewisser Grad an Einflussmöglichkeit auf die tatsächlich erfolgenden Datenverarbeitungsprozesse erforderlich ist. Und genau diese Einflussmöglichkeit fehlt vollständig. Die Datenverarbeitungsprozesse werden einzig und allein von Facebook gesteuert, Betreiber von Fanpages und Websites haben hierauf keinerlei Einfluss.
Damit verfestigt sich der Trend, dass die überwiegende Mehrheit in der juristischen Fachwelt das Vorgehen des ULD für rechtswidrig hält.
Update vom 02.12.2011:
Von mir bislang übersehen, ist zu dieser Thematik ein weiterer Fachaufsatz von Carlo Piltz (CR 2011, 657) mit dem Titel „Der Like-Button von Facebook“ erschienen. Piltz prüft zunächst, ob Facebook selbst gegen deutsches Datenschutzrecht verstößt und bejaht dies. Das deckt sich mit meiner Ansicht, die ich unlängst ebenfalls noch in Aufsatzform für die Zeitschrift für Datenschutzrecht (ZD 2011, 57) dargestellt habe.
Piltz befasst sich dann auch noch mit der vom ULD aufgeworfenen Fragestellung und gelangt zu dem Ergebnis, dass der Webseitenbetreiber, der den Facebook-Like-Button bei sich einbindet, nicht verantwortliche Stelle im Sinne des BDSG und des TMG ist. Zur Begründung führt auch Piltz aus, dass die Webseitenbetreiber keinen direkten Einfluss auf die Funktionsweise des Plug-Ins haben und damit auch nicht auf die Datenübermittlung. Wenn allerdings keinerlei Verfügungsgewalt über die erhobenen Daten besteht, erscheint es nicht angebracht, so Piltz, die Webseitenbetreiber als verantwortliche Stelle zu beurteilen.
Auch wenn’s wohl rechtswidrig ist: Endlich wird das Thema Datenschutz bei Facebook auch mal in den Massenmedien thematisiert.
Comment by Rudi — 1.12, 2011 @ 10:53
„Und genau diese Einflussmöglichkeit fehlt vollständig.“
Das ist schnell daher gesagt. Es ist ja auch faktisch richtig. Aber Weichert beruft sich darauf, dass hier eine Auftragsdatenverabeitung nach §11 BDSG vorläge. Ist es nicht das Wesensmerkmal der Auftragsdatenverarbeitung, dass ich so gut wie keinen Einfluss auf den Auftragnehmer habe außer den Auftrag zu erteilen und zu widerrufen? Wenn ich A beauftrage und der Auftragnehmer macht A, aber hinter meinem Rücken auch noch B, was kann ich machen außer kündigen oder auf Treu und Glauben hoffen?
Gesetzt den Fall, Facebook würde tatsächlich persönliche Profile erstellen mit einer Vielzahl von Maßnahmen und diese an Wirtschaft und Staat verkaufen, dann müssten wir Facebook an die Hammelbeine kriegen für den Auftrag,d er nicht erteilt wurde oder den Missbrauch der Daten zu illegalen Zwecken. Bei der Auftragsdatenverarbeitung wäre dann ggf. darauf abzuheben, dass dieser Auftrag nicht erteilt wurde. Das ist aber ein Grundproblem des Hostings und der Cloud.
Anderseits darf hier mit den Kielern Wissenschaftlern aus dem Parlament an der absoluten Personenbezogenheit der IP-Adressen (bei nicht angemeldeten z.b.) gezweifelt werden. Liegt dieser Personenbezug nicht vor, wie es durchaus sein kann und ich gestern auf meinem Blog gezeigt habe: http://wk-blog.wolfgang-ksoll.de/2011/11/30/sind-ip-adressen-personenbezogen/, dann haben wir auch auf gar keinen Fall Auftragsverarbeitung nach §11 BDSG.
Vielen Dank für den Hinweis auf das Gutachten.
Comment by Wolfgang Ksoll — 1.12, 2011 @ 11:14
@Rudi:
Jaa, endlich werden in den Massenmedien die wirklich wichtigen Datenschutzthemen wie Like-Buttons und unverpixelte Häuserwände thematisiert.
Wäre ja auch noch schöner, wenn dieser wichtige Diskurs weiterhin durch die Konzentration auf solche Randthemen wie Vorratsdatenspeicherung oder Flugpassagierabkommen torpediert würde.
Comment by BurkhardHH — 1.12, 2011 @ 11:15
Es scheint das Mantra zu werden,d as ich dauernd vor mich hin murmele.
Datenschutz ist ein Grundrecht des Bürgers und wurde vom Bundesverfassungsgericht im Volkszählungsurteil als Abwehrrecht gegen Eingriffe des Staates in unseren Wunsch auf Geheimhaltung der persönlichen Verhältnisse formuliert.
In Sachen Facebook handelt es sich nicht um Datenschutz im eigentlichen Sinne, sondern um Verbraucher/innenschutz. Facebook ist nicht der Staat.
Dass „der Staat“ den Datenschutzbegriff dahingehend umdefiniert, dass er eien garantenpflicht des Staates uns gegenüber zum Schutz unserer Daten vor unserer eigenen Blödheit macht, ist offenkundig systematisch dazu gedacht, Grundrechtseingriffe des Staates um Rauschen der Medien untergehen zu lassen.
Ich gebe BurkhardHH völlig Recht: Datenschutzrelevanz zeigt sich beim Staatstrojaner, bei der VDS, bei der Auswertung von Verbindungsdaten, bei ELENA, bei Mauterfassung auf Autobahnen. Da können wir uns nur durch Auswandern gegen wehren (um den Teufel mit dem Beelzebub auszutreiben).
Kunden von Versandhäusern oder Mitglieder Sozialer Netzwerke sind wir hingegen freiwillig (und ich kenne in der Tat Menschen, die aus Gründen des Privatspärenschutzes außer einer Mailadresse im ganzen Internet „nichts haben“ und trotzdem gut leben).
Comment by VolkerK — 1.12, 2011 @ 11:25
Sollte nicht gerade das ULD dringenderes zu tun haben, wie zum Beispiel aufzuklären, warum Krankenakten psychisch kranker MEnschen aus Schleswig-Holstein im Netz rumstanden? Ich würde ja mal so ganz naiv erwarten, dass das geringfügig wichtiger sein könnte als Facebook.
Immerhin ist mir seit der Meldung, dass die Krankenakten im Netz standen vom ULD keine neue Meldung in Sachen Facebook mehr begegnet. Themen wie VDS und PNR-Daten sehe ich eher beim Bundes-Schaar, aber es stimmt schon, dass Datenschützer öffentlich lieber Facebook, Streetview (Microsofts Häuser-Foto-Dienst macht komischerweise keine Wellen) und Co thematisieren. Gegen staatliche Überwachung argumentieren ist aber auch schwer…
Comment by Andre — 1.12, 2011 @ 11:31
@4: Datenschutzverpflichtungen treffen nicht nur den Staat, sondern jeden, der mit personengebundenen Daten arbeitet. Also z. B. Versicherungen, Banken etc. Der Datenschutz basiert nicht nur auf dem Volkszählungsurteil und ist folglich auch nicht allein ein Abwehrrecht gegen den Staat.
Im Grunde begrüsse ich es, wenn die Datenschützer des Bundes und der Länder problematische Fälle aufgreifen. Facebook ist sicher nicht unproblematisch.Aber sie sind es nicht allein und die Art und Weise, wie das ULD vorgeht ist eher kontraproduktiv. Wenn das Tracking durch FB einen Verstoß gegen den Datenschutz darstellt, dann trifft das auch auf die zig trackenden Firmen zu, die auf tausenden von Seiten ihre Schnüffelkomponenten hinterlassen. Und natürlich sind auch deutsche oder europäische Social Networks problematisch. Das aber will das ULD nicht wahrhaben und empfiehlt geradezu die nur angeblichen Alternativen. Und natürlich greift man die nicht an. Ich bin weder ein Freund von FB noch anderer Communities, deren Geschâftsmodell der Verkauf der Nutzerdaten ist. Leider versäumen es die Datenschützer deren Problematik grundsätzlich aufzugreifen, die pot. Nutzer zu sensibilisieren und ggf. gehen Verstöße geeignet vorzugehen. So droht eher ein Debakel, an deren Ende Herr Weichert seinen Hut wird nehmen müssen.
Comment by M. Boettcher — 1.12, 2011 @ 13:26
das Schöne ist ja, dass bei der Geschichte beide Seiten mit Scheuklappen agieren. Die einseitige Vorgehensweise des ULD wird von den Kritikern, so hier, einseitig angegangen.
Der Fakt, dass der Überbringer meiner IP (Seite mit Like-button etc.) dieses bewusst macht, bleibt aussen vor. Wo bekannt ist, dass FB exzessives User/Ip-Tracking betreibt, so bleibt hier mindestens noch Hehlerei (oder was der Art, bin kein Jurist) übrig.
Das kann man unterbinden, indem man da ansetzt, wo die Daten entstehen und nicht erst da, wo sie letztendlich landen.
Comment by mike — 1.12, 2011 @ 14:35
@mike
Ich glaube, Du unterstellst Seitenbetreibern kriminelle Absichten, die sie meist nicht haben (Helerei oder so).
Wir haben auf der einen Seite viele Facebook-User. Da ist es nicht unwahrscheinlich, dass der Seitenbetreiber dem Leser einen komfortablen Dienst erweist, wenn er den Like-it-Button einbaut. Nicht-Vetragspartner von Facebook sollten dadurch nicht belangt werden.
Dass Facebook trackt ist es ja auch nichts schlimmes,wenn es der Sicherheit dient und keiner meinen Account hijackt (siehe Spiegel_Artikel).
Wenn Facebook Userdaten verkaufen sollte, muss man das bewiesen, sonst ist das eine Straftat (üble Nachrede). Ich habe da noch keinen Beweis gesehen, sondern nur wilde Spekulationen eine Amok-laufenden Datenschutzbeauftragtenm, der auf Staatskosten zockt statt auf eigene Rechnung mit eigenem Geld.
Wenn Facebook Mist macht, dann müssen wir bei Facebook ansetzen, nicht bei Seitenbetreibern oder Windows-Hardwarebesitzern, die Cookiesperrsoftware bauen, die auf Apple-iPhones nicht laufen. Die FTC hat da gerade den richtigen Weg gezeigt, der offenbar dem verblendeten Weichert in seinem Hass auf die US-Wirtschaft verstellt ist. Oder der oesterreichische Jurastudent, der in Irland den Datenschutzbeauftragten losgeschickt hat. (BTW: Was ist da eigentlich mittlerweile der Sachstand?).
Comment by Wolfgang Ksoll — 1.12, 2011 @ 17:11
Comment by mike — 1.12, 2011 @ 20:37
argh… :)
Comment by mike — 1.12, 2011 @ 20:38
Mal eine fachliche Frage zum Beitrag von Herrn Moos, der hier ja besonders hervorgehoben wird. Dort wird mit Ermessensfehlern argumentiert, was mir nicht recht einleuchten will. Findet eine Datenschutzbehörde einen Datenschutzrechtsverstoß und ist ein Mittel ersichtlich, mittels dessen sich der Verstoß in verhältnismäßiger Weise (das hat das ULD in seinen Bescheiden für sich geprüft) abstellt: Kann ein Einschreiten dann ermessensfehlerhaft sein?
Comment by ElGraf — 2.12, 2011 @ 16:33
Hier ein kleines Paper zum Thema:
Datenschutz und Usertracking
– eine technische Analyse
Zwar relativ ‚technisch‘, dafuer umso erschreckender ..
http://kechel.de/downloads/kechel_usertracking_2011.pdf
lg,
Jan
Comment by Jan Kechel — 3.12, 2011 @ 23:40
Vielleicht darf ich dazu noch betont unauffaellig auf meinen Aufsatz bei ZEIT Online verweisen, wo ich im zweiten Teil ebenfalls Zweifel an der Haftung der Betreiber aeussere (jdf der Sache nach).
http://mobil.zeit.de/digital/datenschutz/2011-11/facebook-gefaellt-mir-button
Comment by Christoph Kappes — 9.12, 2011 @ 23:02
@Herrn Stadler
Also ich wundere mich etwas darüber, dass Sie und andere sich im Netz und in der Fachliteratur kritisch über die Einordnung nach § 3 Abs. 7 BDSG äußern, diese aber nur äußerst knapp und floskelhaft abtun.
Ich muss gestehen, dass ich wohl nicht alle Stimmen im Blick habe, aber zB Herr Piltz begnügt sich in der CR mit apodiktischen Kurzaussagen wie „endet jedoch sicher mit vollständigem Verlust der Verfügungsgewalt“ (CR 2011, 657, 662).
Wenn man das Thema schon eigens – womöglich im Interesse der eigenen (potentiellen) Mandantschaft – hervorhebt, darf man wohl gerne auch gängige Kommentierungen wie Dammann in Simitis, BDSG oder Gola/Schomerus, BDSG heranziehen. Auch ein Blick in die Datenschutzrichtlinie ( 95/46/EG) kann sicher nicht schaden. Art. 2 d:
„‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Gemeinschaftliches Handeln ist also durchaus möglich, wird aber bei Kritikern wie Ihnen nicht thematisiert. Auch wird die Frage der Verursachung der Datenerhebung durch Einbindung von JS-Code ausgeblendet. Der Seitenbetreiber hat es in der Hand, Plugins zu nutzen oder nicht. Er entscheidet vielleicht nicht über das genaue „Wie“ der Datenverarbeitung aber jedenfalls über das „Ob“. Und er bindet die Plugins auch nicht ohne Grund (Zweck) ein, denn er will durch die Buttons seine Inhalte verbreiten und höhere Bekanntheit bei Nutzern des Drittangebots erreichen.
Auch rechtspolitisch ist es naheliegend, die Seitenbetreiber dazu anzuhalten, nur Erweiterungen mit zulässigen Funktionen in ihre Angebote aufzunehmen.
(Gerne werde ich Ihren Aufsatz lesen, falls Sie dort genauer auf das Problem eingehen. Ich finde es sehr interessant, beide Seiten der Diskussion zu sehen. Leider bleiben beide Seiten eher schammig im Detail und ziehen apodiktische Formulierungen vor.)
Comment by SpäterKritiker — 7.09, 2012 @ 10:40