Den kompletten Report (149 Seiten) und die technische Analyse gibt hier zum Download:

http://www.dataprotection.ie/docs/21/12/11_-_Report_of_Data_Protection_Audit_of_Facebook_Irela/1182.htm

Richard Allan, Director of Public Policy, Facebook EMEA, hat dazu einen Blogbeitrag auf der Facebookseite Facebook Public Policy Europeveröffentlicht.

Interessant die unterschiedliche Sichtweise der Presse:

• Spiegel.de – Irischer Datenschützer verteidigt Facebooks Klarnamenzwang
• Zeit Online – Irischer Datenschützer entlastet Facebook
• Welt Online – Facebook muss für Irland Datenschutz verbessern
• Süddeutsche Zeitung – Irlands Datenschützer zwingt Facebook zu Zugeständnissen
• Frankfurter Rundschau – Facebook muss nachbessern

Vor allem diesem Absatz kann ich nur voll zustimmen:

2-Click-Social-Media-Buttons sind keine Lösung

heise.de hat auf seiner Website eine 2-Klick-Lösung eingeführt, die viele andere Websites übernommen haben. Damit ist es möglich, die Funktionalität von Facebook & Co erst nach einem Klick zu aktivieren (Opt-In). Doch konsequenterweise müsste auch jede Grafik, jede Werbeanzeige (die es auf heise.de auch gibt), erst per Opt-In des Besuchers bzw. der Besucherin aktiviert werden. Werden beispielsweise Google AdWords eingebunden, werden ebenfalls IP und Identifikationsmerkmale (Cookies) an Googleübertragen, die u. U. mit einem eingeloggten Google-Konto abgeglichen werden können. Da frage ich mich: Warum soll dies bei Facebook untersagt werden, bei Google aber nicht? Und wie sieht es mit Einbindung von YouTube-Videos oder Flickr-Bildergalerien aus? Bei beiden werden ebenfalls per Skripte fremde Serverinhalte eingebunden, die ein Bewegungsprofil ermöglichen. Konsequenterweise müsste auch dies nur per Opt-In, also Zwei-Klick-Lösung eingebunden werden.

Überraschen deshalb, finde ich, weil wohl keine technischen Änderungen (außer der schon bekannten IP Anonymisierung) vorgenommen wurden.

Die Übertragung (zumindest der Anstoß dazu) der vollständigen der IP an Google zum Abrufen des Javascripts scheint somit also auch problemlos möglich.

Diese Sichtweise ist, auch im Hinblick auf die Einbindung von (social) Plug-Ins wie dem facebook “gefällt-mir”-Button, durchaus Interessant.

Die Pressemeldungen:

Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html

Google: http://conversionroom-de.blogspot.com/2011/09/deutsche-datenschutzbehorden-bestatigen.html

Auf der Fahrt zu einer Datenschutztagung habe ich einen kleinen Zwischenstopp bei McDonalds gemacht und mir dort ein Menu bestellt. (BTW: Warum gibt es eigentlich keine Shoko-Michshakes mehr?).

Ungefragt erhielt ich beim Bezahlen einen Tankgutschein für Shell für 2 Cent Rabatt pro Liter. Also einen deutlichem Zusatz-/Mehrwert  welchen ich bei Shell (und somit nicht bei dem überreichenden  Unternehmen) einlösen kann.

Das ist für mich analog zum Einblenden der 2-Klick-Lösung des Social-Network-Button (facebook, google+, twitter, …) wie dies bspw. auf meiner Seite werning.com aber auch bei heise und Jens Ferner gemacht wird. Hier macht der Seitenbetreiber dem Besucher einen Vorschlag weitere Daten von einem anderen Unternehmen zu laden, um dortweitere Funktionen in Anspruch zu nehmen.

Wenn ich, zurück zum Gutschein, nun die nächste Shell Tankstelle anfahre und dort auf das Grundstück fahre, werde ich durch die Videoüberwachung der Tankstelle erfasst. Auch ohne dort Kunde zu sein. Analog wird bei einem Klick auf die o.g. Lösung die IP an den Dienstanbieter übertragen (NICHT durch den Seitenbetreiber!) und dort erfasst und evtl. sogar gespeichert.

Erst wenn der Seitenbesucher bei diesem Dienst angemeldet und registriert ist, können von diesem Dienstanbieter, nicht aber vom Seitenbetreiber, weitere personenbezogene Daten zusammengeführt werden. Das könnte auch die Tankstelle wenn ich dort tanke und bspw. mit Kreditkarte bezahle.

Wenn aber der Seitenbetreiber für die Datenerhebung auf der Zielseite des Plug-In-Anbieters verantwortlich ist, obwohl dieser Seitenbetreiber keinerlei Daten erhebt oder verarbeitet, dann müsste im Umkehrschluss auch, bei obigem Beispiel, McDonalds für die Datenerhebung durch die Videoüberwachung an den Tankstellen verantwortlich sein.

Klingt komisch?

Wird aber im Arbeitspapier des ULD durchaus so formuliert:  Arbeitspapier (5.2.3, S. 17)

„Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat.“

Update 12-09-2011:

In einigen Kommentaren und Mails kommen die Hinweise, dass dieses Beispiel sehr weit hergeholt sein. Das mag sein. Das Beispiel ist auch bewusst provozierend gewählt – aber eben aus dem realen Leben.

Natürlich ist es richtig, dass für den facebook.Button (und dem +1 sowie andere externe Scripte) das Telemediengesetz gilt. Sehe ich auch so und ich sehe hier auch vor allem den §13 Absatz 5 betroffen:

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

Nichts anderes geschieht meines Erachtens und nichts anderes ist also meiner Meinung nach notwendig.

Die Frage der Verantwortlichkeit für die Datenerhebung bleibt aber und diese sehe ich, insbesondere durch den oben zitierten Absatz aus dem Arbeitspapier des ULD, anders als das ULD nicht beim Seitenbetreiber.

Ich bin gespannt wie es weitergehen wird und freue mich weiterhin über regen Austausch, gerne auch hier in den Kommentaren.

Nachdem nun das Wochenende vorbei ist und die Diskussionen zur aktuellen Veröffentlichung des ULD trotzdem nicht nachlassen sondern eher noch an Fahrt aufnehmen („facebook verbieten“ vs. „wer schützt uns vor den Datenschützern“) schreibe ich als aktiver Nutzer von facebook und trotzdem Datenschützer nun doch etwas.

„Gefällt-mir“-Button

Erstmal zum „Gefällt-mir“-Button von facebook. Es geht nicht nur um den facebook-Button. Es geht um die Einbindung externer Scripte. An dem facebook-PlugIn wird diese nun exemplarisch und sehr deutlich vorgetragen. Dies ist auch nicht neu sondern auf die Problematik wurde schon 2009! Hingewiesen: http://www.werning.com/blog/2009/12/verbot-von-externen-js-scripts/

Das Problem ist in diesem Fall die IP-Adresse welche IMMER übertragen werden muss wenn externe Scripte oder Dateien in einer Internetseite eingebunden werden.

Nur so funktioniert das Internet. (Die Sendung mit der Maus – Wie funktioniert das Internet http://www.youtube.com/watch?v=8PNRrOGJqUI)

Durch die Einbindung eines solchen Scripts erhält der Browser des Seitenbesuchers aber nur die Information, an welcher Stelle im Internet er sich weitere Daten herunterladen soll. Diese Stelle nimmt dann unter Umständen eine eigene Verarbeitung (von evtl. auch personenbezogenen Daten) vor wenn der Nutzer dies durch die Einstellungen in seinem Browser zulässt. Hierauf hat der Seitenbetreiber aber weder Einflussmöglichkeit noch erhebt oder verarbeitet der Seitenbetreiber (in der Regel) hierdurch selbst Daten.

Allenfalls vermittelt er zischen zwei Parteien (hier Seitenbesucher und facebook) damit diese eine eigene Kommunikation außerhalb seines Einflussbereiches starten können.

Dies schreibt auch das ULD so in seinem aktuellen Arbeitspapier:

https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (Seite 17)

“Social-Plugins von Facebook auf der Webseite eines Drittanbieters haben zur Folge, dass bei deren Verwendung eine direkte Kommunikation zwischen dem Rechner des Nutzenden und Facebook aufgebaut wird. Eine direkte Datenerhebung und -speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Webseite die Datenweitergabe an Facebook initiiert und in der Hand hat. Facebook liefert mit seinem Software-Angebot eine Voraussetzung für die Datenübermittlung, trägt aber nicht die Alleinverantwortung für die konkreten Weitergaben.”

Wirklich aktiv fließen also nur dann personenbezogene Daten wenn die IP-Adresse als solche angesehen wird (oder wenn der Besucher bei facebook aktiv angemeldet ist. Dann jedoch fließen nur Daten innerhalb des facebook-Netzes.)

Dass die IP-Adresse generell personenbezogen ist, ist derzeit durchaus noch nicht abschließend geklärt. (23. Tätigkeitsbericht 2009 – 2010 des BfDI, S. 52  – http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/23_TB_09_10.pdf)

„Immer noch: Der Dissenz bei IP-Adressen“

Wenn man nun davon ausgeht, dass – wenn überhaupt -  „nur“ eine Vermittlung zur Datenverarbeitung zustande kommt auf welche der vermittelnde Webseitenbetreiber weder Einfluss noch Zugriff hat, so kommt m.E. nur §13 TMG Absatz 5 zu Tragen:

„Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.“

Es geht also nicht um Einwilligung die gar noch zu protokollieren oder zu wiederrufen ist sondern rein um die Information.

Daher halte ich die folgende Möglichkeit für den „gefällt-mir“, „google +1“ oder andere „Share-Button“ durchaus für praktikabel. Hierbei werden die Scripte erst nach einem aktiven Klick auf einen Informationstext eingebunden (um erst dann die IP-Adresse nach extern Übermitteln zu lassen).

Bei einer „Share“-Funktion wird der Seitenbesucher diesen Klick auch vornehmen wenn dieser die Funktion nutzen möchte. Bei Werbeanzeigen wie Google-Adsense oder anderen Affiliateprogrammen besteht aber die gleiche Problematik. Warum aber sollte hier jemand klicken um die Werbeeinblendung zu aktivieren?

Und warum sollte etwas für facebook verboten sein was für andere Anbieter erlaubt ist?

Wie 2009 schon geschrieben: Das Verbot zur Einbindung externer Scripte gefährdet das Internet in seiner heutigen Form – zumindest wären viele Dienste für deutsche Unternehmen nicht mehr nutzbar und ein gravierender Standortnachteil.

facebook Unternehmensseiten

Aber, und das wird in den Berichten derzeit oft gar nicht erwähnt, auch gegen facebook-Fanpages von Unternehmen geht das ULD vor und fordert die Unternehmen auf, diese abzuschalten.

Dabei findet hier m.E. erst Recht keinerlei Datenverarbeitung durch die Unternehmen statt. Diese stellen in einem Bereich des facebook-Netzwerkes redaktionelle Inhalte und/oder Informationen bereit. Diese kann der Besucher nur erreichen, wenn dieser sich auf die Seiten von facebook begibt.

Bindet das Unternehmen dann weitere Inhalte ein, bspw. ein Gewinnspiel, so geschieht dies mittels iframe. Die Inhalte dieses iframe liegen nun gerade nicht bei facebook (was eine sehr sinnvolle Trennung ist). Das Unternehmen kann nicht auf weitere Daten im facebook-Netz zugreifen und facebook kann nicht auf die Daten innerhalb des iframe (bspw. des Gewinnspiels) zugreifen.

Auch die zur Verfügung gestellten Statistiken sind eher gering. Ich sehe nur wie oft ist etwas getauscht worden oder wie viele Zugriffe hatte die Facebook-Unternehmensseite. Hinzu kommen demoskopische Daten wie Altersblöcke, Geschlecht und Orte. (Also wesentlich weniger detailliert wie bspw. die sehr personenbezogene Auswertung bei Xing wo ich genau sehen kann welche Person mein Profil besucht hat.)

Meiner Meinung nach findet also durch eine facebook-Unternehmensseite keinerlei personenbezogen Datenverarbeitung statt.

Es werde Inhalte auf einer Plattform zur Verfügung gestellt. So wie dies auch bei einer Zeitschrift der Fall wäre. Auch dort kann ich redaktionelle Inhalte einstellen oder zu einem Gewinnspiel aufrufen. Zusätzlich erhalte ich Informationen über die Zahl der Erscheinungen der Zeitschrift, die Anzahl der Abonnenten und evtl. demoskopische Kriterien der Zielgruppe.

Dadurch, dass ich einen redaktionellen Inhalt einstelle, kann ich ja nicht für einen eventuellen Datenschutzverstoß des Verlages haftbar gemacht werden. Wäre dem so, würde ich wahrscheinlich auch für die evtl. Datenschutzverstöße der Bahn haftbar wenn ich meinen Mitarbeiter mit dieser zum Kunden schicke.

Natürlich bin ich als Unternehmen verantwortlich wenn ich dort (bei der facebook-Unternehmensseite oder durch das Gewinnspiel in der Zeitschrift) weitere Daten erhebe.

Konsequenz:

Das ULD schreibt in seinem Arbeitspapier:

https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (Seite 25)

Als erster Schritt sind die Seitenbetreiber allgemein darauf hinzuweisen, dass das Betreiben einer Fanpage und die Einbindung von Social-Plugins von Facebook zwangsläufig zu Datenschutzverstößen führt, verbunden mit der Aufforderung, die Nutzung dieser Facebook- Anwendungen für die Zukunft zu unterlassen.

Damit schieß das ULD meiner Meinung nach weit übers Ziel hinaus. Sicherlich Bedarf das Datenschutzgesetz, gerade was die neuen Medien angeht, dringend einer Überarbeitung. Dies allerdings durch eine solche Auslegung und Druck auf Unternehmen einzufordern halte ich für wenig hilfreich und, so zeigen ja die Diskussionen, schwächt die Position des Datenschutzes und der Datenschutzbeauftragen in der Wirtschaft enorm.

Das ULD, und die weiteren Aufsichtsbehörden, täten meiner Meinung nach gut daran, der Wirtschaft praktikabel Lösungsvorschläge anzubieten um im globalen Umfeld auch bei Einhaltung des Datenschutzes bestehen zu können.

Zusätzlich wäre es gut, wenn die UNABHÄGIGEN Aufsichtsbehörden Ihre Position nutzen würden, um gegenüber der Politik und dem Gesetzgeber mit dem nötigen (und mindestens beim ULD vorhandenen) Sachverstand aktiv für eine Gesetzesüberarbeitung sorgen würden.

In der Pressemitteilung heisst es ausserdem:

https://www.datenschutzzentrum.de/presse/20110819-facebook.htm

“Den Nutzerinnen und Nutzern im Internet kann das ULD nur den Ratschlag geben, ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen. Die Profile sind personenbezogen; Facebook fordert von seinen Mitgliedern, dass diese sich mit ihrem Klarnamen anmelden.”

Ja, natürlich sind diese facebook-Profile personenbezogen. Das ist Sinn eines solchen Netzes. Eine solche Warnung kommt mir vor, als wenn jemand den Badenden am FKK Strand empfiehlt sich anzuziehen weil sonst jeder sieht wie nackt sie sind.

Bei einigen Datenschützern und auch Aufsichtsbehörden scheint derzeit die Meinung zu herrschen, die Menschen müssten vor sich selbst geschützt werden.

Es gibt aber durchaus Menschen, ich zähle mich dazu, die Informationen im vollen Bewusstsein bei facebook einstellen um diese mit anderen zu teilen (was der Sinn und überall auch die Aussage von facebook ist).

Ja, mir ist sehr bewusst, dass alles was ich bei facebook (oder google-plus, oder ….) einstelle für alle sichtbar ist. Das ist auch gut so. Das ich das so machen und frei entscheiden kann wird mir vom Grundgesetz Artikel 2 auch garantiert:

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

Ich hoffe die weitere Diskussion und insbesondere die weiteren Handlungen werden von allen Beteiligten mit entsprechender Umsicht angegangen. Zumal mir persönlich auch nicht klar ist, warum das ULD so harsch an die Sache (und an die Unternehmen) herangeht.

Es gibt reichlich Unternehmen für die eine Präsenz bei facebook in Form einer Unternehmensseite und die aktive Weiterverbreitung durch „Share“-Button existenziell sind und die eben nicht das Geld oder das Personal haben um im Falle eines Bußgeldes oder einer Abmahnung dies durch alle Gerichtsinstanzen zu bringen um zu einer Klärung endgültigen beizutragen.

Weitere Informationen und rechtliche Analysen:

https://www.datenschutzzentrum.de/facebook/

http://klawtext.blogspot.com/2011/08/facebook-button-verboten-bugeld-droht.html

http://www.pottblog.de/2011/08/19/video-fanpages-bei-facebook-datenschutzwidrig-interview-mit-moritz-karg-vom-unabhangigen-landeszentrum-fur-datenschutz-uld/

http://socialmediarecht.wordpress.com/2011/08/19/wichtig-schleswig-holsteinisches-datenschutzzentrum-droht-mit-busgeldbescheiden-fur-verwender-von-facebook-social-plugins-und-fanpages/

http://www.lawblog.de/index.php/archives/2011/08/19/schleswig-holstein-bald-facebook-freie-zone/

http://blawg.legalit.de/2011/08/22/facebook-diskussion-im-jurafunk-beim-2-kieler-barcamp/

http://www.ferner-alsdorf.de/2011/08/datenschutz-facebook-bussgeld-webseite-datenschutzrecht/wettbewerbsrecht/strafrecht/rechtsanwalt/verkehrsrecht/

http://www.internet-law.de/2011/08/wie-geht-es-weiter-mit-dem-datenschutz.html

http://www.computerundrecht.de/media/2011_08-22_Haerting_Oeffentlichkeitsarbeit_einer_Landesbehoerde.pdf

Nun ja, ich auf auf eine europäische Überarbeitung…

Hier nun die Quellen zu insbesondere rechtlichen Bewertungen und Diskussionen:

https://www.datenschutzzentrum.de/facebook/

http://klawtext.blogspot.com/2011/08/facebook-button-verboten-bugeld-droht.html

http://www.pottblog.de/2011/08/19/video-fanpages-bei-facebook-datenschutzwidrig-interview-mit-moritz-karg-vom-unabhangigen-landeszentrum-fur-datenschutz-uld/

http://socialmediarecht.wordpress.com/2011/08/19/wichtig-schleswig-holsteinisches-datenschutzzentrum-droht-mit-busgeldbescheiden-fur-verwender-von-facebook-social-plugins-und-fanpages/

http://www.lawblog.de/index.php/archives/2011/08/19/schleswig-holstein-bald-facebook-freie-zone/

In der Diskussion vieleicht auch beachtenswert:

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

Grundgesetz, Artikel 2

Informationen zum Einkommen sind Voraussetzung zur Leistungsberechnung in unserem Sozialsystem. Das Verfahren zur Erstellung elektronischer Entgeltnachweise (ELENA) sollte auf der Grundlage eines Bundesgesetzes die beim Arbeitgeber in elektronischer Form vorliegenden Entgeltdaten der Arbeitnehmer möglichst einfach und schnell elektronisch an die Behörden übermitteln, die diese Daten zur Leistungsberechnung brauchen.

Aus Datenschutzsicht war vor Allem zu bemängeln, dass mit diesem Verfahren eine zentrale Datei mit sehr sensiblen Daten (Einkommensdaten) geschaffen werden sollte, die für viele Bürgerinnen und Bürger nie in Anspruch genommen würde – für all jene nämlich, die in ihrem Leben niemals Sozialleistungen in Anspruch nehmen würden. U.a. deswegen haben zahlreiche Bürger Verfassungsbeschwerde gegen dieses Gesetz erhoben.

Mit dem heutigen Datum haben nun das Bundesministerium für Wirtschaft und Technologie und das Bundesministerium für Arbeit und Soziales überraschend verkündet, dass sie das ELENA-Verfahren schnellstmöglich einstellen wollen.

Grund sei die fehlende Verbreitung der qualifizierten elektronischen Signatur. Umfassende Untersuchungen hätten jetzt gezeigt, dass sich dieser Sicherheitsstandard, der für das ELENA-Verfahren datenschutzrechtlich zwingend geboten sei, trotz aller Bemühungen in absehbarer Zeit nicht flächendeckend verbreiten werde. Hiervon hänge aber der Erfolg des ELENA-Verfahrens ab.

Die bisher gespeicherten Daten sollen unverzüglich gelöscht und die Arbeitgeber von den bestehenden elektronischen Meldepflichten entlastet werden. Das Bundesministerium für Wirtschaft und Technologie hat angekündigt, in Kürze einen entsprechenden Gesetzentwurf vorzulegen.

Ein in seiner Wirkung zweifelhaftes und aufwändiges Vorhaben mit hohem Gefährdungspotential für den Datenschutz wird damit begraben. Aus der Sicht des Datenschutzes ist diese Ankündigung sehr zu begrüßen.

Technisch mehr als Interessant wie hochauflösend ein solches Foto ist. Ebenso interessant ist wie gut (und untechnisch) die Personenerkennung funktioniert.

So kann einfach jeder, der eine Person auf diesem Foto erkennt, dieses “taggen” (markieren” und mit dem passenden facebook-Profil verbinden.

Interessant und erschreckend… Ich persönlich finde es grenzwertig und bin gespannt, wann die Polizei solche Aufnahmen von Demonstrationen, Fußballstadien, etc. macht und “taggen” (markieren) lässt.

Udo Vetter berichtet im www.lawblog.de über eine ähnliche Aktion vom Glastonbury Festival.

Habt Ihr euch auf solchen Fotos schon erkannt? Wie findet Ihr das?

Die Masche ist die typische Phishingmail-Masche. Eine täuschend echt aussehende E-Mail verführt dazu, den darin befindelichen Link anzuklicken welcher vermeintlich auf die (ebenso täuschend ähnlich gemachte) LogIn-Seite führt.

Wird dort nun der Benutzername und das Passwort eingegeben werden diese Daten von den Angreifern abgefangen und diese können dann den Account für Ihre eigenen Zwecke nutzen.

Erkennen kann man die Mails schon anhand der MouseOver-Meldung. Geht man mit dem Mauszeige auf den Link so zeigt dieser (kurz) an wohin der Link wirklich führt.

Bspw. Statt zu facebook.com geht es im oberen Bild zu carross… .ch

Ähnliche Phishingmails sind auch für die Dienste Onlinebaning, ebay, amazon, etc. sehr häufig.

Einfach unter tweetdeck die Einstellungen aufrufen und dort “Accounts” auswählen.

Nun einfach auf “facebook” klicken und es erscheint folgendes Fenster:

Entweder kann man nun direkt die “pages” anwählen oder über “Add Pages” hinzufügen.

Um einen Eintrag auf der Seite vorzunehmen kanndie jeweilige Seite jeweils aktiviert werden: