Nachdem nun das Wochenende vorbei ist und die Diskussionen zur aktuellen Veröffentlichung des ULD trotzdem nicht nachlassen sondern eher noch an Fahrt aufnehmen („facebook verbieten“ vs. „wer schützt uns vor den Datenschützern“) schreibe ich als aktiver Nutzer von facebook und trotzdem Datenschützer nun doch etwas.

 

„Gefällt-mir“-Button

Erstmal zum „Gefällt-mir“-Button von facebook. Es geht nicht nur um den facebook-Button. Es geht um die Einbindung externer Scripte. An dem facebook-PlugIn wird diese nun exemplarisch und sehr deutlich vorgetragen. Dies ist auch nicht neu sondern auf die Problematik wurde schon 2009! Hingewiesen: http://www.werning.com/blog/2009/12/verbot-von-externen-js-scripts/

Das Problem ist in diesem Fall die IP-Adresse welche IMMER übertragen werden muss wenn externe Scripte oder Dateien in einer Internetseite eingebunden werden.

Nur so funktioniert das Internet. (Die Sendung mit der Maus – Wie funktioniert das Internet http://www.youtube.com/watch?v=8PNRrOGJqUI)

Durch die Einbindung eines solchen Scripts erhält der Browser des Seitenbesuchers aber nur die Information, an welcher Stelle im Internet er sich weitere Daten herunterladen soll. Diese Stelle nimmt dann unter Umständen eine eigene Verarbeitung (von evtl. auch personenbezogenen Daten) vor wenn der Nutzer dies durch die Einstellungen in seinem Browser zulässt. Hierauf hat der Seitenbetreiber aber weder Einflussmöglichkeit noch erhebt oder verarbeitet der Seitenbetreiber (in der Regel) hierdurch selbst Daten.

Allenfalls vermittelt er zischen zwei Parteien (hier Seitenbesucher und facebook) damit diese eine eigene Kommunikation außerhalb seines Einflussbereiches starten können.

Dies schreibt auch das ULD so in seinem aktuellen Arbeitspapier:

https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (Seite 17)

“Social-Plugins von Facebook auf der Webseite eines Drittanbieters haben zur Folge, dass bei deren Verwendung eine direkte Kommunikation zwischen dem Rechner des Nutzenden und Facebook aufgebaut wird. Eine direkte Datenerhebung und -speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Webseite die Datenweitergabe an Facebook initiiert und in der Hand hat. Facebook liefert mit seinem Software-Angebot eine Voraussetzung für die Datenübermittlung, trägt aber nicht die Alleinverantwortung für die konkreten Weitergaben.”

Wirklich aktiv fließen also nur dann personenbezogene Daten wenn die IP-Adresse als solche angesehen wird (oder wenn der Besucher bei facebook aktiv angemeldet ist. Dann jedoch fließen nur Daten innerhalb des facebook-Netzes.)

Dass die IP-Adresse generell personenbezogen ist, ist derzeit durchaus noch nicht abschließend geklärt. (23. Tätigkeitsbericht 2009 – 2010 des BfDI, S. 52  – http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/23_TB_09_10.pdf)

„Immer noch: Der Dissenz bei IP-Adressen“

Wenn man nun davon ausgeht, dass – wenn überhaupt –  „nur“ eine Vermittlung zur Datenverarbeitung zustande kommt auf welche der vermittelnde Webseitenbetreiber weder Einfluss noch Zugriff hat, so kommt m.E. nur §13 TMG Absatz 5 zu Tragen:

Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

Es geht also nicht um Einwilligung die gar noch zu protokollieren oder zu wiederrufen ist sondern rein um die Information.

Daher halte ich die folgende Möglichkeit für den „gefällt-mir“, „google +1“ oder andere „Share-Button“ durchaus für praktikabel. Hierbei werden die Scripte erst nach einem aktiven Klick auf einen Informationstext eingebunden (um erst dann die IP-Adresse nach extern Übermitteln zu lassen).

Bei einer „Share“-Funktion wird der Seitenbesucher diesen Klick auch vornehmen wenn dieser die Funktion nutzen möchte. Bei Werbeanzeigen wie Google-Adsense oder anderen Affiliateprogrammen besteht aber die gleiche Problematik. Warum aber sollte hier jemand klicken um die Werbeeinblendung zu aktivieren?

Und warum sollte etwas für facebook verboten sein was für andere Anbieter erlaubt ist?

Wie 2009 schon geschrieben: Das Verbot zur Einbindung externer Scripte gefährdet das Internet in seiner heutigen Form – zumindest wären viele Dienste für deutsche Unternehmen nicht mehr nutzbar und ein gravierender Standortnachteil.

 

facebook Unternehmensseiten

Aber, und das wird in den Berichten derzeit oft gar nicht erwähnt, auch gegen facebook-Fanpages von Unternehmen geht das ULD vor und fordert die Unternehmen auf, diese abzuschalten.

Dabei findet hier m.E. erst Recht keinerlei Datenverarbeitung durch die Unternehmen statt. Diese stellen in einem Bereich des facebook-Netzwerkes redaktionelle Inhalte und/oder Informationen bereit. Diese kann der Besucher nur erreichen, wenn dieser sich auf die Seiten von facebook begibt.

Bindet das Unternehmen dann weitere Inhalte ein, bspw. ein Gewinnspiel, so geschieht dies mittels iframe. Die Inhalte dieses iframe liegen nun gerade nicht bei facebook (was eine sehr sinnvolle Trennung ist). Das Unternehmen kann nicht auf weitere Daten im facebook-Netz zugreifen und facebook kann nicht auf die Daten innerhalb des iframe (bspw. des Gewinnspiels) zugreifen.

Auch die zur Verfügung gestellten Statistiken sind eher gering. Ich sehe nur wie oft ist etwas getauscht worden oder wie viele Zugriffe hatte die Facebook-Unternehmensseite. Hinzu kommen demoskopische Daten wie Altersblöcke, Geschlecht und Orte. (Also wesentlich weniger detailliert wie bspw. die sehr personenbezogene Auswertung bei Xing wo ich genau sehen kann welche Person mein Profil besucht hat.)

Meiner Meinung nach findet also durch eine facebook-Unternehmensseite keinerlei personenbezogen Datenverarbeitung statt.

Es werde Inhalte auf einer Plattform zur Verfügung gestellt. So wie dies auch bei einer Zeitschrift der Fall wäre. Auch dort kann ich redaktionelle Inhalte einstellen oder zu einem Gewinnspiel aufrufen. Zusätzlich erhalte ich Informationen über die Zahl der Erscheinungen der Zeitschrift, die Anzahl der Abonnenten und evtl. demoskopische Kriterien der Zielgruppe.

Dadurch, dass ich einen redaktionellen Inhalt einstelle, kann ich ja nicht für einen eventuellen Datenschutzverstoß des Verlages haftbar gemacht werden. Wäre dem so, würde ich wahrscheinlich auch für die evtl. Datenschutzverstöße der Bahn haftbar wenn ich meinen Mitarbeiter mit dieser zum Kunden schicke.

Natürlich bin ich als Unternehmen verantwortlich wenn ich dort (bei der facebook-Unternehmensseite oder durch das Gewinnspiel in der Zeitschrift) weitere Daten erhebe.

 

Konsequenz:

Das ULD schreibt in seinem Arbeitspapier:

https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (Seite 25)

Als erster Schritt sind die Seitenbetreiber allgemein darauf hinzuweisen, dass das Betreiben einer Fanpage und die Einbindung von Social-Plugins von Facebook zwangsläufig zu Datenschutzverstößen führt, verbunden mit der Aufforderung, die Nutzung dieser Facebook- Anwendungen für die Zukunft zu unterlassen.

Damit schieß das ULD meiner Meinung nach weit übers Ziel hinaus. Sicherlich Bedarf das Datenschutzgesetz, gerade was die neuen Medien angeht, dringend einer Überarbeitung. Dies allerdings durch eine solche Auslegung und Druck auf Unternehmen einzufordern halte ich für wenig hilfreich und, so zeigen ja die Diskussionen, schwächt die Position des Datenschutzes und der Datenschutzbeauftragen in der Wirtschaft enorm.

Das ULD, und die weiteren Aufsichtsbehörden, täten meiner Meinung nach gut daran, der Wirtschaft praktikabel Lösungsvorschläge anzubieten um im globalen Umfeld auch bei Einhaltung des Datenschutzes bestehen zu können.

Zusätzlich wäre es gut, wenn die UNABHÄGIGEN Aufsichtsbehörden Ihre Position nutzen würden, um gegenüber der Politik und dem Gesetzgeber mit dem nötigen (und mindestens beim ULD vorhandenen) Sachverstand aktiv für eine Gesetzesüberarbeitung sorgen würden.

In der Pressemitteilung heisst es ausserdem:

https://www.datenschutzzentrum.de/presse/20110819-facebook.htm

“Den Nutzerinnen und Nutzern im Internet kann das ULD nur den Ratschlag geben, ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen. Die Profile sind personenbezogen; Facebook fordert von seinen Mitgliedern, dass diese sich mit ihrem Klarnamen anmelden.”

Ja, natürlich sind diese facebook-Profile personenbezogen. Das ist Sinn eines solchen Netzes. Eine solche Warnung kommt mir vor, als wenn jemand den Badenden am FKK Strand empfiehlt sich anzuziehen weil sonst jeder sieht wie nackt sie sind.

Bei einigen Datenschützern und auch Aufsichtsbehörden scheint derzeit die Meinung zu herrschen, die Menschen müssten vor sich selbst geschützt werden.

Es gibt aber durchaus Menschen, ich zähle mich dazu, die Informationen im vollen Bewusstsein bei facebook einstellen um diese mit anderen zu teilen (was der Sinn und überall auch die Aussage von facebook ist).

Ja, mir ist sehr bewusst, dass alles was ich bei facebook (oder google-plus, oder ….) einstelle für alle sichtbar ist. Das ist auch gut so. Das ich das so machen und frei entscheiden kann wird mir vom Grundgesetz Artikel 2 auch garantiert:

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

Ich hoffe die weitere Diskussion und insbesondere die weiteren Handlungen werden von allen Beteiligten mit entsprechender Umsicht angegangen. Zumal mir persönlich auch nicht klar ist, warum das ULD so harsch an die Sache (und an die Unternehmen) herangeht.

Es gibt reichlich Unternehmen für die eine Präsenz bei facebook in Form einer Unternehmensseite und die aktive Weiterverbreitung durch „Share“-Button existenziell sind und die eben nicht das Geld oder das Personal haben um im Falle eines Bußgeldes oder einer Abmahnung dies durch alle Gerichtsinstanzen zu bringen um zu einer Klärung endgültigen beizutragen.

 

Weitere Informationen und rechtliche Analysen:

https://www.datenschutzzentrum.de/facebook/

http://klawtext.blogspot.com/2011/08/facebook-button-verboten-bugeld-droht.html

http://www.pottblog.de/2011/08/19/video-fanpages-bei-facebook-datenschutzwidrig-interview-mit-moritz-karg-vom-unabhangigen-landeszentrum-fur-datenschutz-uld/

http://socialmediarecht.wordpress.com/2011/08/19/wichtig-schleswig-holsteinisches-datenschutzzentrum-droht-mit-busgeldbescheiden-fur-verwender-von-facebook-social-plugins-und-fanpages/

http://www.lawblog.de/index.php/archives/2011/08/19/schleswig-holstein-bald-facebook-freie-zone/

http://blawg.legalit.de/2011/08/22/facebook-diskussion-im-jurafunk-beim-2-kieler-barcamp/

http://www.ferner-alsdorf.de/2011/08/datenschutz-facebook-bussgeld-webseite-datenschutzrecht/wettbewerbsrecht/strafrecht/rechtsanwalt/verkehrsrecht/

http://www.internet-law.de/2011/08/wie-geht-es-weiter-mit-dem-datenschutz.html

http://www.computerundrecht.de/media/2011_08-22_Haerting_Oeffentlichkeitsarbeit_einer_Landesbehoerde.pdf