Bei der aktuellen Diskussion zum Facebook gefällt-mir Button bzw. der generellen Einbindung von externen Scripten, zu der ich hier und hier schon etwas geschrieben habe, sind mir gestern ein paar vielleicht neue Punkte aufgefallen, welche die Brisanz an dieser Thematik, auch außerhalb des Internet, zeigen.

Auf der Fahrt zu einer Datenschutztagung habe ich einen kleinen Zwischenstopp bei McDonalds gemacht und mir dort ein Menu bestellt. (BTW: Warum gibt es eigentlich keine Shoko-Michshakes mehr?).

Ungefragt erhielt ich beim Bezahlen einen Tankgutschein für Shell für 2 Cent Rabatt pro Liter. Also einen deutlichem Zusatz-/Mehrwert  welchen ich bei Shell (und somit nicht bei dem überreichenden  Unternehmen) einlösen kann.

Das ist für mich analog zum Einblenden der 2-Klick-Lösung des Social-Network-Button (facebook, google+, twitter, …) wie dies bspw. auf meiner Seite werning.com aber auch bei heise und Jens Ferner gemacht wird. Hier macht der Seitenbetreiber dem Besucher einen Vorschlag weitere Daten von einem anderen Unternehmen zu laden, um dortweitere Funktionen in Anspruch zu nehmen.

Wenn ich, zurück zum Gutschein, nun die nächste Shell Tankstelle anfahre und dort auf das Grundstück fahre, werde ich durch die Videoüberwachung der Tankstelle erfasst. Auch ohne dort Kunde zu sein. Analog wird bei einem Klick auf die o.g. Lösung die IP an den Dienstanbieter übertragen (NICHT durch den Seitenbetreiber!) und dort erfasst und evtl. sogar gespeichert.

Erst wenn der Seitenbesucher bei diesem Dienst angemeldet und registriert ist, können von diesem Dienstanbieter, nicht aber vom Seitenbetreiber, weitere personenbezogene Daten zusammengeführt werden. Das könnte auch die Tankstelle wenn ich dort tanke und bspw. mit Kreditkarte bezahle.

Wenn aber der Seitenbetreiber für die Datenerhebung auf der Zielseite des Plug-In-Anbieters verantwortlich ist, obwohl dieser Seitenbetreiber keinerlei Daten erhebt oder verarbeitet, dann müsste im Umkehrschluss auch, bei obigem Beispiel, McDonalds für die Datenerhebung durch die Videoüberwachung an den Tankstellen verantwortlich sein.

Klingt komisch?

Wird aber im Arbeitspapier des ULD durchaus so formuliert:  Arbeitspapier (5.2.3, S. 17)

„Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat.“

 

Update 12-09-2011:

In einigen Kommentaren und Mails kommen die Hinweise, dass dieses Beispiel sehr weit hergeholt sein. Das mag sein. Das Beispiel ist auch bewusst provozierend gewählt – aber eben aus dem realen Leben.

Natürlich ist es richtig, dass für den facebook.Button (und dem +1 sowie andere externe Scripte) das Telemediengesetz gilt. Sehe ich auch so und ich sehe hier auch vor allem den §13 Absatz 5 betroffen:

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

Nichts anderes geschieht meines Erachtens und nichts anderes ist also meiner Meinung nach notwendig.

Die Frage der Verantwortlichkeit für die Datenerhebung bleibt aber und diese sehe ich, insbesondere durch den oben zitierten Absatz aus dem Arbeitspapier des ULD, anders als das ULD nicht beim Seitenbetreiber.

Ich bin gespannt wie es weitergehen wird und freue mich weiterhin über regen Austausch, gerne auch hier in den Kommentaren.