Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

April 26 2012

Über E-Zigaretten und andere behördliche Warnungen

Das OVG Münster hat entschieden (Beschluss vom 23.04.2012, Az.: 13 B 127/12), dass ein öffentlich-rechtlicher Unterlassungsanspruch gegen behördliche Warnungen bestehen kann.  Das gilt zumindest dann, wenn Äußerungen einer Behörde gegenüber Medien wie ein Verbot wirken sollen und die Behörde eine solche Wirkung auch angestrebt hat. Hierbei ist primär auf die tatsächlich entstandene Wirkung der Mitteilung abzuheben. Konkret ging es um eine Warnung des Gesundheitsministeriums in NRW vor dem Verkauf sog. E-Zigaretten.

Das Gericht führt zum öffentlich-rechtlichen Unterlassungsanspruch allgemein folgendes aus:

Der öffentlich-rechtliche Anspruch auf zukünftige Unterlassung einer getätigten Äußerung setzt voraus, dass ein rechtswidriger hoheitlicher Eingriff in grundrechtlich geschützte Rechtspositionen oder sonstige subjektive Rechte des Betroffenen erfolgt ist und die konkrete Gefahr der Wiederholung droht. Amtliche Äußerungen haben sich an den allgemeinen Grundsätzen für rechtsstaatliches Verhalten in der Ausprägung des Willkürverbots und des Verhältnismäßigkeitsgrundsatzes zu orientieren. Aus dem Willkürverbot ist abzuleiten, dass Werturteile nicht auf sachfremden Erwägungen beruhen dürfen, d. h. bei verständiger Beurteilung auf einem im Wesentlichen zutreffenden oder zumindest sachgerecht und vertretbar gewürdigten Tatsachenkern beruhen müssen, und zudem den sachlich gebotenen Rahmen nicht überschreiten dürfen (Sachlichkeitsgebot). Rechtliche Wertungen sind auf ihre Vertretbarkeit zu überprüfen. Wenn die Richtigkeit der Information noch nicht abschließend geklärt ist, hängt die Rechtmäßigkeit der staatlichen Informationstätigkeit davon ab, ob der Sachverhalt vor seiner Verbreitung im Rahmen des Möglichen sorgsam und unter Nutzung verfügbarer Informationsquellen sowie in dem Bemühen um die nach den Umständen erreichbare Verlässlichkeit aufgeklärt worden ist. Verbleiben dennoch Unsicherheiten, ist der Staat an der Verbreitung der Informationen gleichwohl jedenfalls dann nicht gehindert, wenn es im öffentlichen Interesse liegt, dass die Marktteilnehmer über einen für ihr Verhalten wichtigen Umstand, etwa ein Verbraucherrisiko, aufgeklärt werden. Es ist dann angezeigt, die Marktteilnehmer auf verbleibende Unsicherheiten über die Richtigkeit der Information hinzuweisen, um sie in die Lage zu versetzen, selbst zu entscheiden, wie sie mit der Ungewissheit umgehen wollen.

Härting zieht eine Parallele zu dem Vorgehen des ULD gegen den Facebook-Like-Button und Fanpages bei Facebook. Die Aufforderung gegenüber allen Webseitenbetreibern in Schleswig-Holstein ihre Facebook-Like-Buttons zu entfernen, verbunden mit der Androhung von Untersagungsverfügungen und Bußgeldern, stellt eine amtliche Äußerung mit Eingriffscharakter dar, so dass hiergegen grundsätzlich der Weg zu den Verwaltungsgerichten offen stehen dürfte.

January 26 2012

Datenschutzrechtlich unzulässig

Wer DoubleClick, Google AdSense oder den Facebook Like-It Button auf seiner Website benutzt, verstößt gegen deutsches Datenschutzrecht, sagt der Niedersächsische Datenschutzbeauftragte.

Allein die Verwendung des Facebook-Like-Buttons auf der eigenen Webseite kann zu Verstößen gegen sechs verschiedene Vorschriften und Rechtsgrundsätze führen. Dass das in der juristischen Literatur überwiegend anders gesehen wird, erwähnt der Landesdatenschutzbeauftragte noch nicht einmal. Aber zumindest für Google Analytics wurde eine Mogelpackung rechtskonforme Lösung gefunden, verkündet der Niedersächsische Datenschutzbeauftragte freudig. Der Mann ist auch schon mehrfach durch seine vernünftigen und praktikablen Lösungen aufgefallen.

December 16 2011

Neuer juristischer Aufsatz zum Streitthema Like-Button

Ein neuer Aufsatz von Lennart Schüßler (AnwZert ITR 24/2011, Anm. 2 – nur vorübergehend online!) bestätigt die bisherige kritische Haltung der juritsischen Fachliteratur zur Position des ULD und des Düsseldorfer Kreises.

Die im sog. Düsseldorfer Kreis zusammengeschlossenen Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich haben sich kürzlich der Ansicht des ULD angeschlossen, wonach ein Webseitenbetreiber, der den Facebook-Like-Button in seine Website einbindet, (ebenfalls) gegen das Datenschutzrecht verstoßen soll.

Dem widerspricht Schüßler und weist zu Recht darauf hin, dass das deutsche Datenschutzrecht kein „Veranlasserprinzip“ kennt. Der Düsseldorfer Kreis und das ULD nehmen laut Schüßler aus Wertungsgesichtspunkten eine Verantwortlichkeit des Wesbeitenbetreibers an, die sich auf Grundlage des TMG, BDSG und der Datenschutzrichtlinie nicht begründen lässt.

Das deckt sich mit meiner Einschätzung, die ich hier im Blog bereits mehrfach geäußert hat. Der Düsseldorfer Kreis und das ULD betreiben letztlich Rechtspolitik und zwar in einer Art und Weise, wie sie mit der geltenden Rechtslage nur schwer in Einklang zu bringen ist. Das Papier des Düsseldorfer Kreises lässt eine überzeugende juristische Begründung auch vermissen.

December 01 2011

Neues Gutachten zur Facebook-Kampagne des ULD

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit seiner Aufforderung an Webseitenbetreiber und Betreiber von Facebook-Fanpages viel Staub aufgewirbelt. Das ULD hält sowohl die Einbindung eines Facebook-Like-Buttons als auch den Betrieb einer Fanpage bei Facebook für datenschutzwidrig.

Dass ich die rechtliche Einschätzung des ULD für falsch halte, habe ich hier bereits erläutert. Auch in der juristischen Fachliteratur überwiegt bislang die Kritik. Für besonders lesenswert halte ich in diesem Zusammenhang den Beitrag des Kollegen Flemming Moos für die K&R.

Ein weiteres Gutachten des wissenschaftlichen Dienstes des Schleswig-Holsteinischen Landtags vom 24.10.2011 kommt ebenfalls zu diesem Ergebnis. Das Gutachten prüft zunächst schulmäßig die Frage, ob man bei IP-Adressen und Cookies überhaupt von personenbezogenen Daten sprechen kann und stellt insoweit den Streitstand ausführlich dar. An dieser Stelle ist die Haltung des ULD nach Ansicht des wissenschaftlichen Dienstes zwar nicht abwegig, andererseits könne angesichts der kontroversen juristischen Diskussion auch nicht ohne weiteres davon ausgegangen werden, dass die Ansicht des ULD gerichtlich bestätigt wird.

Die insoweit entscheidende Frage, ob der Betreiber einer Facebook-Fanpage bzw. einer Webseite die den Like-Button einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist, beurteilt der wissenschaftliche Dienst anders als das ULD. Zutreffend wird diesbezüglich in dem Gutachten ausgeführt, dass für die Annahme einer verantwortlichen Stelle stets ein gewisser Grad an Einflussmöglichkeit auf die tatsächlich erfolgenden Datenverarbeitungsprozesse erforderlich ist. Und genau diese Einflussmöglichkeit fehlt vollständig. Die Datenverarbeitungsprozesse werden einzig und allein von Facebook gesteuert, Betreiber von Fanpages und Websites haben hierauf keinerlei Einfluss.

Damit verfestigt sich der Trend, dass die überwiegende Mehrheit in der juristischen Fachwelt das Vorgehen des ULD für rechtswidrig hält.

 

November 04 2011

ULD: Staatskanzlei und IHK ducken sich feige weg

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit Blick auf die Einbindung des Facebook-Like-Buttons und den Betrieb von Facebook-Fanseiten den Ton deutlich verschärft, nachdem offenbar die meisten Angeschriebenen der Aufforderung des ULD nicht nachgekommen sind.

Der Landesdatenschutzbeauftragte Weichert wird in einer Pressemitteilung des ULD vom 04.11.2011 u.a. mit den Worten zitiert:

Staatskanzlei und IHK sollten sich nicht feige wegducken; sie sollten jetzt zumindest dem Gesprächsangebot des ULD folgen, das auf eine schnelle und hinsichtlich des Verfahrens einvernehmliche gerichtliche Klärung hinausläuft.

Das ist für eine Behörde eine durchaus interessante Wortwahl, zumal sie gegen die eigene Landesregierung gerichtet ist. Das ULD hat sich aber möglicherweise nicht nur im Ton vergriffen, sondern dürfte sich auch in rechtlicher Hinsicht auf dem Holzweg befinden.

Denn der Umstand, dass Facebook gegen Datenschutzrecht verstößt, führt nicht ohne weiteres dazu, dass inländische Webseitenbetreiber und Betreiber von Fanpages bei Facebook als verantwortliche Stelle der von Facebook durchgeführten Datenverarbeitung zu betrachten sind. Gerade an dieser juristisch entscheidenden Stelle, erscheint die Argumentation des ULD auch eher dürftig. Die Begründung des ULD läuft letztlich auf eine Art Störerhaftung im Datenschutzrecht hinaus, was als Novum zu betrachten wäre. Diesem Begründungsansatz des ULD ist der geschätzte Kollege Flemming Moos bereits überzeugend entgegengetreten. Die “gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetrieber bzw. Fansite-Betreiber” die das ULD zu konstruieren versucht, ist rechtlich nicht haltbar.

Die Pressemitteilung des ULD ist auch deshalb von Interesse, weil das ULD die Musterverfügung nach § 38 Abs. 5 BDSG mit Zwangsgeldandrohung sowie die Beanstandungen gegenüber der Staatskanzlei sowie gegenüber der IHK Schleswig-Holstein ins Netz gestellt hat.

Vielleicht wäre das ULD besser beraten, in Zusammenarbeit mit den anderen deutschen Datenschutzbehörden zu überlegen, wie man direkt gegen Facebook vorgeht. Denn das deutsche Datenschutzrecht gilt auch für Facebook. Das bestehende Vollzugsdefizit kann man nicht dadurch kompensieren, dass man den Sack prügelt, obwohl man den Esel meint.

November 01 2011

Land Schleswig-Holstein zweifelt an Weicherts Rechtsauffassung

Das Land Schleswig-Holstein wird seine Facebook-Fanpage weiter betreiben und der Aufforderung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zur Abschaltung ihrer Fanseite nicht nachkommen. Die Landesregierung will zwar einen Warnhinweis anbringen, zweifelt im übrigen aber erheblich an der Rechtsauffassung des Datenschutzbeauftragten.

Diese rechtlichen Zweifel werden bislang auch von der juristischen Literatur überwiegend geteilt. Auch der wissenschaftliche Dienst des Bundestages hat die Rechtsansicht des ULD kritisch beleuchtet. Die rechtliche Betrachtung hat sich bisher auf den Like-Button konzentriert und den weiteren Aspekt der Fanpages eher stiefmütterlich behandelt, obwohl das Vorgehen gegen die Fanpages rechtlich noch fragwürdiger erscheint als das gegen Webseitenbetreiber, die Like-Buttons einbinden. Wenn die Ansicht des ULD zutreffend wäre, würde dies bedeuten, dass die (geschäftliche) Nutzung von Facebook und sicherlich auch von Google+ generell datenschutzwidrig wäre. Das ULD schreibt in seiner Stellungnahme:

(…) ist der Nutzer des Dienstes Facebook (auch) als Mitverantwortlicher anzusehen, soweit er z.B. personenbezogene Inhalte Dritter einstellt. Zwar sind bei Sozialen Netzwerken Ausnahmen für den Fall „ausschließlich persönlicher oder familiärer Tätigkeiten“ anerkannt. Allerdings räumt der Nutzer laut Ziffer 2 Nr. 1 der Facebook-Nutzungsbedingungen dem Betreiber Facebook weitgehende Rechte an den Inhalten ein, so dass der persönlich-familiäre Bereich verlassen wird. Somit sind auch Betreiber von Fanpages als für die damit ausgelösten Verarbeitungsprozesse als verantwortliche Stellen anzusehen.

Vor diesem Hintergrund habe ich mich beispielsweise auch gefragt, ob dann nicht auch das Facebook-Profil des Bundesdatenschutzbeauftragten Peter Schaar – das sicherlich nicht rein privater Natur ist – als datenschutzwidrig bewertet werden müsste.

Wenn man wie das ULD den Betreiber einer Facebook-Fanseite als verantwortliche Stelle des von Facebook durchgeführten Trackings bewertet, dann sprengt man damit das Grundkonzept des geltenden Datenschutzrechts und begründet im Ergebnis eine Art datenschutzrechtlicher Störerhaftung, die gesetzlich nicht vorgesehen ist.

Man darf gespannt sein, wie die weiteren Schritte des ULD aussehen und ob es tatsächlich rechtsförmlich gegen die eigene Landesregierung vorgehen wird.

October 21 2011

Wissenschaftlicher Dienst des Bundestages zu Facebook-Like-Button

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

September 02 2011

Facebook will Datenschutz nicht verbessern

Der Facebook-Button “Gefällt mir” ist, sofern er extern eingebunden wird, seit kurzer Zeit der datenschutzrechtliche Aufreger.

Das hat der Heise-Verlag, wie ein paar andere auch, zum Anlass genommen, eine datenschutzfreundlichere Möglichkeit der Einbindung zu präsentieren. Während noch diskutiert wird, ob dem Heise-Verlag das tatsächlich gelungen ist, beschwert sich Facebook über so viel Datenschutzfreundlichkeit und macht einen Verstoß gegen Ziff. 8 seiner Nutzungsbedingungen geltend.

Facebook bringt also seine Nutzungsbedingungen in Stellung, um den eigenen Rechtsbruch aufrecht erhalten zu können. Darüber kann man schmunzeln. Man kann sich aber auch fragen, ob Heise Vertragspartner von Facebook ist, denn nur dann wäre der Verlag an die Nutzungsbedingungen gebunden. Aber selbst für diesen Fall bleibt die Frage offen, ob Facebook eine Einbindung des Like-Buttons in einer Art und Weise verlangen kann, durch die Facebook selbst gegen das Datenschutzrecht verstößt.

Facebook rudert dann aber doch wieder zurück, wie das letzte Update des Heise-Artikels belegt.

August 23 2011

Das ULD rechtfertigt sich

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat vor einigen Tagen alle Webseitenbetreiber in Schleswig-Holstein aufgefordert, den „Gefällt mir“-Button von ihren Webseiten zu entfernen und zudem Fanpages bei Facebook zu löschen.

Weil diese Aufforderung nicht nur im Netz hohe Wellen geschlagen hat, sondern auch beim ULD zu mit Sicherheit erbosten Rückfragen geführt hat, sieht sich die Datenschutzbehörde offenbar veranlasst, verschiedene Fragen zu beantworten.

Einige Kollegen sind der Ansicht, dass das ULD damit auch teilweise zurückrudern würde, nachdem man zunächst sogar die Ansicht vertreten hatte, dass die Datenverarbeitung bei Facebook nicht durch eine nach deutschem bzw. europäischem Recht wirksame Einwilligung legitimiert werden kann.

Mit der Frage, ob die juritsische Betrachtung des ULD zutreffend ist, hat sich Rechtsanwalt Stefan Schmidt im Rahmen eines Gastbeitrags für mein Blog beschäftigt.

August 22 2011

Wie geht es weiter mit dem Datenschutz?

Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation “Digitale Gesellschaft” schreibt in ihrem Blog dazu:

Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

In einem lesenswerten Beitrag von Adrian Schneider auf Telemedicus wird das Grundproblem sehr treffend auf den Punkt gebracht:
Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein.

Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

Update:
Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

August 20 2011

Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten” alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

August 19 2011

ULD: Social-Plug-Ins von Facebook müssen entfernt werden

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) fordert in einer Pressemitteilung vom 19.08.2011 alle Webseitenbetreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen, weil man nach eingehender technischer und rechtlicher Prüfung zu dem Ergebnis gelangt sei, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Das ULD droht den Diensteanbietern sogar mit Untersagungsverfügungen und Bußgeldern, sollten sie der Aufforderung nicht nachkommen.

Das ULD hat seine vollständige Analyse ebenfalls veröffentlicht.

Dass Facebook jedenfalls verpflichtet ist, deutsches Datenschutzrecht zu beachten, hatte ich gestern in einem ausführlichen Beitrag dargestellt.

May 05 2011

Auch das Kammergericht hält Like-Button nicht für wettbewerbswidrig

Das Kammergericht hat mit Urteil vom 29.04.2011 (Az.: 5 W 88/11) eine Entscheidung des Landgerichts Berlin bestätigt, wonach die Einbindung des Like-Buttons von Facebook nicht wegen Verstoß gegen die datenschutzrechtliche Vorschrift des § 13 TMG wettbewerbswidrig ist.

Das Kammergericht geht allerdings anders als das Landgericht Berlin davon aus, dass die Vorschrift des § 13 TMG eine sog. Marktverhaltensregelung im Sinne von § 4 Nr. 11 UWG darstellen kann, allerdings nur dann, wenn die Verletzungshandlung die wettbewerbsbezogene Schutzfunktion des § 13 TMG beeinträchtigt. Und das verneint das KG im konkreten Fall.

Die Begründung des Senats klingt zunächst nach höherbesoldeter Einsicht, erweist sich aber bei näherer Betrachtung als unzutreffend. Insbesondere die Bezugnahme auf eine neuere Entscheidung des BGH, wonach steuerliche Vorschriften keine Marktverhaltensregeln darstellen, überzeugt nicht. Der BGH geht nämlich in dieser Entscheidung davon aus, dass nur dann, wenn der Gesetzesverstoß nicht mit dem Marktverhalten zusammenfällt, eine wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich ist. Das verneint er für steuerrechtliche Vorschriften, denn diese betreffen nicht das Marktverhalten, sondern regeln lediglich das Verhältnis zwischen dem Hoheitsträger und dem Steuerpflichtigen.

Diese Betrachtung ist auf datenschutzrechtliche Vorschriften aber nicht übertragbar. Denn datenschutzrechtliche Normen regeln gerade auch das Verhältnis eines Unternehmens zu seinen (potentiellen) Kunden. Beide sind deshalb, jedenfalls seit der letzten Neufassung des UWG, Marktteilnehmer. Gänzlich anders ist dies beim Steuerpflichtigen und den Finanzbehörden, die sich nicht als Marktteilnehmer gegenüber stehen.

Da datenschutzrechtliche Vorschriften also schon das Verhältnis von Marktteilnehmern regeln, kommt es nicht mehr darauf an, ob sie daneben noch eine wettbewerbsbezogene Schutzfunktion erfüllen.

Die Begründung des Kammergerichts erweist sich somit als nicht tragfähig.

Ähnlich sieht das auch Jens Ferner.

March 23 2011

LG Berlin entscheidet über Facebook Like-Button

Das Landgericht Berlin (Beschluss vom 14.03.2011, Az. 91 O 25/11) musste sich mit der Frage beschäftigen, ob die Einbindung des Facebook Like-Buttons auf einer Website außerhalb von Facebook gegen die datenschutzrechtliche Vorschrift des § 13 TMG verstößt und ob dies wiederum einen Verstoß gegen das Wettbewerbsrecht darstellt.

Die datenschutzrechtliche Frage hat das Gericht erst gar nicht erörtert, weil es der Ansicht war, dass die Vorschrift des § 13 TMG keine sog. Marktverhaltensregelung im Sinne von § 4 Nr. 11 UWG darstellt und bereits deshalb ein wettbewerbsrechtlicher Verstoß nicht in Betracht kommt.

Dieses Begründung des Landgerichts Berlin ist allerdings wenig überzeugend. Das Gericht macht zunächst ganz allgemeine Ausführungen zur Frage des Vorliegens von Marktverhaltensregeln, um sich dann ohne nähere konkrete Argumentation auf ein Urteil des OLG Hamburg zu berufen, wonach die datenschutzrechtliche Vorschrift des § 28 Abs. 4 BDSG keine Marktverhaltensregelung darstellen soll, woraus das Landgericht schließt, dass dasselbe dann auch für § 13 TMG gelten müsse. An dieser Stelle versäumt das Gericht allerdings zu erwähnen, dass eine Verletzung von § 28 (und auch § 35) BDSG von mindestens zwei anderen Oberlandesgerichten (OLG Naumburg, Urteil vom 10. 10. 2003, Az.: 1 U 17/03 und OLG Stuttgart) durchaus als wettbewerbsrechtlich relevant eingestuft worden ist.

Darüber hinaus wird vom Landgericht Berlin in dieser Frage zu wenig beachtet, dass spätestens mit dem Inkrafttreten der letzten UWG-Novelle zum 30.12.2008 ein Paradigmenwechsel stattgefunden hat. Das deutsche Wettbewerbsrecht regelte bis zum Jahre 2004 ausschließlich das Verhältnis von Mitbewerbern zueinander und war ein echtes Wettbewerbsrecht. Unter dem Einfluss der EU entwickelte sich das Wettbewerbsrecht allerdings immer stärker zu einer Art  Verbraucherschutzrecht. Gerade die Richtlinie über unlautere Geschäftspraktiken, die mit der Neureglung vom 30.12.2008 umgesetzt wurde, betrifft ausschließlich unlautere Verhaltensweisen gegenüber Verbrauchern. Dieser Paradigmenwechsel zeigt sich auch daran, dass der alte Zentralbegriff der „Wettbewerbshandlung“ durch den der „geschäftlichen Handlung“ ersetzt worden ist (§ 2 Abs. 1 Nr. 1 UWG). Die geschäftliche Handlung ist deutlich weiter und umfasst alle Handlungen gegenüber Mitbewerbern und sonstigen Marktteilnehmern (z.B. Verbrauchern und potentiellen gewerblichen Kunden) vor, bei und nach Vertragsschluss. Bei der Bezugnahme auf ältere Urteile, die noch zur alten Rechtslage ergangen sind, ist daher stets Vorsicht geboten.

Vor dem skizzierten Hintergrund wird man datenschutzrechtliche Vorschriften in der Tendenz überwiegend als Marktverhaltensregeln qualifizieren müssen, zumindest dann, wenn eine Verarbeitung von Daten von Verbrauchern und/oder poteintiellen Kunden erfolgt. Genau das ist aber bei der Vorschrift des § 13 TMG, die eine Datenerhebung (bei jedem beliebigen Nutzer) im Zusammenhang mit dem Betrieb von Telemedien, also insbesondere Websites, regelt, der Fall.

Man darf die Entscheidung des Landgerichts Berlin also nicht überbewerten, zumal Grund zu der Annahme besteht, dass andere Gerichte eine abweichende rechtliche Bewertung vornehmen werden.

September 30 2010

Social Plugins und Datenschutz

Mit der Frage, ob der Like-Button von Facebook datenschutzkonform auf einer externen Website eingebunden werden kann, beschäftigt sich ein Aufsatz von Michael Marc Maisch (AnwZert ITR 19/2010, Anm. 2), den es gerade als kostenlose Leseprobe (vermutlich nur für kurze Zeit) gibt.

Maisch stellt klar, dass derjenige, der den Like-Button auf seine Website einbindet, verantwortliche Stelle im datenschutzrechtlichen Sinne des § 13 TMG ist. Weil, wie Maisch es ausdrückt, der Like-Button eine intransparente „Black-Box“ darstellt, kann der Betreiber der Website nicht über Art, Umfang und Zwecke der Datenverarbeitung aufklären oder gemäß § 13 Abs. 7 TMG i.V.m. § 34 BDSG Auskunft erteilen, weil die Datenübermittlung und Datenverarbeitung letztlich ja durch Facebook erfolgt. Maisch rät daher von der Einbindung des Like-Buttons ab. Das entspricht im Ergebnis auch meiner Einschätzung.

July 23 2010

Einbindung des Facebook “Like-Buttons” nicht datenschutzkonform

Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbig und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform “hamburg.de” den “Like-Button” wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.

Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button “gefällt mir” auch auf externen Websites außerhalb der Facebookplattform einzubinden.

Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die “Facebook Ireland Limited” ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.

Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.

Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.

Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe “gefällt mir” Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.

Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht.  Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten.  Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.

Die Verwendung des “Like-Buttons” von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.

Reposted bykrekk krekk
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.
Get rid of the ads (sfw)

Don't be the product, buy the product!

Schweinderl