Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

April 23 2013

Bayerischer Datenschutzbeauftragter rügt Behörden wegen Social Plugins

Der Bayerische Landesbeauftragte für den Datenschutz hat 66 bayerische Behörden bzw. öffentliche Stellen aufgefordert, die direkte Einbindung von Social Plugins – wie den Gefällt-Mir-Button von Facebook – in ihren Internetauftritt zu unterlassen.

Nach Auffassung der Datenschutzbehörde ist die Einbindung von Social Plugins in die eigene Website datenschutzwidrig. In einer Orientierungshilfe für öffentliche Stellen erläutert der Datenschutzbeauftragte seine Rechtsauffassung folgendermaßen:

Durch eine bloße direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich eine entsprechende (Mit-)Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorgaben des Telemediengesetzes, beispielsweise §§ 12, 13 TMG, von dieser Behörde nicht erfüllt.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Diese Vorgaben des Bayerischen Datenschutzbeauftragten gelten unmittelbar nur für Behörden und öffentliche Stellen, da der Datenschutzbeauftragte in Bayern nur für den öffentlichen Bereich zuständig ist. Für Private, insbesondere Unternehmen, ist in Bayern das Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde. In einigen anderen Bundesländern existiert diese gesplittete Zuständigkeit nicht, dort ist vielmehr der Landesdatenschutzbeaftragte sowohl für den öffentlichen als auch den nichtöffentlichen Bereich zuständig.

December 16 2011

Neuer juristischer Aufsatz zum Streitthema Like-Button

Ein neuer Aufsatz von Lennart Schüßler (AnwZert ITR 24/2011, Anm. 2 – nur vorübergehend online!) bestätigt die bisherige kritische Haltung der juritsischen Fachliteratur zur Position des ULD und des Düsseldorfer Kreises.

Die im sog. Düsseldorfer Kreis zusammengeschlossenen Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich haben sich kürzlich der Ansicht des ULD angeschlossen, wonach ein Webseitenbetreiber, der den Facebook-Like-Button in seine Website einbindet, (ebenfalls) gegen das Datenschutzrecht verstoßen soll.

Dem widerspricht Schüßler und weist zu Recht darauf hin, dass das deutsche Datenschutzrecht kein „Veranlasserprinzip“ kennt. Der Düsseldorfer Kreis und das ULD nehmen laut Schüßler aus Wertungsgesichtspunkten eine Verantwortlichkeit des Wesbeitenbetreibers an, die sich auf Grundlage des TMG, BDSG und der Datenschutzrichtlinie nicht begründen lässt.

Das deckt sich mit meiner Einschätzung, die ich hier im Blog bereits mehrfach geäußert hat. Der Düsseldorfer Kreis und das ULD betreiben letztlich Rechtspolitik und zwar in einer Art und Weise, wie sie mit der geltenden Rechtslage nur schwer in Einklang zu bringen ist. Das Papier des Düsseldorfer Kreises lässt eine überzeugende juristische Begründung auch vermissen.

December 09 2011

(Kein) Datenschutz in sozialen Netzwerken

Der sog. Düsseldorfer Kreis – das Treffen der obersten Datenschutzbehörden für den nichtöffentlichen Bereich – hat sich in einem neuen Papier der Haltung des ULD zu sozialen Netzwerken und Social-Plugins angeschlossen.

Die Grundaussage, wonach auch soziale Netzwerke die außerhalb des europäischen Wirtschaftsraums ansässig sind, deutsches Datenschutzrecht zu beachten haben, halte ich für rechtlich zutreffend. Dass speziell das Angebot von Facebook allerdings weit davon entfernt ist, mit deutschem und europäischem Datenschutzrecht konform zu sein, ist andererseits offensichtlich. Möglicherweise wird die EU künftig effektiver gegen dieses Vollzugsdefizit vorgehen, sollte das Datenschutzrecht tatsächlich in einer EU-Verordnung geregelt werden, weil dann wegen der Datenschutzverstöße großer amerikanischer Player wie Google oder Facebook auch mit spürbaren Bußgeldern gerechnet werden kann.

Zu den zuletzt äußerst umstrittenen Themen der Einbindung von Social-Plugins und des Betreibens von Facebook-Fanseiten schreibt der Düsseldorfer Kreis:

In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Daten- verarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.

Auch wenn ich die Bedenken des Düsseldorfer Kreises nachvollziehen kann, entspricht diese Aussage meines Erachtens nicht der geltenden Rechtslage. Denn eine irgendwie geartete (Störer-)Verantwortlichkeit kennt das deutsche Datenschutzrecht nicht. Adressat des BDSG und des TMG ist vielmehr die verantwortliche Stelle (§ 3 Abs. 7 BDSG), die allerdings auch ein Mindestmaß an Datenhoheit inne haben muss. Und daran fehlt es bei Webseitenbetreibern die Social-Plugins einbinden und auch bei Facebook-Fansites.

Die Haltung des Düsseldorfer Kreises wirft letztlich die Frage auf, ob diese Verantwortlichkeit nicht jeden Inhaber eines Facebookprofils treffen müsste, nachdem bereits der Betrieb einer Facebook-Fanseite ausreichend für die Begründung einer datenschutzrechtlichen Verantwortung sein soll. Die einzige Einschränkung die die Datenschutzbehörden machen, ist nur noch die Stellung als Unternehmen. Aber auch das ist letztlich inkonsequent, denn das BDSG ist nur dann nicht anwendbar, wenn die Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Das kann man – wenn man der Logik des Düsseldorfer Kreises folgt –  aber für die Mitwirkung an einer Datenverarbeitung, die für unternehmerische Zwecke von Facebook erfolgt, ganz bestimmt nicht annehmen.

Die Haltung des Düsseldorfer Kreises ist deshalb, wie so häufig, inkonsequent. Konsequent zu Ende gedacht, hätte man nämlich formulieren müssen, dass ein Facebookprofil generell nicht mit deutschem Datenschutzrecht vereinbar ist. Denn man wirkt damit an der unzulässigen Datenverarbeitung von Facebook mit. Was für Fanpages von Facebook gilt, muss letztlich auch für jeden beliebigen Account gelten. Die sich aufdrängende Schlussfolgerung, dass 20 Millionen deutsche Facebooknutzer sich nicht datenschutzkonform verhalten, wollte der Düsseldorfer Kreis dann aber offenbar doch nicht ziehen, zumal auch Menschen wie der Bundesdatenschutzbeauftragte Facebookprofile haben.

Ob sich dieses Dilemma jemals vernünftig auflösen wird, darf man übrigens bezweifeln. Denn die Währung in der der Nutzer von sozialen Medien wie Facebook oder Google+ bezahlt, heißt personenbezogene Daten. Es entspricht gerade dem Geschäftsmodell von Facebook und Google+ möglichst viele Nutzerdaten zu erheben und diese auch entsprechend zusammenzuführen, um damit das Nutzerverhalten zu analysieren. Gleichzeitig wird dem Nutzer der Umfang der Datenerhebung und vor allen Dingen der Weiterverarbeitung und Zusammenführung von Daten natürlich gezielt verschwiegen.

Die Durchsetzung eines Datenschutzregimes auf deutschem Niveau würde das Geschäftsmodell von Facebook oder Google+ zerstören. Für datenschutzfreundliche soziale Medien müsste der Nutzer nämlich in einer anderen Währung bezahlen, die Euro oder Dollar heißt.

Diese  Zusammenhänge und Mechanismen sollten sich nicht nur die Datenschutzbehörden vor Augen führen, sondern gerade auch wir Nutzer.

October 21 2011

Wissenschaftlicher Dienst des Bundestages zu Facebook-Like-Button

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

August 20 2011

Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten” alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

September 30 2010

Social Plugins und Datenschutz

Mit der Frage, ob der Like-Button von Facebook datenschutzkonform auf einer externen Website eingebunden werden kann, beschäftigt sich ein Aufsatz von Michael Marc Maisch (AnwZert ITR 19/2010, Anm. 2), den es gerade als kostenlose Leseprobe (vermutlich nur für kurze Zeit) gibt.

Maisch stellt klar, dass derjenige, der den Like-Button auf seine Website einbindet, verantwortliche Stelle im datenschutzrechtlichen Sinne des § 13 TMG ist. Weil, wie Maisch es ausdrückt, der Like-Button eine intransparente „Black-Box“ darstellt, kann der Betreiber der Website nicht über Art, Umfang und Zwecke der Datenverarbeitung aufklären oder gemäß § 13 Abs. 7 TMG i.V.m. § 34 BDSG Auskunft erteilen, weil die Datenübermittlung und Datenverarbeitung letztlich ja durch Facebook erfolgt. Maisch rät daher von der Einbindung des Like-Buttons ab. Das entspricht im Ergebnis auch meiner Einschätzung.

July 23 2010

Einbindung des Facebook “Like-Buttons” nicht datenschutzkonform

Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbig und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform “hamburg.de” den “Like-Button” wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.

Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button “gefällt mir” auch auf externen Websites außerhalb der Facebookplattform einzubinden.

Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die “Facebook Ireland Limited” ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.

Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.

Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.

Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe “gefällt mir” Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.

Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht.  Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten.  Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.

Die Verwendung des “Like-Buttons” von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.

Reposted bykrekk krekk
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl