Fliplife – datenschutzrechtlich gesehen

Anfang Januar war ein Wort – jedenfalls bei denjenigen, die sich dem Employer Branding und Personalmarketing verschrieben haben – immer wieder in den Timelines zu lesen: „Fliplife„. Das ist kein Wunder, lautet doch der Claim des Social Games: „Starte deine Traum-Karriere und spiele zusammen mit deinen Freunden”. Und bei all den Problemen, die die Rekrutierung geeigneten Personals derzeit (und künftig noch mehr) mit sich bringt, sind die Personaler und die Employer Brand Verantwortlichen natürlich hellhörig, ob sich hier nicht eine weitere Möglichkeit findet, um auf das eigene Unternehmen aufmerksam zu machen.

Also, was ist Fliplife eigentlich? Seit August ist dieses Social Game der Firma United Prototype Web Game GmbH als Beta-Version online. Verantwortlich zeichnen dafür die Gründer des Video-Portals Sevenload Thomas Bachem und Ibrahim Evsan. Zum Spiel-Inhalt will ich hier nur soviel sagen, es handelt sich um ein „klassisches“ Social Game, bei dem der Spieler wahlweise in die Rolle eines angehenden Koch, Journalisten, Arztes oder – seit Januar 2011 – Bayer-Wissenschaftlers schlüpfen kann. Genaueres kann zum Beispiel beim Basic Thinking Blog, im Recrutainment Blog oder im Fliplife eigenen Blog nachgelesen werden. Mein persönlichen Eindruck will ich dennoch nicht vorenthalten: Nach den ersten Minuten bei Fliplife kann ich mich den Ausführungen des Recrutainment Blogs nur anschließen, schöne Idee, aber spielerisch müsste dort einfach mehr sein, als nur den Knopf drücken und warten – zumindest wenn es für Personaler wirklich interessant werden soll. Aber wer, weiß, das Spiel ist noch jung…

Doch zurück zum Titel dieses Posts. Schließlich soll es hier um die rechtliche Komponente gehen. Da hier endlich einmal ein deutsches Social Game gestartet ist, interessiert es mich doch, ob damit im besten Sinne der deutschen Gründlichkeit auch ein vernünftiger Blick auf die rechtlichen Komponenten einer solchen Social Media Anwendung geworfen wurde oder hier das allgemeines Laissez-faire im Bereich des Social Media (Recht – who cares?) beibehalten wurde. Dabei geht es mir nicht darum, ggf. die Gründer von Fliplife oder ggf. einen Kollegen zu kritisieren (hier gilt schließlich sowieso: Zwei Juristen – drei Meinungen), sondern einfach darum, wieviel Augenmerk diesem Bereich geschenkt wurde. Dies vor allem vor dem Hintergrund als langfristig (s. Bayer) mit dieser Applikation vielleicht tatsächlich Employer Branding und/oder Personalmarketing und/oder Berufsorientierung getrieben werden soll und dies bekanntlich sehr daten-sensible Felder sind.

Das Gesamt-Urteil lautet: Not too bad. (Ich bin Hamburger, das meint eigentlich: Ganz gut.). Im Gegensatz zu den amerikanischen Kollegen von Zynga – Farmville et al. – möchte man auch „Hervorragend!“ rufen. Allein dass Fliplife die Möglichkeit bietet, ohne Facebook-Connect ins Spiel einzusteigen, zeigt, dass hier über Datenschutz nachgedacht wurde. An deutschen Maßstäben gemessen, ist an einigen Stellen aber doch der Kopf zu schütteln. Im Einzelnen:

I. Die liebe Werbung

Meinen geneigten Lesern dürfte schon bekannt sein, dass es bei der Zusendung von Email-Werbung der ausdrücklichen Zustimmung des Nutzers bedarf (Rechtliche Fallstricke bei Social Media Kampagne – Teil 2a: Unternehmens-Community)

In Ziffer 4 der Datenschutzbedingungen von Fliplife heißt es jedoch:

„Darüber hinaus nutzen wir Ihre Daten auch, um mit Ihnen zu kommunizieren. Hierzu gehört, dass wir Sie gegebenenfalls über Neuigkeiten in unserem Dienstleistungsangebot per E-Mail informieren. So verwenden wir Ihre Daten dazu, Sie regelmäßig über Produkte, Dienstleistungen und bestimmte Ereignisse aus unserem Dienstleistungsangebot zu informieren, die für Sie von Interesse sein könnten. Ebenso besteht die Möglichkeit, dass Sie im Rahmen von Kundenbefragungen von uns E-Mails zugesendet bekommen. […] Wir werden Sie im Rahmen der jeweiligen Information auf die Möglichkeit des Abbestellens hinweisen.“

Kurz und knapp heißt das: „Wir senden Ihnen Werbung zu.“ Zwar ist das nach § 12 III TMG a. F.  ehemalige ausdrückliche „Kopplungsverbot“ (Bereitstellung von Telemediendiensten durfte nicht mit Einwillung des Nutzers zur weiteren Verwendung seiner Daten, also zur Werbung, gekoppelt werden) Ende 2009 im TMG gestrichen worden. Ob es dennoch de facto weiter besteht, ist strittig (vgl. § 12 Abs. III TMG iVm. § 28 BDSG). Überlegen könnte man bei den vorstehenden Datenschutzbedingungen auch, ob nicht ein Verstoß gegen § 6 I Nr. 1 TMG vorliegt, wonach die kommerzielle Kommunikation klar erkennbar sein muss. Dies ist vorliegend zweifelhalft, da der Nutzer die Datenschutzbedingungen schon sehr genau lesen muss, damit er erkennt, nicht nur eine datenschutzrechtliche Einwilligung, sondern auch eine Einwilligung zum Erhalt von Werbung abzugeben. Nach dem Wortlaut des TMG wäre hier allerdings die Verknüpfung der Einwilligung der Datenerhebung mit der Einwilligung zum Werbungserhalt zulässig, da eben eine Einwilligung des Nutzers vorliegt. Doch es handelt sich hier  um die Einwilligung zur Emailwerbung. Nach dem Wettbewerbsrecht jedoch, genauer § 7 II UWG, ist zur Telefon- und Email-Werbung die vorherige ausdrückliche Einwilligung notwendig. Damit ist klar gestellt, dass Email-Werbung nur zulässig ist, wenn per Opt-In vom Nutzer entsprechend votiert wird. Bei der Anmeldung kann ich jedoch nur per Opt-In der Verwendung meiner Daten (wozu auch der Zweck der Werbung gehört) zustimmen und muss später  per Opt-Out der Verwendung meiner Daten zu Werbezwecken widersprechen (Übrigens, auch ein einfaches Opt-Out für Werbung habe ich in der Einstellungen der Anwendung nicht finden können…. aber vielleicht liegt es an mir). Meines Erachtens ein klarer Verstoß gegen § 7 II UWG. Doch kann auch hier anders argumentiert werden: Nämlich, dass das doch ein Opt-In zum Erhalt von Werbezwecken gegeben ist und der Nutzer nur im Anschluss wieder ein Opt-Out wählen kann…. Ich halte eine solche Vorgehensweise für keine sehr schöne Lösung. Mag es rechtlich vielleich gerade so gehen (Ob tatsächlich, das werden künftige Entscheidungen zeigen). Aber nicht nur der „durchschnittliche Verbraucher“ im Sinne des UWG ist mittlerweile der „aufgeklärter und informierter Verbraucher“, auch der Internet-Nutzer erkennt bei einer solchen Vorgehensweise, dass es um nichts anderes geht als Daten-Abgriff zu Werbezwecken. Und selbst wenn er es auf den ersten Blick nicht sieht, wird er sich schrecklich aufregen, immer zu Werbung des betreffenden Unternehmen zu bekommen. Auch nicht das, was man sich als Kundenmeinung wünscht. Schon gar nicht, wenn man hofft, über diesen Kanal potentielle Bewerber auf das Unternehmen aufmerksam zu machen.

II. Weitergabe von Daten an Dritte

Ziffer 5 der Datenschutzbedingungen (DSB) von Fliplife behandelt die Weitergabe von Daten:

„Ihre personenbezogenen Daten werden selbstverständlich nicht an Dritte verkauft. UP gibt die von Ihnen erhaltenen personenbezogenen Daten ausschließlich in folgendem Umfang an Dritte weiter: Wir arbeiten mit Zahlungsanbietern (…), Anbietern zur Erstellung und Aufbereitung von Statistiken, IT-Dienstleistern (….) zusammen. Diese Dienstleister haben nur insoweit Zugang zu Ihren persönlichen Daten, wie dies zur Erfüllung ihrer Aufgaben notwendig ist. Diese Dienstleister sind verpflichtet, Ihre personenbezogenen Daten gemäß dieser Datenschutzerklärung sowie den maßgeblichen Datenschutzgesetzen zu behandeln“

Fein, so denkt der Leser, dann werden meine Daten wohl vernünftig behandelt, wenn die Dienstleister verpflichtet sind, die Daten sorgsam zu behandeln. In Ziffer 1 der DSB heißt es jedoch:

„Für den Fall, dass Sie Leistungen Dritter in Anspruch nehmen, gelten ausschließlich die Datenschutzbedingungen dieser Dritten. UP überprüft die Datenschutzbedingungen Dritter nicht.“

Wenn ich aber bspw. einen Dritt-Anbieter zur Zahlungsabwicklung bei Fliplife nutze, nehme ich dann die Leistung eines Dritten oder einen Dienstleister in Anspruch?  Also, was gilt wie? Ziffer 5 und damit die Standards von Fliplife oder Ziffer 1 und damit die Datenschutzbedingungen von dem Dritt-Anbieter? Dieser Kritik mag entgegengehalten werden, dass hier schon rausgelesen werden kann, dass Dienstleister eben all diejenigen sind, die Fliplife notwendiger zur Abwicklung des Medienangebots „mit ins Boot holen“ muss, während Dritte eben solche sind, bei denen diese Notwendigkeit nicht besteht. Zum Beispiel Facebook. Und dass es bei der Einschaltung von Facebook ohnehin mit der Privatssphäre, bzw. dem Schutz der eigenen Daten relativ vorbei ist (ja, das war sehr ketzerisch…), ist mittlerweile wohl den meisten bewusst.

III. Welche Daten werden eigentlich bei welcher Anmeldung wie gespeichert?

Und mit Facebook kommen wir dann auch schon zu den weniger schönen (Datenschutz-)Aspekten von Fliplife:

Klar ist, dass die wenigen Daten (Name und Email), die zu Beginn des normalen Anmeldeprozesses abgefragt werden, gespeichert werden. Gänzlich anders sieht dies jedoch bei einer Facebook-Connect-Anmeldung aus. In den DSB in Ziffer 3 heißt es dazu:

„Darüber hinaus können wir Informationen von sozialen Netzwerksystemen, auf denen Sie FLIPLIFE spielen oder über deren Schnittstelle Sie sich eingeloggt haben (z.B. Facebook Connect), erhalten. Wir erheben, verarbeiten und nutzen personenbezogene und von Ihnen zur Verfügung gestellte Daten – soweit nicht bereits durch gesetzliche Erlaubnistatbestände gestattet – nur mit Ihrer Einwilligung. Soweit die Einwilligung im Rahmen unseres Internetangebots elektronisch erklärt wird, tragen wir den gesetzlichen Hinweispflichten Rechnung.“

Also, um das bis hierhin mal klar zu machen: Fliplife erhebt, nutzt und verarbeitet auch die personenbezogenen Daten, die bspw. über Facebook-Connect eingeholt werden. Das sind aber weit mehr als die wenigen Daten, die bei der Registrierung ohne Facebook (Name und Email-Adresse) notwendig sind, nämlich:

  • Name, Profilbild, Geschlecht, Netzwerke, Nutzerkennnummer (!), Freundesliste (!) und alle anderen Informationen, die ich mit „Allen“ teile.
  • Die bei Facebook hinterlegte Email-Adresse inkl. Zustimmung Emails von Fliplife zu erhalten
  • Die Zustimmung zum Zugriff auf diese Daten auch wenn Fliplife gerade nicht verwendet wird.

Gut. Man könnte wieder sagen, wer hier auf den „Connect“-Button“ drückt, der willigt dazu ein, dass die eigenen Daten an Flipside weitergegeben werden. ABER: Wieso ist es überhaupt möglich, meine Freundesliste und damit deren Daten (jedenfalls den Namen!) weiterzugeben – vielleicht wollen die das gar nicht? Es bedürfte der jeweiligen Einwilligung der Dateninhaber – sprich meiner Freunde. UND: Wenn Fliplife nun gemäß Ziffer 5 ihrer eigenen DSB, die auch bei Anmeldung über Facebook-Connect gelten sollen, diese Daten alle nicht an Dritte verkaufen (verleasen? vermieten?) will, sie vorgeblich auch nur an Dienstleister zur Abwicklung des Dienstes herausgibt und im Übrigen die Daten gemäß  löscht Ziffer 6, was ist der Zweck dieser Datenerhebung seitens Fliplife? UND: Wozu ist der Zugriff auf die Daten notwendig, auch wenn Fliplife gerade nicht verwendet wird?

Der rechtmäßige Zugriff auf Teile der eben genannten Daten ist schon fraglich. Bedenklich ist ebenfalls, dass zu den bei Facebook eingesammelten Daten hinsichtlich des Verwendungszwecks kein Wort in den Datenschutzbedingungen verloren wird. Das kann aber durchaus als Verstoß gegen die Aufklärungspflicht nach § 13 Abs. 1 TMG betrachtet werden, die auch den Zweck der Datenerhebung umfasst. Der Standardsatz „Wir nutzen Ihre Daten, um das Angebot zu verbesser“ (Ziffer 4 der DSB von Fliplife), dürfte dafür kaum ausreichen.

IV. Facebook-Friends und Email-Finder

Zwei weitere Tools, die in der Datenschutzerklärung nicht mit einem Wort erwähnt sind. Fliplife bietet die Möglichkeit, bei Facebook oder in den Emails nachzuschauen, wer von meinen Kontakt schon bei Fliplife ist. Mhm. Die Social-Komponente an diesen Tools ist jedem klar. Aber der Friend-Finder von Facebook steht ganz oben auf den Abschusslisten der Datenschützer; der Hamburger Datenschutzbeauftragte hat diesbezüglich ein Bußgeldverfahren eingeleitet. Gerade heute wurde darüber hinaus bekannt, dass laut „Spiegel“ die Datenschützer jedenfalls einen Teilerfolg gegenüber Facebook in Bezug auf den Friendfinder verbuchen können (Ein wenig mehr im Focus, viel mehr dann wohl im Spiegel-Heft am Montag.). Genauso kritisch ist der Zugriff auf das eigene Email-Adressbuch zu sehen. Gleiches Problem wie oben: Mag sein, dass hinsichtlich dieses Zugriffs die Einwilligung gegeben wird, es handelt sich jedoch um die Daten Dritter, die herausgegeben werden. Und auch zur Verwendung dieser Daten verliert Fliplife kein Wort. Maybe they are not evil…

V. Zusammenfassung

Werden die Datenschutzbedingungen von Fliplife nur unter dem Aspekt der Anmeldung bei Fliplife selbst betrachtet, gibt es nicht viel daran auszusetzen: Die mE gekoppelte Werbe-Einwillung ist kritisch zu betrachten  (und daher ggf. abmahn- bzw. ordnungswidrigkeitenfähig), daneben ist unklar, wer „Dienstleister“ und wer „Drittanbieter“ im Sinn der Datenschutzerklärung ist. Absolut nebulös bleibt jedoch wieder einmal, was mit welchen Daten durch wen geschieht, wenn Fliplife über Facebook angemeldet wird. Angesichts dessen, dass laut eigener Datenschutzerklärung soviel Wert auf einen sorgsamen Umgang mit Daten gelegt wird, hält sich die Datenschutzerklärung jedoch zu diesem Thema wirklich bedenklich bedeckt – und zwar nicht nur dahingehend was Facebook mit den Daten macht, sondern eben was Fliplife mit den von Facebook gewonnen Daten unternimmt.

Und ganz generell hat mir wieder einmal das Folgende zu denken gegeben: Ich hatte mich nicht via Facebook-Connect angemeldet und war auch bei Facebook nicht angemeldet. Dennoch wurde mir mein Mann als „Freund der Fliplife nutzt“ bei Fliplife angezeigt. Weiter wollte ich dann im Zuge der Recherche einen Facebook-Connect herstellen. Auf der Facebook-Seite konnte ich jedoch nur auswählen: „Fliplife blockieren“. Es hätte doch wohl heißen müssen „Fliplife zulassen“?!

Unter dem Gesichtspunkt des Datenschutzes ist es also mehr als fraglich, ob derzeit Fliplife als ein potentieller attraktiver Partner für das Employer Branding und Personalmarketing betrachtet werden kann.

Mhm… bloß welcher Social Media Anbieter ist das schon…? 😉

In diesem Sinne einen schönen Samstag!