Archiv für den Monat: August 2011

Offizielle Stellungnahme des #ULD zur causa #Facebook

Das ULD hat nun aufgrund der doch nicht unerheblichen Welle durch die Netzgemeinde eine Stellungnahme zur Facebook-Angelegenheit veröffentlicht. Herr Dr. Krage hat diese in Teilen in meinem letzten Blogpost auch schon als Kommentar veröffentlicht. Vielen Dank dafür! Die vollständige Stellungnahme, bzw. die FAQ, wie das ULD sie nennt, können auf der Seite des ULD abgerufen werden.

Hinsichtlich der Zuständigkeit des ULD verschafft diese Stellungnahme auch Klarheit. Kurz: Wie ich bereits vermutete, ist das ULD über § 45 LDSG für die Ahndung von Ordnungswidrigkeiten nach dem TMG zuständig.

Soweit so gut. Weiter macht das ULD Ausführungen zum Facebook-Like-Button. Nach Auffassung des ULD soll es nun nämlich doch eine Möglichkeit geben, diesen rechtskonform einzubauen – und zwar dann, wenn das Social-Plugins nur dann geladen werden kann, wenn der Nutzer in die mit der Einbindung von Social-Plugins verbundene Übertragung personenbezogener Daten einwilligt, weiter heißt es wörtlich: „Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden. “

Hierüber bin ich nun doch sehr verwundert, da es in dem vom ULD erstellten Gutachten heißt, eine wirksame Einwilligung könne gerade deswegen nicht erteilt werden,  da es nicht möglich sei, über den Umfang der Verwendung der Daten hinreichend aufzuklären, da FB zu dem Zweck der Datenerhebung selbst keine genügenden Angaben mache. Dies finde ich dem Grunde nach in sich sehr schlüssig. Scheint nun aber doch nicht mehr so gesehen zu werden…

Aber gut. Um so besser. So bleibt wenigstens eine praktische Handhabe hinsichtlich des Facebook-Like-Buttons.

Hinsichtlich der Facebook-Fanpages sieht das ULD weiterhin keine Möglichkeit der rechtskonformen Nutzung, da der Reichweiten-Analyse-Dienst Facebook-Insights nicht abgeschaltet werden könne, bzw. die Vorgaben des § 15 Abs. 3 TMG (Erläuterungen dazu in diesem Blogpost) nicht durch Facebook erfüllt werden und damit auch nicht durch die Seitenbetreiber erfüllt werden können.

In diesem Sinne,

ich bin gespannt wie es nun tatsächlich weitergeht.

Update zum Update: #ULD #Facebook – (K)eine Zuständigkeit für Bußgeldbescheide (?)

Ja, ich gestehe. Ich habe nicht genau genug hingesehen. Rocknrolla als Kommentator wies mich nun vollkommen zu recht darauf hin, dass § 38 Abs. 6 des MedienStV SH HH nicht die Zuständigkeit für die Ordnungswidrigkeiten hinsichtlich der datenschutzrechtlichen Normen des TMG regelt. § 38 Abs. 6 MedienStV SH HH verweist nämlich nur auf  § 16 Abs. 1 und Abs. 2 Nr. 1 TMG, diese beziehe sich auf die kommerzielle Kommunikation und die allgemeinen Informationspflichten. Aber nur § 16 Abs. 2 Nr. 2-5 TMF erfassen die datenschutzrechtliche Komponenten. Rocknrolla weist weiter darauf hin, dass so dann mangels gesetzlicher Bestimmung nach § 36 Abs. 1 Nr. 2a OWiG die „fachlich oberste Landesbehörde“ zuständig wäre. Nach Auffassung von Rocknrolla wäre das das Innenministerium.  Da wäre dann allerdings die Frage, ob nach § 36 Abs. 1 Nr. 2a nicht doch das ULD als „oberste Landesbehörde“ zuständig wäre. Ich bin nicht sicher, dass dies die Innenbehörde ist. Denn in § 45 LDSG (Landesdatenschutzgesetz) heißt es

(1) Die am 30. Juni 2000 dem bei dem Präsidenten des Schleswig-Holsteinischen Landtages eingerichteten Landesbeauftragten für den Datenschutz sowie der Datenschutzaufsichtsbehörde im Innenministerium obliegenden Aufgaben gehen am 1. Juli 2000 auf die Anstalt über.“

Liebe Kollegen aus Schleswig-Holstein, was für eine Rechtscharakter hat das ULD? Ist es im Sinne von § 36a Abs. 1 Nr. 2a eine „oberste Landesbehörde“? Geht das als öffentlich-rechtliche Anstalt überhaupt? Denn dann wäre das ULD doch wieder zuständig. Oder gibt es jetzt wieder noch irgendeine Vorschrift, die alles wieder umdreht? (Sorry, aber diese Tiefen des Verwaltungsrechts liegen bei mir doch schon ein wenig zurück… Und dass ich mich noch mal so tief mit den Behördenzuständigkeiten eines Flächenlandes beschäftige, hätte ich auch nicht gedacht.)

Noch einmal: Vielen Dank an Rocknrolla für den Hinweis. Und eine Entschuldigung an meine Leser, dass ich die Verweisungen nicht gründlich genug gelesen habe.

In diesem Sinne,

einfach mal nicht mit dem #ULD und #Facebook beschäftigen.

#ULD #Facebook – Keine Zuständigkeit für Bußgeldbescheide

Der Vollständigkeit halber darf dieses Update auf dem Blog nicht fehlen. Der Kollege Jan A. Strunk aus Kiel hat sich mit dem Landesrecht Schleswig-Holstein näher auseinandergesetzt und hat dabei das Folgende in seinem Blog-Artikel „Bußgeld-Androhung des ULD wegen angeblicher Verstöße gegen das TMG rechtswidrig“ für alle zu Tage gefördert:

„Nach der Zuständigkeitsverordnung für Ordnungswidrigkeiten des Landes Schleswig-Holstein (OWiZustVO) darf das ULD nur Bußgelder nach § 43 BDSG verhängen, wie sich aus dem Zuständigkeitsverzeichnis der Verordnung (Nr. 3.5.2 der Anlage zur OWiZustVO) ergibt.

Für die Verhängung von Bußgeldern nach dem TMG ist vielmehr gem. § 38 Abs. 6 des Medienstaatsvertrags Hamburg/Schleswig-Holstein (MedienStV HSH) die Medienanstalt Hamburg/Schleswig-Holstein (MA HSH) zuständig.

Dies bedeutet übersetzt: Das ULD ist für den Erlass von Bußgeldbescheiden nach dem TMG (also den in Rede stehenden Ordnungswidrigkeiten) nicht zuständig und hat demnach keinerlei Kompetenzen dafür.

Tja, nun wirkt die ganze Geschichte insgesamt doch wie ein kompletter Schildbürgerstreich.

Allerdings kann ich es durchaus verstehen, wenn das ULD noch nicht mal ansatzweise in Erwägung gezogen hat, nicht für die Rechtsdurchsetzung nach der Zuständigkeitsverordnung zuständig zu sein und demnach eine (Über-)Prüfung dieser Kompetenz auch nicht vorgenommen hat, auch wenn das ULD das – ja, ja zugegebenermaßen – natürlich hätte tun müssen. Es ist aber einfach zu abstrus, dass das ULD für die Verfolgung von Ordnungswidrigkeiten nach § 16 TMG nicht zuständig sein soll.

In aller Ernsthaftigkeit bleibt jedoch anzumerken, dass in der Regel eine solche Zuständigkeit auch (relativ) schnell geändert ist.

Das just FYI. Und nun bleibt abzuwarten, ob überhaupt und wenn ja wann, irgendjemand einen Bußgeldbescheid versendet.

In diesem Sinne,

schildbürgerliche Abendgrüße.

#ULD #Facebook: Die Debatte geht weiter – muss weitergehen!

Die Debatte bezüglich des Vorstoßes des ULD hinsichtlich der möglichen Verfolgung von Datenschutzrechtsverletzungen aufgrund der Verwendung von Facebook Social PlugIns oder Fanpages nimmt weiter an Fahrt auf.

So hat der Kollege Stadler einen dem Grund nach sehr lesenswerten Artikel mit dem Titel „Wie geht es weiter mit dem Datenschutz?“ verfasst. Darin wird – zu recht – problematisiert, dass das bestehende Datenschutzrecht den Anforderungen an die technischen Gegebenheiten in einer globalisierten Welt kaum noch Rechnung tragen kann; sprich veraltet ist. Allerdings stellt der Kollege Stadler dabei auf die dezentrale Struktur des Internets ab. Dies ist meines Erachtens wiederum eine Position, die gerade dabei ist, sich selbst zu überholen. Während das Internet zunächst eine deutliche Dezentralisierung erfahren hat, geht es nun wieder in die gegenteilige Richtung. „Die stille Privatisierung öffentlicher Güter im Web 2.0“  und damit auch eine Zentralisierung nehmen deutlich zu. An dieser Stelle spare ich mir weitere eigene Worte und möchte voll umfänglich auf die Präsentation „Das Internet ist dezentral. Und andere gefährliche Mythen“ von Sebastian Deterding, vorgestellt auf der re:publica 2010, verweisen. Von Deterding stammt auch das vorgenannte Zitat: „Die stille Privatisierung öffentlicher Güter im Web 2.0“ ist der Titels eines Vortrags aus der Veranstaltungsreihe „Aktuelle Entwicklungen im Web 2.0“ des Hans-Bredow-Insituts für Medienforschung aus November 2008 (!).

Auch diese Überlegung, Entwicklung und Tatsachen müssen in der Diskussion um den Datenschutz eine Rolle spielen, damit die Diskussion wirklich „farbig“ wird, wie der Kollege Stadler fordert.

Denn unabhängig von der Frage, ob nun Webseitenbetreiber für die Datenschutzverletzungen heranzuziehen sind (so die Rechtsauffassung des ULD) oder nicht (so bspw. der Kollege Ferner oder der Kollege Nico Härting, der das Vorgehen des ULD gar für verfassungswidrig hält.), bleibt die Problematik bestehen, dass derzeit kein Mensch weiß, was Facebook & Konsorten mit dem unheimlichen Datenvolumen anfängt. Auch deswegen greift das gern gehörte Argument „Ich melde mich doch bei Facebook im Vollbesitz meiner geistigen Kräfte an“ nicht. Niemand kann das. Denn Facebook (wie die meisten anderen privaten Konzerne) klärt nicht hinreichend über den Umgang mit den Daten auf.

Deswegen ist die nun im Raum befindliche Diskussion wichtig. Es ist ein Bewusstsein dafür zu schaffen, dass wichtige Formen der digitalen Grundversorgung wie Suchmaschinen und Soziale Netzwerke (um das Wort von Deterding auch dafür zu benutzen) von einigen wenigen privaten Internetfirmen bereitgestellt werden.

Ja, zugegeben, es ist schwierig – vielleicht sogar unmöglich – global geltende Standard für den Datenschutz durchzusetzen. Aufgrund dessen jedoch sogleich die Anforderungen an den Datenschutz herabzusenken zu wollen, ist meines Erachtens der falsche Weg.

Denn eine Selbstverpflichtung wie „Don’t be Evil“ reicht für die Gewährleistung einer Grundversorgung nicht.

Datenschutz ist und bleibt immens wichtig! Und staatliche Stellen (wer sonst?) haben dafür Sorge zu tragen, dass Mindeststandards durchgesetzt werden.

Nein, das heißt nicht, dass ich die Vorgehensweise des ULD befürworte. Wie Stadler richtig sagt, wird auf den Sack geschlagen, obwohl der Esel gemeint ist.

Doch die Diskussion bleibt wichtig. Und vielleicht wird im Zuge dessen endlich das Gesetzesvorhaben der „Roten Linie“, welches direkt auf FB & Co abzielen würde, einmal vorangebracht.

In diesem Sinne,

auf weitere Diskussionen!

„Entwarnung“ hinsichtlich #ULD und #Facebook?: Interview mit Dr. Krag im Jurafunk

Hier nun noch ein Interview mit Herrn Dr. Krag im Jurafunk. Das Interview haben die Kollegen Stefan Dirks und Henry Krasemann aus Kiel geführt. Letzterer ist nicht nur Rechtsanwalt, sondern auch Referatsleiter beim ULD.

Eine „Entwarnung“ stellt das Interview insoweit dar, als Dr. Krag auf die reine „Möglichkeit“ der Bußgeldverhängung verweist und klargestellt, dass vor allem Facebook selbst zu einem Handeln bewegt werden soll. Aber hört doch einfach selbst:

Interview mit Dr. Krag im Jurafunk.

Besten Dank an die oben genannten Kollegen für den Hinweis auf das Interview!

Zum Thema Facebook: Interview mit Dr. Moritz Karg vom ULD Schleswig-Holstein

Das muss ich hier jetzt gleich einbinden. Das Video mit Dr. Moritz Karg vom Unabhängigen Landesdatenschutzzentrum ist auf dem BarCamp Kiel heute aufgenommen worden. Der Vertreter des ULD wird einmal direkt zu der Pressemitteilung und den Konsequenzen befragt. Seht selbst:

Damit scheint meines Erachtens schon bestätigt, was ich im Fazit meines letzten Blog-Posts vermutet hatte. Facebook soll unter Druck gesetzt werden. Es bleibt aufgrund des Videos zu hoffen, dass die Seitenbetreiber nun nicht en masse im September (oder wann auch immer) Post von der Datenschutzbehörde bekommen. Aber sicher kann man sich da leider nicht sein.

Hoffentlich hat der Volksmund wieder einmal damit Recht, dass nichts so heiß gegessen wie gekocht wird.

In diesem Sinne,

auf ein ein wenig weniger aufgeregtes Wochenende!

WICHTIG: Schleswig-Holsteinisches Datenschutzzentrum droht mit Bußgeldbescheiden für Verwender von Facebook Social-PlugIns und Fanpages!

Wir wissen es ja eigentlich schon lange, Facebook trackt und trackt unsere Daten und erstellt personifizierte Nutzerprofile. Ebenso lange wissen wir an sich auch, dass die Einbindung von Social-PlugIns datenschutzrechtlich hoch problematisch ist. Doch bisher galt: Ein Bußgeldbescheid ist eher unwahrscheinlich. Und Facebook demgegenüber als Viral-Faktor viel zu wichtig. Zu dem kämpfte bspw. der Hamburger Datenschutzbeauftragte viel zu sehr mit eigenen datenschutzrechtlichen Fehltritten mit den eigenen Tracking-Tools als dass da groß Raum für das Treten nach den anderen verblieben wäre (das war gerade ketzerisch, zugegebener Maßen…)

Gestern sprach ich jedenfalls noch darüber, dass derzeit die Gefahr eines Bußgeldbescheides wegen der Datenschutzrechtsverletzungen aufgrund der Einbindung von Facebook-PlugIns doch als relativ gering einzustufen ist. Und ein veritabler Shitstorm der Netzgemeinde wegen sonstiger Datenschutzverletzungen weitaus ernster zu nehmen sei.

Tja, das war gestern. Heute am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein eine Pressemitteilung sowie eine „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ herausgegeben. Mit diesem Gutachten hat sich das ULD sowohl technisch als auch rechtlich mit den Social-PlugIns UND den Fanpages (!) von Facebook auseinandergesetzt, kommt zu dem Ergebnis dass die Verwendung von beidem letztlich rechtswidrig ist und scheint ausweislich der Pressemitteilung eine harte Kante fahren zu wollen. Und das ist ein verdammt guter Grund, diesen Artikel bis zum Ende zu lesen. Denn die Bußgeldandrohung liegt nach § 16 TMG (Telemediengesetz) bei bis zu 50.000 EUR. Und nein, es sieht nicht so als würde das ausschließlich in Schleswig-Holstein so gesehen.

Im Folgenden nun die für die Telemedienbetreiber (also jeden, der eine Website, einen Blog, eine FB-Page o.ä. nicht ausschließlich privat betreibt!) relevanten Fakten aus dem Gutachten in – hoffentlich – verständlicher Form sortiert und zusammengefasst. Zunächst kurz zum technischen Hintergrund, dann zur rechtlichen Analyse und schließlich zu meinem Fazit. (Wer das technische und rechtliche Gedöns nicht lesen mag, der sollte einfach runterscrollen…)

Der technische Hintergrund

Zum einen protokolliert FB das Verhalten von angemeldeten  Nutzern innerhalb des Netzwerkes (auf der Internetpräsenz www.facebook.com) und außerhalb des Netzwerkes, wenn diese über die Webseiten Dritter mit eingebundenen Social PlugIns surfen. Zum anderen protokolliert FB die Interaktion von nicht angemeldeten Usern. Sowohl in dem Fall, in dem diese die Webseiten von Facebook aufrufen als auch, in dem die User auf Internetseiten surfen, auf denen Social-PlugIns eingebunden sind. Für diese Trackings und die darauf folgenden Analysen werden die verschiedensten Cookies und Verfahren eingesetzt. Wer mag, kann alle technischen Einzelheiten auf den Seiten 5 bis 8 des Gutachtens nachlesen.

Fest steht nach dieser Analyse jedenfalls, dass sowohl angemeldete als auch nicht angemeldete User, die einmal auf einer FB-Seite waren oder eine Seite mit einem Plug-In übersurft haben bis zu 2 Jahre von FB getrackt werden (vgl. Nr. 3.2.1 Webschnitstelle von facebook.com, S. 6 des Gutachtens) Der Unterschied: Bei nicht angemeldeten Usern kann nur ein persönliches, bei Mitgliedern ein personifiziertes Datenprofil erstellt werden.

Welchen Umfang die Protokollierung erreicht, erfährt selbst auch der User nicht, der bei FB als Mitglied gemeldet ist, da die Facebook Datenschutz-Richtlinien https://www.facebook.com/policy.php) hierzu keine Auskunft geben.

Ein weiteres in dem Gutachten behandeltes Problemfeld ist für die Datenschützer „Facebook Insights“ . Facebook Insights liefert Betreibern von Facebook-Seiten (wie bspw. mir) detaillierte Statistikinformationen über die (authentifizierten) Nutzer der FB-Seite. Diese Statistiken erlauben Rückschlüsse auf die Nutzung des Angebots/der FB-Page. FB Insights liefert hier Angaben wie Nutzerzuwachs, Demographie, Nutzung von Inhalten (bspw. wie oft wurde ein Post geklickt) und Erstellung von Inhalten (bspw. wie oft wurde auf der Seite kommentiert). Facebook Insights wird – ob man will oder nicht – allen Seitenbetreibern zur Auswertung ihrer Seite zur Verfügung gestellt.

Rechtliche Analyse hinsichtlich der Social-PlugIns

 Gemäß § 12 Abs. 1 TMG sind Telemediendiensteanbieter für die Einhaltung von datenschutzrechtlichen Bestimmungen verantwortlich. Diensteanbieter ist nach § 2 S. 1 Nr. 1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien  zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt. Folglich sind Webseitenbetreiber und Facebook-Fanpagebetreiber Diensteanbieter, auf die das TMG Anwendung findet. Sie sind selbst verantwortlich Stelle, da sie Facebook, bzw. die PlugIns für eigene Zwecke nutzen und Facebook nur im Auftrag der Diensteanbieter tätig wird (vgl. ULD „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 18)

„Social-PlugIns von FB auf der Webseite eines Drittanbieters haben zur Folge, dass bei deren Verwendung eine direkte Kommunikation zwischen dem Rechner des Nutzers und FB aufgebaut wird. Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat. FB liefert also nur mit dem Software-Angebot die Voraussetzung für eine Datenübermittlung, trägt aber nicht allein die Verantwortung für die Datenweitergabe.“ (ULD, „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 17.).

Gemäß § 12 Abs. 1 TMG müssen Diensteanbieter sicherstellen, dass jegliche Datenverarbeitung, die sie vornehmen, datenschutzrechtlich zulässig ist. Zulässig ist eine Datenverarbeitung dann, wenn es hierfür eine gesetzliche Grundlage gibt oder aber der Betroffene eingewilligt hat. Eine gesetzliche Grundlage zur Erhebung der Daten durch Facebook bzw. die Diensteanbieter existiert nicht, folglich bedarf es der Einwilligung von denjenigen, deren Daten über die Social-PlugIns erhoben werden.

Diese Einwilligung kann elektronisch erfolgen, wenn der Diensteanbieter im Sinne von § 13 Abs. 2 TMG sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

2. die Einwilligung protokolliert wird,

3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Ganz klar ist dabei schon einmal, dass die nicht bei FB angemeldeten Nutzer keine Einwilligung in irgendeiner Form abgegeben haben.  Aber auch die angemeldeten Mitglieder haben im Ergebnis keine wirksame Einwilligung abgegeben.  Gemäß § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten aufzuklären. Dies macht FB nicht. Bei der Registrierung zum Dienst heißt es nur „In dem Du auf „Registrieren“ klickst, bestätigst Du, dass Du die Nutzungsbedingungen und Datenschutzrichtiglinien gelesen hast und diesen zustimmst.“  Dies ist jedoch keine wirksame Einwilligung, da es an der „bewussten und eindeutigen“ Erteilung der Einwilligung mangelt. Denn abgesehen davon, dass es an einem Opt-In fehlt, verweisen die angegebenen Links nur auf eine große Anzahl verschiedenster Nutzungsrichtlinien und Datenschutzrichtlinien mit weiteren Verweisungen, das ULD dazu wörtlich: „Vielmehr wird lediglich pauschal auf eine Vielzahl von Dokumenten verwiesen, die durchzuarbeiten keinem Nutzer zumutbar ist.“

In diesen vielen Dokumenten, darunter insbesondere der Datenschutzrichtlinie (http://www.facebook.com/policy.php) selbst, mangelt es darüber hinaus an der notwendigen Bestimmtheit und Transparenz, welche Daten denn nun konkret zur welchen Zwecken erhoben werden.  Dies hat zur Folge, dass selbst, wenn per Opt-In Häckchen die Zustimmung zu den Datenschutzbestimmungen von FB gegeben würde, eine wirksame Einwilligung im Sinne des Datenschutzes nicht vorliegen könnte. Denn aufgrund der mangelnden Konkretisierung wüsste der User immer noch nicht, was der Umfang seiner Einwilligung wäre.

Insoweit ist die Erhebung der Daten von FB auch durch Diensteanbieter, die den Facebook Like Button einbinden unzulässig, da keine wirksame Einwilligung der betroffenen User vorliegt (hinsichtlich der Mitglieder von FB), bzw. überhaupt schon nicht vorliegen kann (hins. der Nichtmitglieder).

So. Und warum droht dem Webseitenbetreiber, der Social-PlugIns anbietet, nun ein Bußgeld in Höhe von 50.000 EUR?  Der Dienstebetreiber ist – wie bereits erläutert – eben nicht nur dazu verpflichtet, eine Einwilligung desjenigen, von dem er Daten erhebt, einzuholen, sondern er ist gemäß § 13 Abs. 1 TMG vor allem dazu verpflichtet,  über die Nutzung und Verwendung der Daten im vollen Umfang vor Beginn der Nutzung aufzuklären. Unabhängig von der Frage, was vor der Nutzung heißt, haben wir hier zuvor festgestellt, dass ein Webseiten-Betreiber überhaupt nicht ordnungsgemäß aufklären kann, was mit den Daten passiert, da Facebook selbst hierzu keine hinreichend konkreten Angaben macht. Ein Verstoß gegen die in § 13 Abs. 1 TMG statuierte Aufklärungspflicht ist jedoch mit einem Bußgeld von bis zu 50.000 EUR nach § 16 Abs. 2 Nr. 2 TMG bewehrt.

 Rechtliche Analyse hinsichtlich der Reichweiten-Analyse Facebook Insights

Bei einer Reichweiten-Analyse wie Facebook Insights bestimmen § 2 Nr. 1 TMG iVm. §§ 12,13 TMG die Verantwortlichkeit für die Nutzung der personenbezogenen Daten bei dem Diensteanbieter, der zur Erfüllung dieser Aufgabe einen Dienstleister, hier Facebook, heranzieht. Nach § 11 BDSG ist für die Handlungen des Dienstleisters der Diensteanbieter verantwortlich. Und damit ist eben der Facebook-Fanpagebetreiber datenschutzrechtlich für den Facebook-Dienst FB Insights verantwortlich. (vgl. ebenfalls: ULD, „“Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 17 f.).

Um diesen Dienst nutzen zu können, müssten diejenigen Fans, die sich auf der Seite bewegen, zunächst  – wie bei den PlugIns – in die Erhebung Ihrer Daten eingewilligt haben. An dieser Stelle kann nach oben verwiesen werden. Eine wirksame Einwilligung liegt in keiner Art und Weise vor.

Und bei der Ausgestaltung von Facebook Insights hilft auch leider der gesetzliche Ausnahmetatbestand des  § 15 Abs. 3 TMG nicht weiter. Dieser sieht eine Ausnahme bei der Datenerhebung dann vor, wenn Nutzungsprofile zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien unter Verwendung eines Pseuodnyms erstellt werden. Schließlich gilt das gemäß des letzten HS § 15 Abs. 3 TMG nur dann, wenn der Nutzer nicht widerspricht. Und über die Möglichkeit des Widerspruchs muss der Nutzer überhaupt gemäß  § 13 Abs. 1 TMG aufgeklärt worden sein und natürlich muss die Widerspruchsmöglichkeit überhaupt existieren. Tja und insoweit wäre es als Webseiten-/FB-Seitenbetreiber absolut überflüssig dieser Aufklärungspflicht nachzukommen, denn: Bei FB existiert keine Möglichkeit des Widerspruchs gegen die Zusammenführung der Daten zu einem Nutzungsprofil.

Darüber hinaus muss gemäß § 15 Abs. 3 S. 3 TMG die Zusammenführung von Nutzungsprofilen mit den Daten von Trägern des Pseudonyms unterbleiben.  Nach der Analyse des ULD ist FB mit FBInsight jedoch  in der Lage, diese Verknüpfung herzustellen und praktiziert dies auch. (Ist es doch das Geschäftsmodell mit personalisierten Nutzungsprofilen ihr Geld zu verdienen…).

Da die FB-Seitenbetreiber nicht in der Lage sind, für Ihre Page den FB-Insight abzustellen, sind sie aus den oben aufgezeigten Gründen als Diensteanbieter für diese Datenschutzrechtsverletzung verantwortlich. Diese Datenschutzrechtsverletzung nach § 15 Abs. 3 S. 3 TMG stellt eine Ordnungswidrigkeitsverletzung nach § 16 Abs. 2 Nr. 5 TMG dar. Und dies bedeutet, dass Bußgelder in Höhe von bis zu 50.000 EUR drohen.

Fazit

An der rechtlichen Beurteilung des ULD ist kaum zu rütteln und zu ruckeln. Und es ist ja auch schon lange bekannt, dass Facebook den Datenschutz in jeglicher Form ignoriert – schließlich ist privacy sowie so nach Zuckerberg out – und dass dies mit dem deutschen und (!) europäischem Datenschutz kollidiert. Und bislang haben sich die Landesdatenschutzbehörden, in deren Zuständigkeit die Durchsetzung des Datenschutzes nun einmal fällt, schlicht damit zurückgehalten, die Gesetze auch durchzusetzen. Vermutlich weil sie selbst erst einmal in der Analyse auf festen Beinen stehen wollten. Hierzu hat das ULD aus Schleswig-Holstein eben das erste Gutachten erstellt.

Tja. Das Problem daran? Es gibt zwei Szenarien: Facebook bewegt sich. Dann wird es sicherlich Wege geben sowohl die Facebook Social PlugIns als auch die Pages rechtskonform zu nutzen. Oder Facebook bewegt sich nicht. Dann wird Facebook für Unternehmen seine Bedeutung verlieren, sollten die Landesbehörden alle auf die Linie von Schleswig-Holstein konsequent einschwenken (wovon aufgrund der Pressemitteilung auszugehen ist). Denn Bußgeldbescheide in der Höhe findet kein Unternehmen mehr auf die Dauer witzig.  Nur was dann? Google+ ist ein wenig besser in den Datenschutzbedingungen, aber den Anforderungen an deutsches und europäisches Recht genügen sie derzeit auch nicht – eine langfristige Alternative wäre das nicht (davon abgesehen, dass Google+ für Unternehmen auch noch nicht so attraktiv ist, da die Masse der User noch  nicht dort ist.)

Soll das Ergebnis dann sein, dass irgendwann kein Social Web mehr in Deutschland existieren darf und wird? Nämlich dann, wenn nach und nach alle Anbieter hier faktisch verboten werden, weil die Anwendung für die User zu risikoreich ist?

Und über den wirtschaftlichen Gesamtschaden, wenn Facebook faktisch für deutsche Unternehmen langfristig nicht mehr zu verwenden ist, möchte ich mir jetzt bitte keine Gedanken machen, denn dann wird mir schlecht. (Zu dem Szenarie hätte ich wahnsinnig gerne einen Blog-Beitrag von Sven Wiesner im Web2.Null-Blog… dann würde nämlich vielleicht doch lieber Facebook direkt angegangen werden!).

Gut malen wir nicht allzu schwarz. Der Sinn und Zweck des Ganzen ist, dass die Behörden Facebook bewegen wollen. Facebook soll den Datenschutz verbessern. Das ist richtig. Nur, dass der Druck jetzt über die User aufgebaut wird, anstelle endlich mal bspw. Das Gesetz zur Roten Linie voran zu bringen, dass noch De Maizere entworfen hatte, dass finde ich doch unverhältnismäßig.

Rechtlich richtig, in der Sache jedoch für falsch würde ich insbesondere erachten, wenn Facebook-Seitenbetreiber nun tatsächlich mit Bußgeldbescheiden überzogen würden, da Sie Facebook Insight nutzen. Ich würde es sofort ausstellen, wenn ich könnte.  Ich kann aber nicht.

Und bitte, fragen Sie/fragt mich nicht, was ich jetzt mit meiner Facebook-Seite mache. Ich weiß es schlicht nicht.

In diesem Sinne,

Nina Diercks

PS: Den Share-Button hier entferne ich. Aber ich weiß nicht, was darüber für Cookies gesetzt werden und Daten getrackt werden, aber so viel wird hier dann auch nicht darüber geshared und deswegen kann ich auch verzichten…

Es ist soweit – Gründungszeit: Die Kanzlei ist eröffnet!

Wie hier und da schon angekündigt, verfügt der Social Media Recht Blog, vielmehr die Herausgeberin dessen, seit gestern, 02. August 2011, über eine eigene Anwaltskanzlei. Mitten in Hamburg im schönen Eimsbüttel. Den Büroräumen mag es noch am persönlichen Touch fehlen, aber die Technik steht. Das Internet ist an. Und damit ist für eine Rechtsanwältin, die sich den lieben langen Tag mit Social Media und Artverwandtem beschäftigt, doch alles Wesentliche geschafft. Kurz: Ich freu mich sehr!

Eine digitale Präsenz der Kanzlei darf natürlich nicht fehlen und so findet sich diese unter

http://www.socialmediarecht.de 

oder oben rechts unter dem Menüpunkt Kanzlei.

Sollten Sie meinen, die Tatsache der Eröffnung unbedingt weitererzählen zu müssen – nun, ich werde Sie nicht davon abhalten…

In diesem Sinne,

Nina Diercks