Eher gelassen habe ich heute morgen in der Timeline von Facebook den Hinweis auf die überarbeiteten Datenschutzbestimmungen aufgenommen und mir gedacht „Na, was soll schon sein, die übliche Kosmetik halt.“… Und dann, dann habe ich wirklich große Augen gemacht und den Mund fast nicht mehr zubekommen. Ob es jetzt an Herrn Weichert und dem ULD, den Studenten aus Wien und den Ankündigungen der irischen Datenschutzbehörde oder schlicht dem Wettbewerbsdruck von Google liegt, ist mir persönlich total egal. Fakt ist, Facebook bewegt sich doch. Die Datenschutzerklärung, bzw. die Datenverwendungsrichtlinien (wie FB es nennt), ist/sind komplett überarbeitet worden! Die erste Seite sieht dabei so aus:
Wie unschwer zu erkennen ist, finden sich dort nun sechs markante Hauptkategorien. Klicke ich auf eine dieser, öffnet sich ein Untermenü wie folgt:
Die kompletten Änderungen und Funktionalitäten der neuen Datenverwendungsrichtlinien, wie Facebook sie nennt, hier zu analysieren und zu präsentieren, sprengt ein wenig den Rahmen. Folglich werde ich hier einmal ein paar markante, insbesondere im Kontext mit der Diskussion der letzen Wochen um den Like-Button und die Fanpages stehende, herausgreifen.
1. Daten, die wir über Dich erhalten, Social Plug-Ins, Like-Button
In diesem Abschnitt Daten, die wir über Dich erhalten wird grundsätzlich erläutert, welche Daten/Informationen Facebook aus welchem Grunde vom User erhält: Die vom User eingestellten, möglicherweise von Freunden eingestellte Informationen (Orts- oder Fotografiemarkierungen) sowie Informationen von Anwendungen (wie Spielen oder Apps) und sonstige bereitgestellte Daten. Unter diesem Begriff wird – untechnisch ausgedrückt – das Tracking der personenbezogenen Daten auf der FB-Site erläutert. Also, dass Facebook jedesmal Daten erhält, wenn der User das Profil einer anderen Person aufruft, nach einer Person sucht oder eine Seite besucht oder Werbeanzeigen klickt. Weiter wird darüber aufgeklärt, dass FB beim Hochladen von Fotos oder Videos ggf. auch das Erstelldatum sowie der Ort der Aufnahme übertragen wird. Ferner stellt Facebook klar, dass es Daten von den Endgeräten (Computer, Smartphone etc.) erhält, mit denen auf FB zugegriffen wird, darunter Daten wie die IP-Adresse, Standort, Art des Browsers oder vom User besuchte Seiten (hört, hört!). Die Erklärung dazu folgt jedoch im nächsten Absatz
„Wir erhalten Daten immer dann, wenn du ein Spiel, eine Anwendung oder Webseite nutzt, welche/s die Facebook-Plattform verwendet, oder wenn du eine Webseite besuchst, auf der eine Facebook-Funktion (wie zum Beispiel ein soziales Plug-in) vorhanden ist. Diese Daten können das Datum und die Uhrzeit deines Besuches auf der betreffenden Webseite enthalten; dies gilt auch für die Internetadresse oder die URL, auf der du dich befindest, und ebenso für die technischen Daten über die IP-Adresse und den von dir genutzten Browser sowie das von dir genutzte Betriebssystem; enthalten ist auch deine Nutzerkennnummer, wenn du auf Facebook angemeldet bist.“
Wow. Welch Transparenz. Ich meine, wir reden hier von Facebook. Kurz Facebook erhält von jedem Besucher, der auf einer Website mit einem Like-Button ist:
1. Datum und Uhrzeit,
2. Internet-Adresse/URL der Site,
3. IP-Adresse,
4. Browser,
5. Betriebssystem,
6. Nutzerkennung, also den Vor- und Nachnamen (bei registrierten Nutzern),
7. bei Klick, natürlich, dass man das PlugIn verwendet hat.
Ob man jetzt den Browser und das Betriebssystem des Users wirklich wissen muss (Grundsatz der Datensparsamkeit), das weiß ich nicht, ich glaube nicht zwar eher nicht, aber nun denn, das lassen wir jetzt mal beiseite. Denn
a. Was heißt das denn jetzt rechtlich?
Wer die Diskussion in meinem Blog (hier, hier, hier, hier, hier, hier und hier) mitbekommen hat, der weiß, dass das Grundproblem darin lag, dass selbst die von Ferner oder Heise angebotene „Double-Click“ Lösung (Like-Button zunächst als Bild, dann „Freischaltung“, dann Einblendung des Buttons) daran krankte, dass der User gerade nicht wirksam über den Umfang der Datenübertragung aufgeklärt werden konnte, da Facebook hierzu keine Informationen bereitstellte. Das heißt, den Aufklärungspflichten nach § 13 TMG konnte überhaupt nicht nachgekommen werden und das Bußgeld nach § 16 TMG stand weiterhin im Raum. Nun stellt FB jedoch neben der Art der Datenerhebung auch den Umfang der Datenerhebung, die – wenn man der Auffassung folgt, dass die IP-Adresse ein personenbezogenes Datum ist -, gleich ob man FB-User ist, personenbezogen sind, unter dem Punkt Social-PlugIns klar:
„Wir speichern diese Daten für einen Zeitraum von 90 Tagen. Danach entfernen wir deinen Namen sowie alle anderen personenbezogenen Informationen von den Daten oder kombinieren sie mit den Daten anderer Personen auf eine Weise, wodurch diese Daten nicht mehr mit dir verknüpft sind.“
Und ganz wichtig unter „sonstige bereit gestellte Daten“ weiter:
„Wir stellen unseren Werbepartnern und Kunden nur Daten zur Verfügung, nachdem wir deinen Namen sowie alle anderen personenbezogenen Informationen von diesem entfernt haben oder sie auf eine Weise mit den Daten anderer Nutzer kombiniert haben, durch die sie nicht mehr mit dir in Verbindung gebracht werden können.“
Ebenso wie der letzte Halbsatz etwas ungefähr bleibt, bleibt FB auch wenig aussagekräftig, hinsichtlich der eigenen Verwendung der erhobenen Daten. Es heißt unter „Wie wir bereit gestellte Daten verwenden„:
„Wir verwenden die uns bereitgestellten Informationen über dich im Zusammenhang mit den Dienstleistungen und Funktionen, die wir dir und anderen Nutzern wie zum Beispiel deinen Freunden, den Werbekunden, die Werbeanzeigen auf Facebook buchen, sowie den Entwicklern der von dir genutzten Spiele, Anwendungen und Webseiten anbieten. (…) bspw. (…) um die Effektivität der Werbeanzeigen, die du und andere Personen sehen, zu messen und zu verstehen;“
Dann werden Beispiele aufgezeigt. In Zusammenschau damit, dass FB jedoch keine personenbezogenen Daten an Werbekunden herausgibt, könnte man das soweit für „transparent“ und „konkret“ genug halten.
Kritisch ist dann aber das Folgende:
„Indem du uns die Erlaubnis hierzu erteilst, gestattest du uns nicht nur, Facebook in seinem heutigen Zustand zur Verfügung zu stellen, sondern dir zukünftig auch innovative Funktionen und Dienstleistungen anzubieten, die wir unter neuartigem Einsatz der Daten, die wir über dich erhalten, entwickeln.
Obwohl du uns gestattest, die Informationen zu verwenden, die wir über dich erhalten, bleiben diese doch stets dein Eigentum. Dein Vertrauen ist uns wichtig. Darum machen wir Informationen, die wir über dich erhalten, anderen nicht zugänglich, es sei denn:
-
wir haben deine Genehmigung dazu erhalten;
- wir haben dich beispielsweise in diesen Richtlinien darüber informiert; oder
- wir haben deinen Namen sowie alle anderen personenbezogenen Informationen von diesen Daten entfernt.“
Kurz zusammengefasst bedeutet das: „Juhu, wenn wir lustig sind, dann ändern wir die Datenverwendungsrichtlinien eben und dann machen wir neue Sachen mit Deinen Daten und Du kannst nichts dagegen tun!“
Allerdings lassen wir jetzt mal vielleicht die Kirche im Dorf. Facebook ist hinsichtlich des Datenschutzes offensichtlich von allen Seiten gerade massivem Druck ausgesetzt. Es hat sowohl die Inhalte als auch die Kontrolle über die eigenen Daten massiv verbesssert. Deswegen würde ich hier jetzt nicht davon ausgehen, dass morgen die Datenschutzbedingungen wieder zum Nachteil des Users umgedreht werden. Ich denke, selbst Facebook merkt, dass es dabei nicht (mehr) gut wegkommen würde.
Wir halten fest, Facebook hat den Datenschutz stark verbessert, ganz sauber ist es juristisch aber auch noch nicht. (Allerdings zeige man mir eine Datenschutzerklärung, die wirklich zu 100% alle Datenverwendung ganz konkret und ganz transparent für den Verbraucher verständlich abbildet…)
b. Alles rechtskonform?
Nach dem Vorstehenden könnte man denken, dass, wenn der User über diese Verwendung seiner Daten vom Webseitenbetreiber, bevor der Like-Button aktiviert wird, aufgeklärt wird, und der User zu dieser Art der Verwendung einwilligt, das Ganze doch rechtskonform sein müsste. Schließlich weiß der User, welche Daten erhoben, wie sie verwendet und dass keine personenbezogenen Nutzerprofile an Werbepartner weitergegeben werden.
Doch ganz so einfach ist es womöglich nicht. Denn auch wenn Facebook nun hinsichtlich der Verwendung und Erhebung der Daten Auskunft gibt, so könnte es immer noch an einer wesentlichen Voraussetzung nach dem TMG mangeln. Denn nach § 13 Abs. 2 TMG muss der Diensteanbieter sicherstellen, dass der Nutzer die Einwilligung jederzeit widerrufen kann und sodann die Daten gelöscht oder gesperrt werden (§ 13 Abs. 4 TMG). Nun könnte argumentiert werden, dass es durchaus die Möglichkeit gibt, dass Facebook-Konto zu löschen:
„Wenn du ein Konto löschst, wird es dauerhaft von Facebook gelöscht. Normalerweise dauert es ungefähr einen Monat bis eine Kontolöschung vollzogen ist. Manche Daten sind jedoch noch bis zu 90 Tage in Sicherungskopien und Protokolldateien vorhanden. Du solltest dein Konto nur löschen, wenn du dir sicher bist, dass du es nicht mehr reaktivieren möchtest.“
Und damit die Einwilligung zur Datenerhebung und Verarbeitung zurückzuziehen sowie die Daten löschen zu lassen. Aber ob das eine wirksame Widerrufsmöglichkeit im Sinne von § 13 Abs. 2 TMG ist, darüber kann man wohl trefflich streiten. Darüber hinaus besteht eine Verpflichtung zur Aufklärung über diese Widerufs- und Löschungsansprüche. Ob FB dem mit dem Angebot zur Löschung der Daten hinreichend nachkommt, könnte auch in Frage gestellt werden.
Insbesondere ist dies keine Lösung für Nicht-Mitglieder, die ebenfalls auf mit Like-Button bestückten Webpages surfen und in Folge dessen einen digitalen Abdruck hinterlassen. Für sie ist gar keine Möglichkeit der Löschung derzeit erkennbar, außer dass nach 90 Tagen alle Verknüpfung mit einem personenbezogenen Datum automatisch gelöscht werden – wozu dann auch die IP-Adresse gehören müsste.
c. Kann ich jetzt den Like-Button nutzen?
Das ULD ging in seinen letzten FAQ bereits davon aus, dass es möglich ist, den Facebook-Like-Button rechtskonform einzubinden. In der aktuellsten Fassung der FAQ-Seite vom ULD vom 07.09.2011 wird dies insoweit konkretisiert, als die Voraussetzungen nach dem TMG noch einmal dargelegt werden. Sprich:
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Ergo:
1. Der Like-Button darf erst nach einer Einwilligung aktiviert werden.
2. Der User muss vor seiner Einwilligung über den Umfang der Datenerhebung- und Verwendung aufgeklärt werden (vgl. § 13 TMG, sonst auch keine bewusste Einwilligung möglich), sprich: Hinweis auf die Datenschutzerklärung der Website, innerhalb derer die Grundlagen von Facebook erläutert werden müssten)
3. Der User muss in der Datenschutzerklärung der Website mE auf die Löschungsmöglichkeit bei FB hingewiesen werden.
Um es noch einmal deutlich – ebenso wie das ULD – zu sagen: Ein reines „Vorschalt-Bildchen“ reicht nicht aus. Meines Erachtens kann der User einer Website aber hinreichend transparent und konkret von einem Webseitenbetreiber über die Verwendung seiner Daten durch den Facebook-Like-Button aufgeklärt werden, so dass jedenfalls dem Webseiten-Betreiber keine Untersagensverfügung oder ein Bußgeld drohen dürfte, wenn der Like-Button, wie zuvor beschrieben, von einem Webseitenbetreiber eingebaut würde und man davon ausgeht, dass die Löschungs-Möglichkeit bei FB bzw. das automatische Löschen personenbezogener Daten den Anforderungen des § 13 TMG genügt. (ACHTUNG: Von den offenen Fragen abgesehen, stellt dies keine den Einzelfall betreffende Rechtsberatung dar und ist deshalb ohne Gewähr!)
Anmerkungen vom ULD werden in diesem Blog gerne entgegengenommen! 🙂
2. Fanpages
Im Gegensatz zum Like-Button sieht es hier immer noch mE düster aus. Bei FB-Insights handelt es sich schlicht um ein Tracking-Tool. Aus Sonstige uns bereit gestellte Daten über Dich kann heraus gelesen werden, dass FB-Insights die gleichen Daten aufnimmt, wie der Like-Button. Das heißt diese Daten werden von jedem erhoben, der sich ein Fanpage anguckt. Ist er kein Facebook-Mitglied, wurde der User darüber weder aufgeklärt, noch kann er dieser Datenerhebung zustimmen. Und als Facebook-Betreiber kann ich es auch nicht ausstellen. Tja. Also. Wenn ich jetzt in den ganzen Bedingungen nichts übersehen habe, dann gibt es hierfür derzeit keine Lösung. Da muss Facebook sich wohl noch ein wenig weiter bewegen.
3. Overall
Wie eingangs gesagt, bin ich wirklich positiv von Facebook überrascht. Ich hätte nicht geglaubt, dass es sich so schnell bewegt und tatsächlich den Datenschutz ernst(er) nimmt. Vergessen ist die Unübersichtlichkeit der einzelnen Bestimmungen (ja, es ist immer noch viel, aber sehr logisch aufgebaut) und die mangelnde Transparenz der Inhalte (ja, es ginge sicher noch besser). Besonders gut gefällt mir, dass Facebook innerhalb der Datenverwendungsrichtlinien, in denen etwas erläutert wird, direkt zu der Stelle in den Privatsphären-Einstellungen verlinkt, in denen diese betreffende Sache verändert werden kann. Und dann kann man selbst noch einmal mit dem Folgenden rumspielen:
„Wenn du die Daten sehen möchtest, die über dich durch unsere Diagramm-API zugänglich sind, gib einfach https://graph.facebook.com/[Nutzerkennnummer oder Nutzername]?metadata=1 in deinen Browser ein.“
Darüber hinaus kann man sich das eigenen „Facebook“-Archiv zum Download bereitstellen lassen – sprich alle Pinnwandeinträge, Fotos etc., die man bei FB je hochgeladen hat. Ich lasse meins gerade erstellen. Ich bin mal gespannt. Eine schöne Rückkopplung, um mal zu sehen, was man alles von sich preisgegeben hat. 😉
Also, ja, es geht alles sicher noch viel besser. Und eine Garantie gibt es jetzt auch nicht. Aber ich finde, Facebook hat sich wahnsinnig bewegt. Und das ist insgesamt ein wichtiger Schritt in Richtung Datenschutz, der langsam vielleicht doch einmal die notwendige Anerkennung erfährt.
In diesem Sinne,
es kann nur besser werden.