Archiv der Kategorie: Datenschutzrecht

Rechtliche Fallstricke bei Social Media Kampagnen – Teil 2b: Unternehmens-Community

In Teil 2a meiner kleinen Serie ging es um die Probleme des Anmelde-Prozesses bei einer Unternehmens-Community. Heute sollen die Nutzungsbedingungen abgehandelt werden.

Wie schon in Teil 2a dargestellt, nutzen mittlerweile viele große deutsche Unternehmen Communities, um ihre Social Media Aktivitäten aus den und über die verschiedenen Kanäle(n) letztlich auf der eigenen Web-Site zu bündeln. Nicht selten gibt es dann für den User/Consumer/Kunden die Möglichkeit, seine Erlebnisse mit der Marke und/oder dem Produkt bzw. der Dienstleistung in Wort und Bild mit anderen zu teilen sowie spezielle Service-Angebote zu nutzen.

Da jede Community anders ist und andere Angebote bereithält, ist es nicht möglich hier die Standardnutzungsbedingungen zu formulieren. Vielmehr werden im folgenden die Aspekte aufgezeigt, die bei der Gestaltung von Nutzungsbedingungen im Auge bleiben sollten:

I. Datenschutzerklärung
Datenschutzerklärung? Wurde die nicht schon in Teil 2a abgehandelt? Ja, dort wurden die Anforderungen an die Inhalte der allgemeinen Datenschutzerklärung einer Unternehmens-Website dargestellt.  Es kann jedoch sein, dass für die Nutzung spezieller Service-Angebote bspw. die personenbezogenen Daten an Dritt-Unternehmen weitergeleitet werden müssen.  Hierüber muss dann in den Nutzungsbedingungen zu diesen Angeboten noch einmal gesondert hingewiesen werden. Wichtig ist dabei immer, dass die allgemeine Datenschutzerklärung mit den besonderen Datenschutzregelungen in den Nutzungsbedingungen korrespondiert.

So sollte beispielsweise nicht in der allgemeinen Datenschutzerklärung stehen „Wir geben Ihre personenbezogenen Daten niemals an Dritte weiter“. Und in den Nutzungsbedingungen „Zur Nutzung dieses Angebots müssen wir Ihre Daten an das Dritt-Unternehmen XY weitergeben.“ Besser wäre eine Formulierung in der allgemeinen Datenschutzerklärung wie „Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn dies ist zur Durchführung von besonderen Service-Angeboten notwendig und Sie haben uns hierzu ausdrücklich Ihre Einwilligung über die Zustimmung zu den entsprechenden Nutzungsbedingungen gegeben.“ Und in den Nutzungsbedingungen korrespondierend „Mit der Zustimmung zu den Nutzungsbedingungen geben Sie uns die ausdrückliche Einwilligung, Ihre personenbezogenen Daten an das Unternehmen XY weiterzuleiten, um Ihnen die Durchführung des Service-Angebots Z zu ermöglichen.“

Auch aufgrund dieser oftmals inhaltlich Verknüpfung sollte bei dem Anmeldeprozess meines Erachtens immer zeitgleich das Einverständnis in Bezug auf die Datenschutzerklärung und die Nutzungsbedingungen durch den Nutzer erklärt werden – wie in Teil 2a schon dargestellt.

II. Regeln für die Nutzer zur Darstellung Ihrer Erlebnisse in Worten und Bildern
Sollen die User Ihre Erlebnisse mit der Marke oder dem Produkt mit Worten beschreiben und in Bildern ausdrücken können, dann sind in den Nutzungsbedingungen hierzu klare Regeln aufzustellen, welche Art von Inhalten veröffentlicht werden dürfen. Dabei geht es nicht um die Netiquette, sondern um die Einhaltungen von Rechten und Gesetzen. Insbesondere sollten Veröffentlichungen entgegen dem Äußerungsrecht, dem Urheberrecht, dem allgemeinen Persönlichkeitsrecht, dem Jugenschutzrechts und dem Strafrecht untersagt sein.

Folgende Inhalte sollten die User keinesfalls veröffentlichen dürfen:

  • urheberrechtlich geschützte Werke, wenn sie nicht über entsprechende Rechte verfügen
  • Beleidigungen, unwahre Tatsachenbehauptungen
  • Bilder auf denen Personen zu erkennen sind, ohne dass deren Einwilligung vorliegt
  • strafrechtlich relevante Äußerungen und Bilder (wie etwa: nationalsozialistische, gewalt- und kriegsverherrlichende, rassistische, kinder- oder gewaltpornografische sowie Aufforderungen zu Straftaten)
  • sexuelle oder sonst kinder- und jugendgefährdende Inhalte (es sei denn, es handelt sich um eine Community ab 18)

Darüber hinaus kann darüber nachgedacht werden, ob die folgenden Inhalte in die Nutzungsbedingungen mit aufgenommen werden sollten.

  • Verbot der Ent-Anonymisierung von anderen Nutzern
  • Verbot der Nutzung der Plattform für eigenen kommerzielle Zwecke
  • Verbot der Veröffentlichung von personenbezogenen Daten Dritter
  • Verbot der (ausschließlichen) politischen oder religiösen Betätigung

Die vorgenannten Regelungen sind deswegen wichtig, weil auch derjenige, der nur eine Plattform zur Veröffentlichung von Inhalten Dritten zur Verfügung stellt, für diese Inhalte Dritter zur Verantwortung gezogen werden kann. Gibt es in den Nutzungsbedingungen keine klaren Regelungen, welche Inhalte erlaubt sind und wie der Plattform-Betreiber dagegen vorgeht, kann der Plattformbetreiber unter Umständen sogar auf Schadensersatz haften. Diese Haftung kann in der Regel durch gute Nutzungsbedingungen für den Plattformbetreiber auf ein Minimum, nämlich die Haftung auf Unterlassung reduziert werden.

Die Einzelheiten dazu sind komplex. Es geht in erster Linie um Fragen der Störerhaftung und hier weiter, ob dem Plattformbetreiber sog. Prüfpflichten obliegen. D.h. ob dieser den Content Dritter im Vorwege oder fortlaufend auf rechtswidrige Inhalte zu kontrollieren hat. Der entscheidende Unterschied besteht darin, dass der Plattform-Betreiber bei dem Bestehen von Prüfpflichten und einem Verst0ß hiergegen nicht nur auf Unterlassung, sondern auch auf Erstattung der Rechtsverfolgungkosten (bspw. einer Abmahnung) haftet. Deswegen wird um das (Nicht-)Bestehen von Prüfpflichten oft gestritten. Aus diesem Grunde sollte – für den Fall der Fälle – das Folgende in die Nutzungsbedingungen mit aufgenommen werden.

III. Freistellungsanspruch
Durch die Nutzungsbedingungen sollte das Unternehmen stets in dem Fall, dass die Nutzer doch Rechte Dritter über die Unternehmensplattform verletzten, von dem Nutzer auf erstes Anfordern freigestellt werden. Anders ausgedrückt: Unternehmen U betreibt eine Unternehmens-Community. Nutzer N erstellt eine Fotomontage, die aber Unternehmen M in seinen Markenrechten verletzt. Unternehmen M nimmt zunächst Unternehmen U wegen der Markenverletzung in Anspruch und mahnt dieses bspw. ab. Für die deswegen entstehenden Kosten kann bei einem geregelten Freistellungsanspruch der Nutzer N sofort von Unternehmen U in Anspruch genommen werden.

An diesem Beispiel wird deutlich, warum es sinnvoll ist, vom Nutzer nicht nur eine Email-Adresse und einen Nutzernamen, sondern tatsächlich konkrete personenbezogene Daten bei der Anmeldung zu verlangen. Denn ein Rückgriff auf „Micky Mouse“ mit der Adresse wird sich relativ schwierig gestalten.

IV. Rechteeinräumung
Weiter kann es sinnvoll sein, sich als Unternehmen die Rechte an den in die Community eingestellten Inhalten einräumen zu lassen. Beispielsweise, um Fotomontagen von Usern später selbst in der Werbung nutzen zu können.

V. Folgen von Verstößen gegen die Nutzungsbedingungen
Deutlich gemacht werden sollten auch die möglichen Folgen von Verstößen gegen die Nutzungsbestimmungen und auf welche Art diese erfolgen. Bspw. kann das Löschen von Inhalten oder aber auch die Sperrung von ganzen Accounts eine Folge des Verstoßes sein.

PS: Wer die §§ in diesem Beitrag vermisst, mir wurde von mehreren Seiten gesagt, dass sei zu „juristisch“ und störe den Lesefluss. Wen jetzt die fehlenden §§ stören, der möge sich melden. 😉

Rechtliche Fallstricke bei Social Media Kampagnen – Teil 2a: Unternehmens-Community

Der erste Teil meines Artikels „Rechtliche Fallstricke bei Social Media Kampagnen – Teil 1: Videos“ behandelte die rechtlichen Probleme der Erstellung und Verbreitung von Unternehmens-Videos. Solche werden häufig innerhalb von Social Media Kampagnen im Employer Branding und im Marketing zur Kommunikation genutzt.

Im Folgenden werden die rechtlichen Probleme bei Unternehmens-Communities behandelt. Heute geht es um die Probleme des Anmelde-Prozesses bei einer Community. Im nächsten Teil (2b) geht es dann um die Nutzungsbedingungen.

Unternehmens-Communities (im Folgenden: Communities) werden von den Unternehmen in der Regel genutzt, um ihre Social Media Aktivitäten aus den und über die verschiedenen Kanäle(n) letztlich auf der eigenen Seite zu bündeln. Eine die Regel bestätigende Ausnahme, bei der seit kurzem auf die eigene Web-Präsenz komplett verzichtet wird, stellt der Egmont-Verlag bzw. vielmehr die FHM dar. Sie ist nur noch über die FHM-Facebook-Seite im Netz zu erreichen. Ob das der Weisheit letzter Schluss ist, bleibt abzuwarten. Ich würde jedenfalls meine Medien-Präsenz nicht ausschließlich in die Hände eines schwer zu kalkulierenden Vertragspartners wie Facebook legen wollen. (Hierzu vielleicht mein Artikel „Ein paar Gedanken zu den Nutzungsbedingungen von Facebook„)

Davon aber ab, gehen mehr und mehr Unternehmen dazu über nicht nur Social Media über Dritte zu betreiben, sondern auch selbst Zwei-Kanal-Kommunikationsangebote, insbesondere über Unternehmens-Communities vorzuhalten. Ein großes deutsches Unternehmen, das sicher weltweit zu den innovativsten seiner Branche zählt, bietet im personalisierten Community-Bereich beispielsweise nicht nur einen Produkt-Konfigurator, ein Magazin und zahlreiche andere nützliche Service-Leistungen im, sondern auch die Möglichkeiten, eigene Bilder vom persönlichen „Lieblings-Produkt“ der Firma hochzuladen und mit Kommentaren zu versehen. Klar, die Nähe zur Marke soll verstärkt werden und die (wie heißt es so schön?) persönliche Emotionalität der Marke auch für Dritte über dieses Tool erlebbar werden.

Nicht ganz so innovativ ist dabei allerdings der Anmelde-Prozess dieser Firma zum personaliserten Bereich. Der sieht aus wie folgt:

Die datenschutzrechtliche Einwilligungserklärung lautet dann in conreto:

Wie halten Sie davon? Sie finden, das sieht ganz gut aus? Vor allem erkennen Sie Ihren eigenen Anmeldeprozess auf der Website irgendwie wieder? Ich hatte es befürchtet.

Und zwar aus den folgenden Gründen:

Zu Gunsten des Daten- und des Verbraucherschutzes stellen u.a. das UWG (Gesetz gegen den unlauteren Wettbewerb), das TMG (Telemediengesetzt) sowie das BDSG (Bundesdatenschutzgesetz) zwar leider nicht ganz einfach zu verstehende, aber dafür um so striktere Vorgaben auf, wie, wann und wozu im elektronischen Verkehr Daten erhoben und verwendet werden dürfen sowie wie, wann und wo über eben diese beabsichtigte Verwendung zu informieren ist. Aber der Reihe nach.

Wenn Sie eine solche Unternehmens-Community für Ihre Kunden bereit halten wollen, dann sollten Sie auf das Folgende achten.

Anmeldeprozess in Bezug auf Nutzungsbedingungen, Marketing und Datenschutz
Der Anmeldprozess sollte sowohl in Bezug auf das (künftige) Marketing, den Datenschutz und die Nutzungsbedingungen rechtlich einwandfrei sein. Dies vor dem einfachen juristischen Hintergrund als das Verstöße gegen das UWG, TMG als Ordnungswidrigkeit mit bis zu 50.000 EUR , Verstöße gegen das BDSG mit bis zu 300.000 EUR (im Einzelfall sogar mehr) geahndet werden können. Und vor dem – für Sie vermutlich relevanteren – tatsächlichen Grund, dass man als Unternehmen eine „PR-Kampagne“ durch den behördlichen Datenschutzbeauftragten oder die Verbraucherschutzzentrale schlichtweg nicht gebrauchen kann.

Im Einzelnen:

Der Anmeldeprozess – 1: Einwilligung in die Datenerhebung
Gemäß § 13 I TMG  hat „der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.“

Da in der Regel bei jedem Anmeldeprozess wenigstens die Email-Adresse anzugeben ist, welche ein personenbezogenes Datum ist, muss der Unterrichtungsverpflichtung nach § 13 I TMG nachgekommen werden. Da darüber hinaus nach § 12 I TMG „der  Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden darf, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“, muss der Nutzer eines Dienstes seine Einwilligung zu Erhebung dieser personenbezogenen Daten (hier: wenigstens Email-Adresse) abgeben. Schließlich wäre die Nutzung vieler dieser Dienste auch ohne die Abgabe personenbezogener Daten dem Grunde nach möglich.

Am besten erfolgt dies über das zur Verfügungstellen einer Datenschutzerklärung und einem Opt-In:

? Ja, ich habe die Datenschutzerklärung sowie die Nutzungsbedingungen gelesen und erkläre mich mit diesen einverstanden.

Wie eine solche Datenschutzerklärung im Einzelnen auszusehen hat, ist im Rahmen dieses Artikels nicht abzubilden und hängt darüber hinaus – oh Wunder – vom Einzelfall ab. Auf jeden Fall sollte eine Datenschutzerklärung aber die folgenden Punkte enthalten:

  • Art, Umfang und Zweck der Datenverarbeitung
  • Information über anonyme oder pseudonyme  Nutzungsmöglichkeit
  • Widerspruchs- und Widerrufsrechte
  • Auskunfts-, Berichtigungs-, Sperrungs- und  Löschungsrechte
  • (Email!)-Adresse zum Ausüben der genannten Rechte (folgt aus § 5 TMG)
  • Informationen über Cookies
  • Information über Tools wie Google Analytics und Facebook-Like-Buttons etc.
  • Hinweis auf besondere Datenschutzregelungen bei Nutzungen von bestimmten Angeboten der Website

Sehr schwierig ist die dargestellte „datenschutzrechtliche Einwilligungserklärung“ zu beurteilen! In dem Beispiel wird zum einen gerade nicht zu Beginn des Nutzungsvorgangs umfänglich über die Verwendung der Daten informiert. Denn die Datenschutzerklärung  des Unternehmens (die juristische mE für sich genommen auch kritisch zu betrachten ist) findet sich an anderer Stelle. Hiervon erfährt der Nutzer bei dem Anmeldeprozess jedoch nichts. Zum anderen wird die Einwilligung zur Datenerhebung mit der Einwilligung, Werbung zu erhalten, vermengt.

Nach § 12 III TMG a. F. war es dem Diensteanbieter „nicht erlaubt, die Bereitstellung von Telemedien von der Einwilligung des Nutzers in eine Verwendung seiner Daten für andere Zwecke (hier Werbung) abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu diesen Telemedien nicht oder nicht in zumutbarer Weise möglich ist“. § 12 III TMG a.F ist jedoch Ende 2009 aufgehoben worden. Damit besteht kein sog. eindeutiges Kopplungs-Verbot mehr. Ob es dennoch weiter besteht, ist strittig (vgl. § 12 Abs. III TMG iVm. § 28 BDSG). Streiten kann man im Beispielsfall auch, ob nicht ein Verstoß gegen § 6 I Nr. 1 TMG vorliegt, wonach die kommerzielle Kommunikation klar erkennbar sein muss. Ist es das im vorliegenden Fall? Der Nutzer muss schon sehr genau lesen, damit er erkennt, nicht nur eine datenschutzrechtliche Einwilligung abzugeben.

Nach dem Wortlaut des TMG wäre also die Verknüpfung der Einwilligung der Datenerhebung mit der Einwilligung zum Werbungserhalt zulässig, da eben eine Einwilligung vorliegt. Doch es handelt sich hier auch um die Einwilligung zu Email- und Telefonwerbung. Und damit sind wir beim nächsten Punkt:

Anmeldeprozess – 2: Einwilligung in Werbung
Nach dem Wettbewerbsrecht, genauer § 7 II Nr. 2 und Nr. 3 UWG, ist zur Telefon- und Email-Werbung die vorherige ausdrückliche Einwilligung notwendig. Damit ist klar gestellt, dass Email-Werbung nur zulässig ist, wenn per Opt-In vom Nutzer entsprechend votiert wird. In dem oben dargestellten Beispiel kann ich jedoch nur per Opt-In der Verwendung meiner Daten (wozu auch der Zweck der Werbung gehört) zustimmen und muss per Opt-Out der Verwendung meiner Daten zu Werbezwecken widersprechen.

Meines Erachtens ein klarer Verstoß gegen § 7 II UWG. Wenn sich das Justiziariat des betreffenden Unternehmens darüber Gedanken gemacht hat, wird es wahrscheinlich anders argumentieren. Nämlich, dass das doch ein Opt-In zum Erhalt von Werbezwecken gegeben ist und der Nutzer nur im Anschluss wieder ein Opt-Out wählen kann….

Ich halte eine solche Vorgehensweise für keine sehr schöne Lösung. Mag es rechtlich vielleich gerade so gehen (Ob tatsächlich, das werden künftige Entscheidungen zeigen). Aber nicht nur der „durchschnittliche Verbraucher“ im Sinne des UWG ist mittlerweile der „aufgeklärter und informierter Verbraucher“, auch der Internet-Nutzer erkennt bei einer solchen Vorgehensweise, dass es um nichts anderes geht als Daten-Abgriff zu Werbezwecken. Und selbst wenn er es auf den ersten Blick nicht sieht, wird er sich schrecklich aufregen, immer zu Werbung des betreffenden Unternehmen zu bekommen. Auch nicht das, was man sich als Kundenmeinung wünscht.

Äußerst problematisch wird es im Übrigen, wenn diese Art zu verfahren, nicht nur von mir, sondern auch von Gerichten als rechtswidrig beurteilt wird. Denn dann ist alles mit einem solchen Prozess gewonnenes Daten-Material „totes“ Material, das nicht verwendet werden darf. (Dazu unten noch mehr).

Ich würde sogar empfehlen, Telefon- und Email-Werbung getrennt von einander abzufragen. Bei einem „aufgeklärten Nutzer“ (um im Sprachbild zu bleiben) ist es mE viel wahrscheinlich, dass er bei grundsätzlichem Interesse zwar Email-Werbung optional erhalten wollen würde, aber bei gekoppelter Abfrage von Telefon und Email davor zurückschreckt, überhaupt eine Zustimmung zu Werbezwecken abzugeben. (Oder erhalten Sie gerne Werbeanrufe zu Hause?)

Im Übrigen sind mE die Standard-Einwände der Marketing-Abteilungen „Wenn wir das mit getrenntem (Double-)Opt-In machen, dann bekommen wir gar keine Daten!“ nicht stichhaltig. Denn zum einen sind ordentliche Anmelde-Prozesse vertrauensbildend. Und zum anderen ist rechtswidrig erlangtes Datenmaterial nicht zu verwenden. (Dazu sogleich).

Und so könnte es aussehen:

? Ja, ich habe die Datenschutzerklärung sowie die Nutzungsbedingungen gelesen und erkläre mich mit diesen einverstanden.

  • Ja, ich möchte in Zukunft Informationen über das Unternehmen und seine Produkte per Email erhalten.
  • Ja, ich möchte in Zukunft auch telefonisch über das Unternehmen und seine Produkte informiert werden.

Anmeldeprozess – 3: Double-Opt-In
Äußerst empfehlenswert, bzw. im Ergebnis aus praktischen wie rechtlichen Gründen zwingend, ist die Gestaltung des Anmeldeprozesses als Double-Opt-In.

Denn § 13 II TMG schreibt vor
„Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
    • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.“

    Schon aus diesen „Protokoll-Zwecken“ ist es mehr als ratsam, die Einwilligung(en) gleich als Double-Opt-In zugestalten. Die Einwilligung wird über die Response-Email für das Unternehmen automatisch protokolliert und der Nutzer bekommt per Email sogleich noch einmal den Inhalt seiner Einwilligung zugesendet, so dass dieser Inhalt dann jedenfalls für den Nutzer jederzeit abrufbar ist. Ich würde auch empfehlen in der dem Nutzer zu sendenden Email klar aufzuzeigen, wofür er sich entschieden hat. (Datenerhebung? Werbung? Und wenn ja welcher Art.)

    Anmeldeprozess – 4: Die Folgen
    Ein Verstoß gegen die vorgenannten Regelungen und (Informations-)Verpflichtungen des TMG kann jeweils bis zu 50.000 EUR kosten.

    Ein Verstoß gegen § 7 II Nr. 2 UWG schlägt ebenfalls mit bis zu 50.000 EUR zu Buche.

    Kurz und knapp könnte man sagen: Liegen keine oder keine ordnungsgemäßen Einwilligungen vor oder werden Informationspflichten verletzt, setzt sich das Unternehmen immer der Gefahr aus, eine Ordnungswidrigkeit begangen zu haben.

    Werden darüber hinaus Daten zu Werbezwecken verwandt, bei denen der Nutzer diesem Verwendungszweck ausdrücklich widersprochen hat, können nach dem BDSG bis zu 300.000 EUR und mehr fällig werden.

    Und wer jetzt meint, ihn betreffe das alles nicht: Die Datenschützer und die Verbraucherschutzverbände sind derzeit (nicht ganz zu unrecht) auf den Barrikaden. Und da kann der – von mir eingangs genannte – tatsächliche Grund, dass man als Unternehmen eine „PR-Kampagne“ durch den behördlichen Datenschutzbeauftragten oder die Verbraucherschutzzentrale schlichtweg nicht gebrauchen kann, auch mehr weh tun als ein paar tausend Euro.

    In diesem Sinne. Eine gute Nacht!

    Implementierung von Facebooks „Like-Button“ – Adaption der Datenschutzerklärung notwendig?

    Um das Ergebnis gleich vorweg zu nehmen, die Datenschutzerklärung von Webseitenbetreibern, die Like-Buttons anbieten, müssen meines Erachtens unbedingt angepasst werden. Warum und wieso? Das können Sie in den folgenden Zeilen ergründen.

    Eine Einführung – Was hat Google Analytics mit dem Facebook Like-Button zu tun?
    Eine ganze Menge. (Fast) Jeder weiß mittlerweile das Folgende: Wird Google Analytics auf den eigenen Seiten eingebaut, so sind die User in der Datenschutzerklärung hierauf gesondert hinzuweisen, nebst Erläuterungen wie der User durch Vornahme einzelner Einstellungen die Erfassung seiner Wege im Internet durch Google Analytics verhindern kann.

    Das Webanalyse-Tool von Google steht immer noch regelmäßig in der Kritik, da die Möglichkeit besteht, dass die durch Analytics aufgezeichneten anonymen Bewegungsprofile mit anderweitig bei Google vorrätigen personenbezogenen Daten (bspw. dem Email-Konto) verknüpft werden könnten.

    Dies mutet doch recht skurril an, wenn man sich einmal Google Analytics mit dem Facebook „Like-Button“ bzw. „Gefällt mir“-Button vergleicht:

    Bei Google Analytics wird ein anonymes Bewegungsprofil aufgezeichnet. Übermittelt wird nur die IP-Nummer. Google sichert durch die eigene Datenschutzerklärung zu, das Bewegungsprofil nicht mit anderen personenbezogenen Daten zu verknüpfen. (Was überhaupt nur möglich ist, wenn Google über andere personenbezogene Daten verfügen würde! Bspw. Email-Account eines Nutzers o.ä.) Diese Zusicherung und Aufklärung verlangt Google in seinen Google Analytics AGB auch von jedem, der Google Analytics auf der eigenen Website installiert. Darüber hinaus existiert mittlerweile – aufgrund des öffentlichen Drucks – der Google Analytics Code „anonymizeIp()“, mit dem vor jeder weiteren Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht werden können. Damit ist eine konkrete Identifizierung des Webseiten-Besucher ausgeschlossen. Übrig bleibt die nur Möglichkeit einer groben (und in jedem Fall rechtlich zulässigen) Lokalisierung.

    Mit dem Facebook-PlugIn, der unter dem Namen „Like-Button“ hinlänglich bekannt ist, sieht dies jedoch gänzlich anders aus. Seit April 2010 kann dieser Button nicht nur auf Facebook genutzt werden, sondern in jede beliebige Website zu jedem beliebigen Artikel, Foto oder Video eingebaut werden. Der Nutzen für die Webseiten-Betreiber, die diesen Button einbauen, liegen klar auf der Hand. Klickt ein Besucher der Site, nennen wir ihn Max, diesen Button an, können alle seine Freunde, darunter Henri, bei Facebook sehen, dass er sich für die Inhalte der Site interessiert und besuchen daraufhin ebenfalls die Seite und klicken evt. den Like-Button an, da sie sich mit einiger Wahrscheinlichkeit für die gleichen Inhalte wie der erste Besucher interessieren. Besagter Henri kann dann sehen, dass nicht nur sein Freund Max, sondern auch Viola und Marit ebenfalls den Button angeklickt haben usw. usf.. Willkommen also in der Social-Media-Welt mit ihren Viral-Effekten, die hier eben dem Webseitenbetreiber zu Gute kommen (können). Aber was schrieb ich eben? Der zweite Besucher kann erkennen, dass nicht nur Max (der ihm die Seite empfohlen hat), sondern auch Viola und Marit den Button angeklickt haben sowie dass 12 weitere Personen dies taten? Ja. Genau.

    Das funktioniert wie folgt: Loggt sich Max bei Facebook ein, setzt Facebook ein Cookie. Besucht Max nun eine externen Website auf der der Like-Button implementiert ist, so interagieren der Webbrowser von Max und der gesetzte Like-Button-Code. Der Code – und damit Facebook, erkennt, wer dort surft. Wird der Like-Button nun auch von Max gedrückt, wird diese Interaktion im sog. „Social Graph“ von Facebook gespeichert. Und obacht: Dies funktioniert auch, wenn Facebook geschlossen wurde, solange Max sich nicht über den Logout bei Facebook abgemeldet hat. Facebook kann theoretisch zwar nicht erkennen auf welcher Website der Like-Button installiert ist.  Der Webseitenbetreiber muss jedoch im Facebook-PlugIn-Code eine URL angeben, damit eben diese konkrete Verknüpfung zustande kommen kann. Facebook erkennt also, um wen es sich handelt, auf welcher Website er war und vermerkt dies. Da Facebook aber in diesem Fall auch schon gespeichert hat, dass Viola und Marit neben Max den Button angeklickt haben, wird Henri dies ebenfalls mitgeteilt. Schließlich ist er auch mit Marit und Viola befreundet. Die anderen 12 Personen bekommt er nicht mitgeteilt. Denn mit diesen ist Henri nicht über Facebook verbunden. (Stichwort: Virale Effekte in Sozialen Netzwerken). Derzeit scheint im Übrigen nicht geklärt zu sein, ob Facebook die Daten nur speichert, wenn der Button gedrückt wird oder ob schon das Besuchen einer Website mit einem Like-Button für das Erstellen eines Bewegungsprofils genutzt wird.

    Wir sehen also, dass Facebook ganz offen – jedenfalls wenn geklickt wird – personenbezogene Web-Analysen, hier auch Social Graph genannt, vornimmt und speichert. Personenbezogen sind die Daten deswegen, da jeder einzelne User eben über sein Facebook-Profil identifiziert werden kann. Für Facebook liegt der Vorteil ebenso klar auf der Hand, wie für die Webseitenbetreiber. Facebook kann anhand der Web-Bewegungen der Einzelnen sehr differenzierte soziografische Profile anlegen und – klar – verkaufen. Für den User hat das sogar den Vorteil, dass er im Zweifel auf seinen Seiten Werbung erhält, die ihn wirklich interessiert. Die Passgenauigkeit von Werbung wird extrem erhöht. Wirklich relevant ist  diese Form der Facebook Werbung derzeit zwar nocht nicht, glaubt man Fachblättern wie Horizont. Wie jedoch die aktuelle, mehrteilige Serie zum Advertisement bei Facebook in der Internet World Business zeigt, sind die Marketing-Manager gerade dabei, es für sich zu entdecken.

    Bis dato kann ich keinen wirklich Aufschrei der Datenschützer-Fraktion erkennen. Zwar wird heiß diskutiert, ob der Like-Button in Deutschland unter datenschutzrechtlichen Gesichtspunkten überhaupt zulässig ist, jedoch geschieht dies – wie ich finde und insbesondere im Vergleich zu den Google-Analytics-Diskussionen – ziemlich leise. Man siehe nur das Setzen und wieder Entfernen des Like-Buttons auf dem Hamburger Stadtportal hamburg.de, dessen Geschichte im stadteigenen Blog sehr schön nachzulesen ist. Einen Aufschrei in der Hamburger Medienlandschaft habe ich dazu nicht vernommen. (Oder ist der an mir einfach vorbeigerauscht im Datenstrom?)

    Besonders problematisch ist hier die Frage, ob der Like-Button eben auch die Daten von Usern an Facebook übermittelt, die den Button nicht drücken, da der Code des Like-Buttons die User schon aufgrund des gesetzten Cookies erkennt. Aber der Reihe nach. Zunächst stellt sich die Frage, ob der Like-Button nach deutschem Recht datenschutzrechtlich überhaupt zulässig sein kann. Die sich daran anschließende Frage ist, was dieses Ergebnis für Webseitenbetreiber bedeutet.

    Facebook-PlugIn überhaupt datenschutzrechtlich zulässig?
    Wie oben dargestellt ermöglicht die externe Einbindung des Like-Button-Codes Facebook zu erkennen, ob ein Mitglied die Site besucht und Facebook erhält, wenn der Button geklickt wird, die weiteren Interaktions-Daten.

    Diese Informationen sind – wie ebenfalls schon erläutert – personenbezogene Daten im Sinne des § 3 BDSG, da die Nutzer über ihr Profil zu identifizieren sind. Die Frage ist nun, ob eine Übermittlung von personenbezogenen Daten durch den Webseitenbetreiber an Facebook im Sinne des § 3 Abs. 4 Nr. 3 BDSG vorliegt. Wenn es sich um eine solche handelt, dann muss der Nutzer eingewilligt haben oder aber es muss eine Erlaubnisnorm vorliegen (vgl. §§ 4 und 4a BDSG sowie § 12 TMG)

    So beschäftigt sich bspw. der Kollege Helbing aus München mit der Argumentation, dass eine Übermittlung schon deswegen nicht vorliegen könne, „da für den Webseitenbetreiber kein personenbezogenes Datum vorliegt, da er den Seitenbesucher nicht mit einem Facebook-Konto und damit einer natürlichen Person in Verbindung bringen kann (Relativität des Personenbezugs).“ Die Argumentation hätte, Herrn Helbing zugegeben, den Charme, dass man weder einer Einwilligung noch einer Erlaubnisnorm bedürfte. Meines Erachtens scheitert dies jedoch an § 3 Abs. 4 Nr. 3 Ziff. b BDSG, wonach „Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft“ ist. Der Dritte ist hier Facebook und der ruft die durch das Setzen des Codes durch den Webseitenbetreiber bereitgehaltenen Daten ab. Damit liegt eine Übermittlung vor. [Einmal davon abgesehen, dass mir das Ergebnis, sie läge nicht vor, auch nach allem Gesagten erhebliche Bauchschmerzen bereiten würde.]

    Wenn es sich aber um eine Übermittlung handelt, dann bedarf es der Einwilligung der Nutzer oder aber einer Erlaubnisnorm:

    Privilegierung der Auftragsdatenverarbeitung, § 11 BDSG
    An den Tatbestand des § 11 BDSG im Sinne einer Auftragsdatenverarbeitung kann man kurz denken, jedoch kommt er schlicht nicht in Betracht, da Facebook und der Webseiten-Betreiber zwar verschiedene Stellen sind, aber zwischen der Webseiten-Betreiber und Facebook kein irgendwie geartetes Auftraggeber/Auftragnehmer-Verhältnis mit Weisungsgebundenheit besteht.

    Einwilligung iSv. § 4a BDSG, § 12 TMG
    Eine Einwilligung wäre theoretisch möglich. Sie scheitert jedoch praktisch. Es handelt sich bei den Webseiten in der Regel um Telemediendienste. Das bedeutet, dass das Telemediengesetz auch in Bezug auf den Datenschutz vorrangig vor dem BDSG einschlägig ist. Und nach § 13 Abs. 2 TMG müsste der User anklicken (Opt-In!), dass er mit der Erhebung und Übermittlung seiner Daten an Facebook einverstanden sei.

    Andere Vorschriften des BDSG scheiden wegen der Vorrangigkeit des TMG hier von vornherein aus.

    § 15 TMG als Rechtsgrundlage und einschlägige Erlaubnisnorm
    In Betracht kommt somit allenfalls noch § 15 Abs. 1 TMG:

    „Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

    Demnach kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, soweit dies für Inanspruchnahme von Telemedien erforderlich ist. Die Verknüpfung mit Facebook durch den Like-Button ist ein angebotener Telemediendienst im Sinne von § 15 TMG. Weiter kann der Like-Button nur benutzt werden, wenn die Daten an Facebook auch übermittelt werden. Also ist die Übermittlung auch  erforderlich im Sinne des TMG, jedenfalls dann wenn der Dienst angeboten werden soll (was in der Entscheidung des Webseitenbetreibers steht). Bis hier hin kann § 15 TMG als Rechtsgrundlage herangezogen werden. Jedoch hält der Paragraph zwei weitere Tatbestandsmerkmale vor: um die Inanspruchnahme zu ermöglichen und abzurechnen. Zur Ermöglichung des Dienstes ist die Übermittlung notwendig. Aber zur Abrechnung? Gegenüber den surfenden Facebook-Mitgliedern sicher nicht.

    Damit steht die Frage im Raum, ob das „und“ kumulativ gelesen werden muss oder ob eine alternative Auslegung im Sinne von „sowie“ möglich ist.
    Bei wortgetreuer, also kumulativer Auslegung, des Wortes „und“ wäre die Erhebung von Nutzungsdaten nur dann erfasst, wenn sie auch zu Zwecken der Abrechnung erfolgen würde. Dies würde den Anwendungsbereich von § 15 Abs. 1 TMG sehr stark einengen. Einerseits könnte hier argumentiert werden, dass dies – im Sinne des Datenschutzes – die Intention des Gesetzgebers war. Andererseits ergibt sich aus § 15 Abs. 4 TMG, dass die Nutzungsdaten dann über den Nutzungsvorgang hinaus gespeichert werden können, wenn dies zu Abrechnungszwecken notwendig ist. Daraus kann abgeleitet werden, dass eben Nutzungsdaten nur zur Ermöglichung eines Dienstes gespeichert werden können. So wie es bei dem Like-Button der Fall wäre.

    Insoweit könnte § 15 Abs. 1 TMG als Rechtsgrundlage zur Speicherung herangezogen werden.

    Zu berücksichtigen ist einerseits noch das datenschutzrechtliche Grundprinzip der Datensparsamkeit, das in § 3a BDSG zu finden ist. Als Grundsatz des Datenschutzes findet es auch im TMG seinen Widerklang. Unter Berücksichtigung dieses Prinzips der Datenspeicherung ist jedenfalls fraglich, ob § 15 Abs. 1 TMG auch als Rechtsgrundlage für die Speicherung der Bewegungsprofile derjenigen Nutzer angesehen werden kann, die den Button nicht betätigen.

    Und andererseits ist mE zu berücksichtigen, dass der User es absolut selbst in der Hand hat, ob er durch Facebook von sich ein Bewegungsprofil erstellen lässt. Er kann sich schlicht ausloggen und somit die Erstellung eines „Social Graphs“ jedenfalls verhindern. Ich halte es nicht mit Mark Zuckerberg, dass die Privatsphäre nicht mehr zeitgemäß ist. Aber eine informationelle Selbstverantwortung sollte sich jeder, der im Netz unterwegs ist, auferlegen. Kritisieren kann man an dieser, meiner, Meinung, dass eine informationelle Selbstverantwortung erst dann möglich ist, wenn der User aufgeklärt ist. Aber ich denke hier sind mit § 13 Abs. 1 TMG (dazu sogleich) genügend Mittel vorhanden, um das zu bewerkstelligen. [Schließlich sind wir im Wettbewerbsrecht über die Jahre auch vom „unmündigen, sich leicht irreführen lassenden“ zum aufgeklärten Verbraucher gekommen!]

    Bedeutung für Webseiten-Betreiber? § 13 Abs. 1 TMG!
    Die Datenschutzbehörden werden sich, ebenso wie bei Google Analytics, in erster Linie an Webseiten-Betreiber denn an das „unerreichbare“ Facebook wenden.. Allerdings darf nicht vergessen werden, dass Facebook rechtlich in Irland und damit in Europa sitzt. Was das „Erreichen“ doch wieder etwas einfacher macht. (Auf das durch den Hamburger Datenschützer Casper gegen Facebook eingeleitete Bußgeldverfahren wegen des Friends-Finders bin ich gespannt!)

    Ob jetzt § 15 TMG voll umfänglich als Rechtsgrundlage für den Like-Button fungiert, kann jetzt mal dahingestellt bleiben. Davon ausgehend, findet jedenfalls eine Übermittlung von personenbezogenen Daten statt (s.o.). Deswegen gilt § 13 Abs. 1TMG:

    „Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

    Das wiederum heißt, dass in der Datenschutzerklärung über die Funktionalität des Like-Buttons voll umfänglich aufgeklärt und dargelegt werden muss, wie eine Erhebung der Daten verhindert werden kann (durch Ausloggen bei Facebook).
    Ganz streng genommen, muss diese Aufklärung erfolgen „bevor der Dienst genutzt wird“. Da Facebook die Daten schon sammelt, wenn ein eingeloggter Nutzer die Site betritt, bedürfte es demnach einer Vorschaltseite, auf der über die Datenschutzerklärung informiert wird und die natürlich keine Logfiles speichert! Andernfalls würde es sich wieder um eine nachträgliche anstelle der vorherigen Belehrung handeln. Das dies kaum praktikabel ist, wird einleuchten. Im Übrigen trifft das gleich Problem auf Google Analytics zu und hier wird eine Aufnahme in die Datenschutzerklärung, die leicht zu erreichen ist, ebenfalls als vollkommen ausreichend gesehen.
    Also: Ändern Sie Ihre Datenschutzerklärung. Lassen Sie sie am Besten ändern. Und wenn Sie noch gar keine auf ihrer Website haben, dann verlieren Sie bloß keine Zeit. Oder wollen Sie mir sagen, sie hätten keine Kommentierungsfunktion, bei der man sich mit einer Email anmelden muss? 😉

    Wenn Sie gegen § 13 Abs. 1 TMG verstoßen, dann kann Ihnen nach § 16 TMG ein Bußgeldbescheid wegen einer Ordnungswidrigkeit in einer Höhe bis zu 50.000 EUR ins Haus flattern. Unschön, oder?

    Und die Datenschutzbehörden?
    Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.

    Letzte Worte
    Wieder einmal ist zu erkennen, dass die heutigen Datenschutzbestimmungen nicht mehr zu den Anwendungsmöglichkeiten des Web 2.0 passen. Die Möglichkeiten die Social Media – vor allem im positiven Sinn – bietet, können mit den bestehenden Regelungen nicht sinnvoll datenschutzmäßig bekleidet werden. Jedenfalls nicht auf leicht verständliche Art und Weise. Auch ich halte von daher eine Überarbeitung und grundlegende Reform der Datenschutzgesetzes für notwendig, wenn nicht noch mehr schwer zu durchschauendes „Stückwerk“ entstehen soll. In diesem Zusammenhang noch mal der Hinweis auf den Artikel von Tobias Kläner „Datenschutz und Datensicherheit in sozialen Netzwerken“.

    In diesem Sinne, einen schönen Dienstag!

    Ein paar Gedanken zu den Nutzungsbedingungen von Facebook

    Über die Nutzungsbedingungen von Facebook ist schon viel geschrieben, gepostet und getwittert worden. Aber wer guckt sich die AGB denn schon mal wirklich an? Die Wenigsten. Ich habe sie beruflich schon ein paar Mal vor meiner Nase gehabt. Erstaunt bin ich vor allem immer wieder darüber, dass die Bedingungen selbst für einen Juristen kaum zu durchdringen sind. Schließlich gibt es nicht nur die Nutzungsbedingungen, sondern darüber hinaus Werberichtlinien, Richtlinien für Promotions, Grundsätze und Richtlinien für Entwickler, Zahlungsbedingungen, „Über Plattform“ (Richtlinie, wenn Anwendungen von Dritten implementiert werden), Nutzungsbedingungen für Seiten und die Datenschutzrichtlinie. Und alle beziehen sich irgendwie, irgendwann und irgendwo aufeinander. Da kann man leicht den Überblick verlieren, welche Regelung denn nun überhaupt im eigenen Fall anwendbar und/oder vorrangig ist.

    Eine komplette rechtliche Analyse der Facebook-Nutzungsbedingungen insbesondere im Hinblick darauf, ob sie vor einem deutschen Gericht Bestand hätten, würde wohl den Rahmen einer Dissertation annehmen. Deswegen soll dies gar nicht erst Ziel dieses Artikels sein. Stattdessen will ich einfach mal die eine oder andere (wie sollen wir es nennen?) „Kuriosität“ dieser AGB im Folgenden herausstellen und mit Anmerkungen versehen:

    Ziffer 2. Der Austausch deiner Inhalte und Informationen
    Hier heißt es:

    „Dir gehören alle Inhalte und Informationen, die Du auf Facebook postest. […] Für Inhalte, die unter die Rechte an geistigem Eigentum fallen, wie Fotos und Videos („IP-Inhalte“), erteilst du uns vorbehaltlich deiner Privatsphäre- und Anwendungseinstellungen die folgende Erlaubnis: Du gibst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, unentgeltliche, weltweite Lizenz für die Nutzung aller IP-Inhalte, die du auf oder im Zusammenhang mit Facebook postest („IP-Lizenz“). Diese IP-Lizenz endet, wenn du deine IP-Inhalte oder dein Konto löschst, außer deine Inhalte wurden mit anderen Nutzern geteilt und diese haben sie nicht gelöscht.

    Dazu in Ziffer 16:

    „Ziffer 2 gilt mit der Maßgabe, dass unsere Nutzung dieser Inhalte auf die Verwendung auf oder in Verbindung mit Facebook beschränkt ist.“

    Man lasse sich dies einmal im Kopf herumgehen. Jedes Foto darf also von Facebook verwendet und noch dazu – nachdem es unentgeltlich zur Verfügung gestellt wurde – weiterverkauft werden. Da hilft mE auch Ziffer 16 nur sehr bedingt. Denn was heißt „in Verbindung mit Facebook“? Eben nicht, dass es „auf Facebook“ verwendet wird, sonst gäbe es diese Formulierung nicht daneben.

    Noch erschreckender ist, dass diese Lizensierung nicht rückgängig gemacht werden kann. Jedenfalls dann nicht, wenn ich ein Bild hochgeladen und auf mein Profil gestellt, ergo mit anderen geteilt, habe. Und das wird schließlich mit den meisten Bildern gemacht. Also einmal ein Bild hochgeladen – und für immer die Kontrolle aus der Hand gegeben.

    Und was soll die Regelung „vorbehaltlich der Privatsphäreeinstellungen“? Dort kann ich nur bestimmen, welche Dritten (Freunde, Freunde von Freunden, Alle) meine Bilder und Daten sieht. In Bezug auf Facebook kann ich dort überhaupt keine Voreinstellungen treffen.

    Ich würde die Ziffer so auslegen, dass Facebook die Bilder etc., die als privat gekennzeichnet sind, denklogischer Weise nicht verwenden darf. Ich bin mir aber sicher, die Rechtsabteilung von Facebook sieht dies anders.

    Ziffer 3 Sicherheit und Ziffer 4 Registrierung und Sicherheit der Konten

    Die finde ich in großen Teilen schlicht so amüsant, wie die Erklärung, die man bei der Einreise in die USA abgeben muss – und im Übrigen genauso überflüssig. Aber schließlich handelt es sich auch dem Grunde nach um amerikanische Nutzungsbedingungen. Hier einige Auszüge:

    „Du wirst keine Viren oder bösartigen Code hochladen.
    Du wirst keine Anmeldeinformationen einholen oder auf das Konto zugreifen, das einer anderen Person gehört.
    Du wirst andere Nutzer weder tyrannisieren noch einschüchtern oder schikanieren.

    Vollkommen ausreichend, weil die vorgenannten inhaltlich umfassend, wären diese:

    „Du wirst keine Inhalte posten, die: verabscheuungswürdig, bedrohlich oder pornografisch sind, zu Gewalt auffordern oder Nacktheit oder Gewalt enthalten.
    Du wirst Facebook nicht verwenden, um rechtswidrige, irreführende, bösartige oder diskriminierende Handlungen durchzuführen.“

    Solche sind in dieser oder anderer Wortwahl gängige Formulierungen in Community-AGB’s. Sie beziehen sich letztlich auf gesetzlich normierte Verbote und Gebote bspw. aus dem Jugendschutz-, dem Wettbewerbs-, dem Straf- und Presserecht.

    Und das durfte natürlich in den Nutzungsbedingungen nicht fehlen:

    „Du wirst keinen heißen Kaffee oder sonstige Getränke bei der Facebook-Nutzung über Deine Tastatur gießen und uns dafür verantwortlich machen“[1]

    Aber auch besonders schön:

    „Du wirst Facebook nicht verwenden, wenn Du ein registrierte Sexualstraftäter bist.“

    In Deutschland scheitert der Punkt schon daran, dass es keine „registrierten Sexualstraftäter“ gibt, die wie in den USA den Behörden ihre Emailadressen und sonstigen personenbezogenen Daten zur Kontrolle offenlegen müssen (auch wenn man sich das als Eltern sicher persönlich wünschen würde).

    In der Realität scheitert das mE aber schon vorher: Oder kreuzen Terroristen bei der Einreise in die USA an, dass sie einen Anschlag planen?!?

    Sicher Facebook – wie auch myspace – reinigen per Datenabgleich ihre Netzwerke regelmäßig von registrierten Tätern, us-amerikanischen Tätern.

    Ziffer 4.10 Account-Namen
    Diese Regelung „verdient“ es, doch ein bißchen ernsthafter vorgestellt und erläutert zu werden:

    „Wenn du einen Nutzernamen für dein Konto auswählst, behalten wir uns das Recht vor, diesen zu entfernen oder zurückzufordern, sollten wir dies als notwendig erachten (zum Beispiel, wenn der Inhaber einer Marke eine Beschwerde über einen Nutzernamen einreicht, welcher nicht dem echten Namen eines Nutzers entspricht).“

    Wer meinen Artikel zu Social Media Accounts und Markenrechten gelesen hat, dem wird diese Regelung bekannt vorkommen. Wie ich auch schon dort erklärte, ist an dieser Regelung problematisch, dass überhaupt nicht ersichtlich ist, aber welchem Zeitpunkt Facebook „die Entfernung oder Rückforderung als notwendig erachtet“ De facto ist hier sowohl der Account-Inhaber als auch ggf. ein Dritter Verletzter der Güte von Facebook hilflos ausgeliefert. Man stelle sich den Fall vor, dass ein Account-Inhaber zu Recht einen Account führt und unter diesem erhebliche geschäftliche Tätigkeit entfaltet hat. Ein Dritter beschwert sich nun mit – zunächst sehr schlüssigen – Argumenten und der Account wird dem ursprünglichen Inhaber durch Facebook entzogen. Was kann dieser tun? Er kann sich mit anwaltlicher und gerichtlicher Hilfe den Account wieder aneignen. Die womöglich erfolgreich aufgebaute Facebook-Kommunikation ist aber erstmal zerstört und muss von neuem aufgebaut werden. Das ist schlecht. Und zieht die Frage nach sich, ob Facebook für die unberechtigte Entziehung des Accounts auf Schadensersatz haften könnte….(Vorausgesetzt der Schaden ließe sich beziffern und beweisen – was derzeit bei Social Media Kontakten allein schon ein tatsächliches Problem darstellt.)

    Ziffer 14 Beendigung oder die „Güte von Facebook
    Doch nicht nur hinsichtlich möglicher Rechtsverletzungen in Bezug auf Accounts ist der User von der Sicht Facebooks abhängig. Vielmehr behält sich Facebook – kurz gesagt – vor, nach eigenem Gutdünken, die Nutzung des Accounts ggf. zu untersagen, wie aus Ziffer 14 hervorgeht:

    „Wenn du gegen den Inhalt oder den Geist dieser Erklärung verstößt oder anderweitig mögliche rechtliche Risiken für uns erzeugst, können wir die Bereitstellung von Facebook für dich ganz oder teilweise einstellen. Wir werden dich per E-Mail oder wenn du dich das nächste Mal für dein Konto anmeldest darüber informieren.“

    Problematisch sind hier die nicht bestimmbaren Grenzen, wann Facebook die Bereitstellung einstellen kann. „Inhalt der Erklärung“ wäre noch durch Auslegung objektiv zu ermitteln. Aber „Geist der Erklärung“? Was soll das sein? Ins Juristendeutsch übersetzt: Vielleicht der Sinn und Zweck der Regelungen? Möglicher Sinn und Zweck einer Regelung dienen aber der Auslegung des Inhalts einer Regelung. Gegen diesen Sinn und Zweck kann aber nicht durch den Nutzer verstoßen werden. Vielmehr kann eine Auslegung eines Inhalts Sinn und Zweck der Regelung widersprechen und deswegen eine Auslegung solcher Art rechtswidrig sein.  Der Verstoß eines Nutzers ist nur gegen eine Regelung möglich, die einen Inhalt hat, der auf Sinn und Zweck der Erklärungen/Regelung beruht. (Puuh. So wer jetzt mehr zu Auslegung von Rechtsnormen wissen will, der kann bei Wikipedia beginnen, sich einzulesen)

    Und schließlich kann schon der Dienst eingestellt werden, wenn „Du anderweitige mögliche rechtliche Risiken für uns erzeugst„. Dazu siehe schon die Erläuterungen zu Ziffer 4.10.

    Im Übrigen stelle ich mir die Frage, ob ich durch diesen Artikel schon ein mögliches rechtliches Risiko für Facebook erzeuge, da ich doch die Facebook-Regelungen in Frage stelle, dies veröffentliche, sich andere darauf besinnen und deswegen eventuell einen Anwalt mit der Prüfung ihres Falles beauftragen? Vor dem Hintergrund, dass in Amerika eine Restaurantkette verklagt werden kann, wenn sich der Käufer eines Kaffees eben diesen selbst über Schoß kippt, würde ich nicht ausschließen, dass ich nach amerikanischem Recht hiermit ein tatsächliches rechtliches Risiko schaffe. Aber…

    Ziffer 15.1 in Verbindung mit Ziffer 16.3.2 – Gerichtsstand und geltendes Recht

    Nach Ziffe 15.1 gilt der ausschließliche Gerichtsstand Santa Clara County, Kalifornien, USA und sämtliche Ansprüche sind eben dort geltend zu machen. (Vermutlich gibt es dort keinen Datenschutz, kein Urheberrecht und keine Persönlichkeitsrechte? *ketzerischeRedewiederaus.)

    Aber uns Deutsche rettet Ziffer 16.3.2:

    „Ziffer 15.1 wird ersetzt durch: Diese Erklärung unterliegt deutschem Recht“

    Dieser kleine bescheidene Satz bedeutet:  Da diese Erklärung, also die AGB, deutschem Recht unterliegen, muss jede Ziffer einer AGB-Kontrolle standhalten und mit deutschem Recht im Einklang stehen. Deswegen kann sich der geneigte User beruhigt in dem Wissen zurücklehnen, dass seine schlimmste Alpträume in Bezug auf persönliche Daten und Dokumente an sich nicht wahr werden könnten. – Theoretisch.

    Praktisch muss das deutsche Recht auch durchgesetzt werden. Und wer verklagt schon Facebook, nur weil er bspw. der Meinung ist, dass mit seinen persönlichen Daten nicht ganz sauber umgegangen wurde? Bzw. woher das wissen? Und wer sich mit dem Gedanken tatsächlich trägt, der sollte wohl besser ein bißchen Geld auf der Seite haben. Wie eingangs gesagt, stellt allein die gründliche Prüfung der AGB von Facebook, um die Erfolgsaussichten in der konkreten (!) Sache überhaupt einschätzen zu können, eine nicht ganz kleine Aufgabe dar. Denn auch wenn das deutsche Recht gilt, so könnten diejenigen Regelungen, die nicht gegen das deutsche Recht verstoßen eventuell bestehen bleiben:

    § 306 BGB sieht an sich bei Unwirksamkeit einer Klausel in den AGB vor, dass die kompletten AGB keine Wirksamkeit mehr entfalten und an die Stelle der AGB die gesetzlichen Vorschriften treten. (sog. Verbot der geltungserhaltenden Reduktion). Doch in den Fällen, in denen für eine Vertragsergänzung wegen mangelnder AGB die geeigneten gesetzlichen Vorschriften fehlen und somit keine interessengerechte Lösung möglich ist, ist diese Lücke eben doch durch ergänzende Vertragsauslegung (interessensgerecht) zu schließen.

    Ich will nicht langatmig damit langweilen, ob hier das Verbot der geltungserhaltenden Reduktion durchgreifen könnte oder nicht. Denn gleich, ob die Facebook-Bedingungen in Teilen stehen blieben oder nicht, in jedem Fall wartet hinsichtlich der konkreten Erfolgsaussichten eine umfangreiche anwaltliche Prüfung, ob und wenn ja, welche Regelungen in welchem Ausmaß Gültigkeit haben (Nutzungsbedingungen und/oder gesetzliche Regelungen). Und bei dem Ergebnis der guten Erfolgsaussichten müsste die Angelegenheit auch noch auf dem Rechtsweg durchgebracht werden.  Dies verlangt vermutlich einen langen Atem. Denn ich glaube nicht, dass Facebook sich mit einer für sie negativen Entscheidung geschlagen geben würde. Dazu ist der deutsche Markt zu wichtig.

    Man darf also gespannt sein, ob und wann die ersten juristischen Fälle aufgrund der Nutzungsbedingungen von Facebook vor deutschen Gerichten landen. In Bezug auf Account-Namen wird es meines Erachtens nicht mehr lange dauern. In Bezug auf Datenschutz und Privatsphäre könnte auch schon zuvor der Druck von Datenschutzbehörden und/oder der Politik so erhöht werden, dass Facebook selbst vollkommen eigenständige Regelungen für Deutschland entwirft und dann vermutlich – zwangsweise – auch die eine oder andere Funktionalität verändert. So hat vor zwei Wochen bspw. der Hamburger Datenschutzbeauftragte Casper ein Bußgeldverfahren gegen Facebook wegen der „Friendfinder“-Funktion eingeleitet.

    Facebook steht wegen seiner unübersichtlichen Nutzungsbedingungen und Datenschutzrichtlinien allerdings nicht nur in Deutschland in der Kritik. Auch in Kanada und den USA formiert sich entsprechender Widerstand.

    Die abschließenden Worte
    Auf Augenhöhe mit den Nutzern zu arbeiten, darauf legt Facebook PR-technisch viel Wert. In der Sache, wie hier aufgezeigt, aber dann doch besser nicht. Facebook möchte die Nutzer in der Hand haben und darüber bestimmen, wer sich in seinen Netzwerken wie tummelt. Prinzipiell ist das vielleicht verständlich, aufgrund der Quasi-Monopol-Stellung von Facebook ist aber die Richtigkeit solcher Regelungen zu hinterfragen.
    Und in Bezug auf persönliche Daten hilft der Hinweis, man möge eigenverantwortlich mit seinen Daten bei Facebook umgehen, also nur insoweit, als es um die Kontrolle gegenüber anderen Nutzern geht. In Bezug auf Facebook sind keine Einstellungen zu treffen. Zu sagen, man solle Facebook dann einfach nicht mehr nützen, ist insbesondere vor dem Hintergrund der wirtschaftlichen Bedeutung aber auch der hohen Nützlichkeit für den privaten Gebrauch aufgrund der Stellung des Netzwerks leichter verkündet als sinnvoll umgesetzt.

    Da bleibt wohl nur, sich schnellstmöglich die Meinung von Zuckerberg „Privatsphäre ist nicht mehr zeitgemäß“ zu eigen zu machen.

    In diesem ironischen Sinn einen schönen Freitag!

    [1] Wer hat’s gemerkt? Diese Regelung habe ich eingebaut. Sie existiert nicht. Hätte mich aber auch nicht gewundert. Wer darüber gestolpert ist, darf sich jetzt ein Sternchen in sein Hausaufgabenheft malen.

    Exzellenter Artikel zu „Datenschutz und Datensicherheit in sozialen Netzwerken“

    Unbedingt muss ich hier noch einmal auf den sehr (!) lesenswerten Artikel „Datenschutz und Datensicherheit in sozialen Netzwerken“ von Tobias Kläner verweisen, der gestern im Telemedicus erschien.

    Lesenswert ist der Artikel vor allem deswegen, weil der Autor weder in das Horn der Datenschützer-Fraktion á la Aigner noch in das derjenigen, die wie Marc Zuckerberg der Meinung sind, „Privatspähre sei nicht mehr zeitgemäß“ bläst. Tobias Kläner setzt sich sehr pragmatisch mit dem öffentlichen Diskurs zum Thema Datensicherheit einerseits und den Bedürfnissen einer Web 2.0 Welt andererseits auseinander. Gerade die Funktion und die Bedeutung von Social Media wird meines Erachtens in der Debatte um Datensicherheit viel zu wenig berücksichtigt.

    So illustriert Kläner an folgendem Beispiel, wie sehr der Ruf der Datenschützer nach mehr Protektionismus die Gesellschaft 2.0 verkennt:

    „Man stelle sich nur einmal die absurde Situation vor, in welcher sich zwei Freunde bei Facebook suchen und nicht finden, weil die jeweiligen Privacy-Einstellungen so restriktiv definiert sind, dass man von anderen Nutzern quasi nicht im Netzwerk aufgefunden werden kann. Netzwerkeffekte würden unterbleiben, soziale Netzwerke wohl schlechthin nicht oder nicht in diesem Ausmaß existieren.“

    Dazu zeigt Kläner die Probleme der derzeitigen Datenschutz-Struktur auf und stellt mögliche Lösungsansätze vor. Insbesondere erinnert er daran, dass mit dem Recht auf informationelle Selbstbestimmung auch eine – so würde ich es jetzt mal nennen – informationelle Selbstverantwortung einhergeht. Anders ausgedrückt: Muss man seine privatesten Bilder und Meinungen mit der Öffentlichkeit teilen?

    Auf informatives und vergnügliches Lesen von „Datenschutz und Datensicherheit in sozialen Netzwerken“ von Tobias Kläner, Telemedicus v. 20.07.2010, http://telemedicus.info/a/1806.html.