Wir wissen es ja eigentlich schon lange, Facebook trackt und trackt unsere Daten und erstellt personifizierte Nutzerprofile. Ebenso lange wissen wir an sich auch, dass die Einbindung von Social-PlugIns datenschutzrechtlich hoch problematisch ist. Doch bisher galt: Ein Bußgeldbescheid ist eher unwahrscheinlich. Und Facebook demgegenüber als Viral-Faktor viel zu wichtig. Zu dem kämpfte bspw. der Hamburger Datenschutzbeauftragte viel zu sehr mit eigenen datenschutzrechtlichen Fehltritten mit den eigenen Tracking-Tools als dass da groß Raum für das Treten nach den anderen verblieben wäre (das war gerade ketzerisch, zugegebener Maßen…)
Gestern sprach ich jedenfalls noch darüber, dass derzeit die Gefahr eines Bußgeldbescheides wegen der Datenschutzrechtsverletzungen aufgrund der Einbindung von Facebook-PlugIns doch als relativ gering einzustufen ist. Und ein veritabler Shitstorm der Netzgemeinde wegen sonstiger Datenschutzverletzungen weitaus ernster zu nehmen sei.
Tja, das war gestern. Heute am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein eine Pressemitteilung sowie eine „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ herausgegeben. Mit diesem Gutachten hat sich das ULD sowohl technisch als auch rechtlich mit den Social-PlugIns UND den Fanpages (!) von Facebook auseinandergesetzt, kommt zu dem Ergebnis dass die Verwendung von beidem letztlich rechtswidrig ist und scheint ausweislich der Pressemitteilung eine harte Kante fahren zu wollen. Und das ist ein verdammt guter Grund, diesen Artikel bis zum Ende zu lesen. Denn die Bußgeldandrohung liegt nach § 16 TMG (Telemediengesetz) bei bis zu 50.000 EUR. Und nein, es sieht nicht so als würde das ausschließlich in Schleswig-Holstein so gesehen.
Im Folgenden nun die für die Telemedienbetreiber (also jeden, der eine Website, einen Blog, eine FB-Page o.ä. nicht ausschließlich privat betreibt!) relevanten Fakten aus dem Gutachten in – hoffentlich – verständlicher Form sortiert und zusammengefasst. Zunächst kurz zum technischen Hintergrund, dann zur rechtlichen Analyse und schließlich zu meinem Fazit. (Wer das technische und rechtliche Gedöns nicht lesen mag, der sollte einfach runterscrollen…)
Der technische Hintergrund
Zum einen protokolliert FB das Verhalten von angemeldeten Nutzern innerhalb des Netzwerkes (auf der Internetpräsenz www.facebook.com) und außerhalb des Netzwerkes, wenn diese über die Webseiten Dritter mit eingebundenen Social PlugIns surfen. Zum anderen protokolliert FB die Interaktion von nicht angemeldeten Usern. Sowohl in dem Fall, in dem diese die Webseiten von Facebook aufrufen als auch, in dem die User auf Internetseiten surfen, auf denen Social-PlugIns eingebunden sind. Für diese Trackings und die darauf folgenden Analysen werden die verschiedensten Cookies und Verfahren eingesetzt. Wer mag, kann alle technischen Einzelheiten auf den Seiten 5 bis 8 des Gutachtens nachlesen.
Fest steht nach dieser Analyse jedenfalls, dass sowohl angemeldete als auch nicht angemeldete User, die einmal auf einer FB-Seite waren oder eine Seite mit einem Plug-In übersurft haben bis zu 2 Jahre von FB getrackt werden (vgl. Nr. 3.2.1 Webschnitstelle von facebook.com, S. 6 des Gutachtens) Der Unterschied: Bei nicht angemeldeten Usern kann nur ein persönliches, bei Mitgliedern ein personifiziertes Datenprofil erstellt werden.
Welchen Umfang die Protokollierung erreicht, erfährt selbst auch der User nicht, der bei FB als Mitglied gemeldet ist, da die Facebook Datenschutz-Richtlinien https://www.facebook.com/policy.php) hierzu keine Auskunft geben.
Ein weiteres in dem Gutachten behandeltes Problemfeld ist für die Datenschützer „Facebook Insights“ . Facebook Insights liefert Betreibern von Facebook-Seiten (wie bspw. mir) detaillierte Statistikinformationen über die (authentifizierten) Nutzer der FB-Seite. Diese Statistiken erlauben Rückschlüsse auf die Nutzung des Angebots/der FB-Page. FB Insights liefert hier Angaben wie Nutzerzuwachs, Demographie, Nutzung von Inhalten (bspw. wie oft wurde ein Post geklickt) und Erstellung von Inhalten (bspw. wie oft wurde auf der Seite kommentiert). Facebook Insights wird – ob man will oder nicht – allen Seitenbetreibern zur Auswertung ihrer Seite zur Verfügung gestellt.
Rechtliche Analyse hinsichtlich der Social-PlugIns
Gemäß § 12 Abs. 1 TMG sind Telemediendiensteanbieter für die Einhaltung von datenschutzrechtlichen Bestimmungen verantwortlich. Diensteanbieter ist nach § 2 S. 1 Nr. 1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt. Folglich sind Webseitenbetreiber und Facebook-Fanpagebetreiber Diensteanbieter, auf die das TMG Anwendung findet. Sie sind selbst verantwortlich Stelle, da sie Facebook, bzw. die PlugIns für eigene Zwecke nutzen und Facebook nur im Auftrag der Diensteanbieter tätig wird (vgl. ULD „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 18)
„Social-PlugIns von FB auf der Webseite eines Drittanbieters haben zur Folge, dass bei deren Verwendung eine direkte Kommunikation zwischen dem Rechner des Nutzers und FB aufgebaut wird. Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat. FB liefert also nur mit dem Software-Angebot die Voraussetzung für eine Datenübermittlung, trägt aber nicht allein die Verantwortung für die Datenweitergabe.“ (ULD, „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 17.).
Gemäß § 12 Abs. 1 TMG müssen Diensteanbieter sicherstellen, dass jegliche Datenverarbeitung, die sie vornehmen, datenschutzrechtlich zulässig ist. Zulässig ist eine Datenverarbeitung dann, wenn es hierfür eine gesetzliche Grundlage gibt oder aber der Betroffene eingewilligt hat. Eine gesetzliche Grundlage zur Erhebung der Daten durch Facebook bzw. die Diensteanbieter existiert nicht, folglich bedarf es der Einwilligung von denjenigen, deren Daten über die Social-PlugIns erhoben werden.
Diese Einwilligung kann elektronisch erfolgen, wenn der Diensteanbieter im Sinne von § 13 Abs. 2 TMG sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Ganz klar ist dabei schon einmal, dass die nicht bei FB angemeldeten Nutzer keine Einwilligung in irgendeiner Form abgegeben haben. Aber auch die angemeldeten Mitglieder haben im Ergebnis keine wirksame Einwilligung abgegeben. Gemäß § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten aufzuklären. Dies macht FB nicht. Bei der Registrierung zum Dienst heißt es nur „In dem Du auf „Registrieren“ klickst, bestätigst Du, dass Du die Nutzungsbedingungen und Datenschutzrichtiglinien gelesen hast und diesen zustimmst.“ Dies ist jedoch keine wirksame Einwilligung, da es an der „bewussten und eindeutigen“ Erteilung der Einwilligung mangelt. Denn abgesehen davon, dass es an einem Opt-In fehlt, verweisen die angegebenen Links nur auf eine große Anzahl verschiedenster Nutzungsrichtlinien und Datenschutzrichtlinien mit weiteren Verweisungen, das ULD dazu wörtlich: „Vielmehr wird lediglich pauschal auf eine Vielzahl von Dokumenten verwiesen, die durchzuarbeiten keinem Nutzer zumutbar ist.“
In diesen vielen Dokumenten, darunter insbesondere der Datenschutzrichtlinie (http://www.facebook.com/policy.php) selbst, mangelt es darüber hinaus an der notwendigen Bestimmtheit und Transparenz, welche Daten denn nun konkret zur welchen Zwecken erhoben werden. Dies hat zur Folge, dass selbst, wenn per Opt-In Häckchen die Zustimmung zu den Datenschutzbestimmungen von FB gegeben würde, eine wirksame Einwilligung im Sinne des Datenschutzes nicht vorliegen könnte. Denn aufgrund der mangelnden Konkretisierung wüsste der User immer noch nicht, was der Umfang seiner Einwilligung wäre.
Insoweit ist die Erhebung der Daten von FB auch durch Diensteanbieter, die den Facebook Like Button einbinden unzulässig, da keine wirksame Einwilligung der betroffenen User vorliegt (hinsichtlich der Mitglieder von FB), bzw. überhaupt schon nicht vorliegen kann (hins. der Nichtmitglieder).
So. Und warum droht dem Webseitenbetreiber, der Social-PlugIns anbietet, nun ein Bußgeld in Höhe von 50.000 EUR? Der Dienstebetreiber ist – wie bereits erläutert – eben nicht nur dazu verpflichtet, eine Einwilligung desjenigen, von dem er Daten erhebt, einzuholen, sondern er ist gemäß § 13 Abs. 1 TMG vor allem dazu verpflichtet, über die Nutzung und Verwendung der Daten im vollen Umfang vor Beginn der Nutzung aufzuklären. Unabhängig von der Frage, was vor der Nutzung heißt, haben wir hier zuvor festgestellt, dass ein Webseiten-Betreiber überhaupt nicht ordnungsgemäß aufklären kann, was mit den Daten passiert, da Facebook selbst hierzu keine hinreichend konkreten Angaben macht. Ein Verstoß gegen die in § 13 Abs. 1 TMG statuierte Aufklärungspflicht ist jedoch mit einem Bußgeld von bis zu 50.000 EUR nach § 16 Abs. 2 Nr. 2 TMG bewehrt.
Rechtliche Analyse hinsichtlich der Reichweiten-Analyse Facebook Insights
Bei einer Reichweiten-Analyse wie Facebook Insights bestimmen § 2 Nr. 1 TMG iVm. §§ 12,13 TMG die Verantwortlichkeit für die Nutzung der personenbezogenen Daten bei dem Diensteanbieter, der zur Erfüllung dieser Aufgabe einen Dienstleister, hier Facebook, heranzieht. Nach § 11 BDSG ist für die Handlungen des Dienstleisters der Diensteanbieter verantwortlich. Und damit ist eben der Facebook-Fanpagebetreiber datenschutzrechtlich für den Facebook-Dienst FB Insights verantwortlich. (vgl. ebenfalls: ULD, „“Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 17 f.).
Um diesen Dienst nutzen zu können, müssten diejenigen Fans, die sich auf der Seite bewegen, zunächst – wie bei den PlugIns – in die Erhebung Ihrer Daten eingewilligt haben. An dieser Stelle kann nach oben verwiesen werden. Eine wirksame Einwilligung liegt in keiner Art und Weise vor.
Und bei der Ausgestaltung von Facebook Insights hilft auch leider der gesetzliche Ausnahmetatbestand des § 15 Abs. 3 TMG nicht weiter. Dieser sieht eine Ausnahme bei der Datenerhebung dann vor, wenn Nutzungsprofile zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien unter Verwendung eines Pseuodnyms erstellt werden. Schließlich gilt das gemäß des letzten HS § 15 Abs. 3 TMG nur dann, wenn der Nutzer nicht widerspricht. Und über die Möglichkeit des Widerspruchs muss der Nutzer überhaupt gemäß § 13 Abs. 1 TMG aufgeklärt worden sein und natürlich muss die Widerspruchsmöglichkeit überhaupt existieren. Tja und insoweit wäre es als Webseiten-/FB-Seitenbetreiber absolut überflüssig dieser Aufklärungspflicht nachzukommen, denn: Bei FB existiert keine Möglichkeit des Widerspruchs gegen die Zusammenführung der Daten zu einem Nutzungsprofil.
Darüber hinaus muss gemäß § 15 Abs. 3 S. 3 TMG die Zusammenführung von Nutzungsprofilen mit den Daten von Trägern des Pseudonyms unterbleiben. Nach der Analyse des ULD ist FB mit FBInsight jedoch in der Lage, diese Verknüpfung herzustellen und praktiziert dies auch. (Ist es doch das Geschäftsmodell mit personalisierten Nutzungsprofilen ihr Geld zu verdienen…).
Da die FB-Seitenbetreiber nicht in der Lage sind, für Ihre Page den FB-Insight abzustellen, sind sie aus den oben aufgezeigten Gründen als Diensteanbieter für diese Datenschutzrechtsverletzung verantwortlich. Diese Datenschutzrechtsverletzung nach § 15 Abs. 3 S. 3 TMG stellt eine Ordnungswidrigkeitsverletzung nach § 16 Abs. 2 Nr. 5 TMG dar. Und dies bedeutet, dass Bußgelder in Höhe von bis zu 50.000 EUR drohen.
Fazit
An der rechtlichen Beurteilung des ULD ist kaum zu rütteln und zu ruckeln. Und es ist ja auch schon lange bekannt, dass Facebook den Datenschutz in jeglicher Form ignoriert – schließlich ist privacy sowie so nach Zuckerberg out – und dass dies mit dem deutschen und (!) europäischem Datenschutz kollidiert. Und bislang haben sich die Landesdatenschutzbehörden, in deren Zuständigkeit die Durchsetzung des Datenschutzes nun einmal fällt, schlicht damit zurückgehalten, die Gesetze auch durchzusetzen. Vermutlich weil sie selbst erst einmal in der Analyse auf festen Beinen stehen wollten. Hierzu hat das ULD aus Schleswig-Holstein eben das erste Gutachten erstellt.
Tja. Das Problem daran? Es gibt zwei Szenarien: Facebook bewegt sich. Dann wird es sicherlich Wege geben sowohl die Facebook Social PlugIns als auch die Pages rechtskonform zu nutzen. Oder Facebook bewegt sich nicht. Dann wird Facebook für Unternehmen seine Bedeutung verlieren, sollten die Landesbehörden alle auf die Linie von Schleswig-Holstein konsequent einschwenken (wovon aufgrund der Pressemitteilung auszugehen ist). Denn Bußgeldbescheide in der Höhe findet kein Unternehmen mehr auf die Dauer witzig. Nur was dann? Google+ ist ein wenig besser in den Datenschutzbedingungen, aber den Anforderungen an deutsches und europäisches Recht genügen sie derzeit auch nicht – eine langfristige Alternative wäre das nicht (davon abgesehen, dass Google+ für Unternehmen auch noch nicht so attraktiv ist, da die Masse der User noch nicht dort ist.)
Soll das Ergebnis dann sein, dass irgendwann kein Social Web mehr in Deutschland existieren darf und wird? Nämlich dann, wenn nach und nach alle Anbieter hier faktisch verboten werden, weil die Anwendung für die User zu risikoreich ist?
Und über den wirtschaftlichen Gesamtschaden, wenn Facebook faktisch für deutsche Unternehmen langfristig nicht mehr zu verwenden ist, möchte ich mir jetzt bitte keine Gedanken machen, denn dann wird mir schlecht. (Zu dem Szenarie hätte ich wahnsinnig gerne einen Blog-Beitrag von Sven Wiesner im Web2.Null-Blog… dann würde nämlich vielleicht doch lieber Facebook direkt angegangen werden!).
Gut malen wir nicht allzu schwarz. Der Sinn und Zweck des Ganzen ist, dass die Behörden Facebook bewegen wollen. Facebook soll den Datenschutz verbessern. Das ist richtig. Nur, dass der Druck jetzt über die User aufgebaut wird, anstelle endlich mal bspw. Das Gesetz zur Roten Linie voran zu bringen, dass noch De Maizere entworfen hatte, dass finde ich doch unverhältnismäßig.
Rechtlich richtig, in der Sache jedoch für falsch würde ich insbesondere erachten, wenn Facebook-Seitenbetreiber nun tatsächlich mit Bußgeldbescheiden überzogen würden, da Sie Facebook Insight nutzen. Ich würde es sofort ausstellen, wenn ich könnte. Ich kann aber nicht.
Und bitte, fragen Sie/fragt mich nicht, was ich jetzt mit meiner Facebook-Seite mache. Ich weiß es schlicht nicht.
In diesem Sinne,
Nina Diercks
PS: Den Share-Button hier entferne ich. Aber ich weiß nicht, was darüber für Cookies gesetzt werden und Daten getrackt werden, aber so viel wird hier dann auch nicht darüber geshared und deswegen kann ich auch verzichten…
