Archiv des Autors: Nina Diercks

Über Nina Diercks

Rechtsanwältin Nina Diercks, M.Litt (University of Aberdeen), führt die Anwaltskanzlei Diercks, ist anerkannte Sachverständige für Datenschutz sowie eine bundesweit gefragte Referentin, Interviewpartnerin und Gastautorin,. Selbstverständlich ist sie auch auf Twitter, Facebook und Google+ zu finden.

Offizielle Stellungnahme des #ULD zur causa #Facebook

Das ULD hat nun aufgrund der doch nicht unerheblichen Welle durch die Netzgemeinde eine Stellungnahme zur Facebook-Angelegenheit veröffentlicht. Herr Dr. Krage hat diese in Teilen in meinem letzten Blogpost auch schon als Kommentar veröffentlicht. Vielen Dank dafür! Die vollständige Stellungnahme, bzw. die FAQ, wie das ULD sie nennt, können auf der Seite des ULD abgerufen werden.

Hinsichtlich der Zuständigkeit des ULD verschafft diese Stellungnahme auch Klarheit. Kurz: Wie ich bereits vermutete, ist das ULD über § 45 LDSG für die Ahndung von Ordnungswidrigkeiten nach dem TMG zuständig.

Soweit so gut. Weiter macht das ULD Ausführungen zum Facebook-Like-Button. Nach Auffassung des ULD soll es nun nämlich doch eine Möglichkeit geben, diesen rechtskonform einzubauen – und zwar dann, wenn das Social-Plugins nur dann geladen werden kann, wenn der Nutzer in die mit der Einbindung von Social-Plugins verbundene Übertragung personenbezogener Daten einwilligt, weiter heißt es wörtlich: „Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden. “

Hierüber bin ich nun doch sehr verwundert, da es in dem vom ULD erstellten Gutachten heißt, eine wirksame Einwilligung könne gerade deswegen nicht erteilt werden,  da es nicht möglich sei, über den Umfang der Verwendung der Daten hinreichend aufzuklären, da FB zu dem Zweck der Datenerhebung selbst keine genügenden Angaben mache. Dies finde ich dem Grunde nach in sich sehr schlüssig. Scheint nun aber doch nicht mehr so gesehen zu werden…

Aber gut. Um so besser. So bleibt wenigstens eine praktische Handhabe hinsichtlich des Facebook-Like-Buttons.

Hinsichtlich der Facebook-Fanpages sieht das ULD weiterhin keine Möglichkeit der rechtskonformen Nutzung, da der Reichweiten-Analyse-Dienst Facebook-Insights nicht abgeschaltet werden könne, bzw. die Vorgaben des § 15 Abs. 3 TMG (Erläuterungen dazu in diesem Blogpost) nicht durch Facebook erfüllt werden und damit auch nicht durch die Seitenbetreiber erfüllt werden können.

In diesem Sinne,

ich bin gespannt wie es nun tatsächlich weitergeht.

Update zum Update: #ULD #Facebook – (K)eine Zuständigkeit für Bußgeldbescheide (?)

Ja, ich gestehe. Ich habe nicht genau genug hingesehen. Rocknrolla als Kommentator wies mich nun vollkommen zu recht darauf hin, dass § 38 Abs. 6 des MedienStV SH HH nicht die Zuständigkeit für die Ordnungswidrigkeiten hinsichtlich der datenschutzrechtlichen Normen des TMG regelt. § 38 Abs. 6 MedienStV SH HH verweist nämlich nur auf  § 16 Abs. 1 und Abs. 2 Nr. 1 TMG, diese beziehe sich auf die kommerzielle Kommunikation und die allgemeinen Informationspflichten. Aber nur § 16 Abs. 2 Nr. 2-5 TMF erfassen die datenschutzrechtliche Komponenten. Rocknrolla weist weiter darauf hin, dass so dann mangels gesetzlicher Bestimmung nach § 36 Abs. 1 Nr. 2a OWiG die „fachlich oberste Landesbehörde“ zuständig wäre. Nach Auffassung von Rocknrolla wäre das das Innenministerium.  Da wäre dann allerdings die Frage, ob nach § 36 Abs. 1 Nr. 2a nicht doch das ULD als „oberste Landesbehörde“ zuständig wäre. Ich bin nicht sicher, dass dies die Innenbehörde ist. Denn in § 45 LDSG (Landesdatenschutzgesetz) heißt es

(1) Die am 30. Juni 2000 dem bei dem Präsidenten des Schleswig-Holsteinischen Landtages eingerichteten Landesbeauftragten für den Datenschutz sowie der Datenschutzaufsichtsbehörde im Innenministerium obliegenden Aufgaben gehen am 1. Juli 2000 auf die Anstalt über.“

Liebe Kollegen aus Schleswig-Holstein, was für eine Rechtscharakter hat das ULD? Ist es im Sinne von § 36a Abs. 1 Nr. 2a eine „oberste Landesbehörde“? Geht das als öffentlich-rechtliche Anstalt überhaupt? Denn dann wäre das ULD doch wieder zuständig. Oder gibt es jetzt wieder noch irgendeine Vorschrift, die alles wieder umdreht? (Sorry, aber diese Tiefen des Verwaltungsrechts liegen bei mir doch schon ein wenig zurück… Und dass ich mich noch mal so tief mit den Behördenzuständigkeiten eines Flächenlandes beschäftige, hätte ich auch nicht gedacht.)

Noch einmal: Vielen Dank an Rocknrolla für den Hinweis. Und eine Entschuldigung an meine Leser, dass ich die Verweisungen nicht gründlich genug gelesen habe.

In diesem Sinne,

einfach mal nicht mit dem #ULD und #Facebook beschäftigen.

#ULD #Facebook – Keine Zuständigkeit für Bußgeldbescheide

Der Vollständigkeit halber darf dieses Update auf dem Blog nicht fehlen. Der Kollege Jan A. Strunk aus Kiel hat sich mit dem Landesrecht Schleswig-Holstein näher auseinandergesetzt und hat dabei das Folgende in seinem Blog-Artikel „Bußgeld-Androhung des ULD wegen angeblicher Verstöße gegen das TMG rechtswidrig“ für alle zu Tage gefördert:

„Nach der Zuständigkeitsverordnung für Ordnungswidrigkeiten des Landes Schleswig-Holstein (OWiZustVO) darf das ULD nur Bußgelder nach § 43 BDSG verhängen, wie sich aus dem Zuständigkeitsverzeichnis der Verordnung (Nr. 3.5.2 der Anlage zur OWiZustVO) ergibt.

Für die Verhängung von Bußgeldern nach dem TMG ist vielmehr gem. § 38 Abs. 6 des Medienstaatsvertrags Hamburg/Schleswig-Holstein (MedienStV HSH) die Medienanstalt Hamburg/Schleswig-Holstein (MA HSH) zuständig.

Dies bedeutet übersetzt: Das ULD ist für den Erlass von Bußgeldbescheiden nach dem TMG (also den in Rede stehenden Ordnungswidrigkeiten) nicht zuständig und hat demnach keinerlei Kompetenzen dafür.

Tja, nun wirkt die ganze Geschichte insgesamt doch wie ein kompletter Schildbürgerstreich.

Allerdings kann ich es durchaus verstehen, wenn das ULD noch nicht mal ansatzweise in Erwägung gezogen hat, nicht für die Rechtsdurchsetzung nach der Zuständigkeitsverordnung zuständig zu sein und demnach eine (Über-)Prüfung dieser Kompetenz auch nicht vorgenommen hat, auch wenn das ULD das – ja, ja zugegebenermaßen – natürlich hätte tun müssen. Es ist aber einfach zu abstrus, dass das ULD für die Verfolgung von Ordnungswidrigkeiten nach § 16 TMG nicht zuständig sein soll.

In aller Ernsthaftigkeit bleibt jedoch anzumerken, dass in der Regel eine solche Zuständigkeit auch (relativ) schnell geändert ist.

Das just FYI. Und nun bleibt abzuwarten, ob überhaupt und wenn ja wann, irgendjemand einen Bußgeldbescheid versendet.

In diesem Sinne,

schildbürgerliche Abendgrüße.

#ULD #Facebook: Die Debatte geht weiter – muss weitergehen!

Die Debatte bezüglich des Vorstoßes des ULD hinsichtlich der möglichen Verfolgung von Datenschutzrechtsverletzungen aufgrund der Verwendung von Facebook Social PlugIns oder Fanpages nimmt weiter an Fahrt auf.

So hat der Kollege Stadler einen dem Grund nach sehr lesenswerten Artikel mit dem Titel „Wie geht es weiter mit dem Datenschutz?“ verfasst. Darin wird – zu recht – problematisiert, dass das bestehende Datenschutzrecht den Anforderungen an die technischen Gegebenheiten in einer globalisierten Welt kaum noch Rechnung tragen kann; sprich veraltet ist. Allerdings stellt der Kollege Stadler dabei auf die dezentrale Struktur des Internets ab. Dies ist meines Erachtens wiederum eine Position, die gerade dabei ist, sich selbst zu überholen. Während das Internet zunächst eine deutliche Dezentralisierung erfahren hat, geht es nun wieder in die gegenteilige Richtung. „Die stille Privatisierung öffentlicher Güter im Web 2.0“  und damit auch eine Zentralisierung nehmen deutlich zu. An dieser Stelle spare ich mir weitere eigene Worte und möchte voll umfänglich auf die Präsentation „Das Internet ist dezentral. Und andere gefährliche Mythen“ von Sebastian Deterding, vorgestellt auf der re:publica 2010, verweisen. Von Deterding stammt auch das vorgenannte Zitat: „Die stille Privatisierung öffentlicher Güter im Web 2.0“ ist der Titels eines Vortrags aus der Veranstaltungsreihe „Aktuelle Entwicklungen im Web 2.0“ des Hans-Bredow-Insituts für Medienforschung aus November 2008 (!).

Auch diese Überlegung, Entwicklung und Tatsachen müssen in der Diskussion um den Datenschutz eine Rolle spielen, damit die Diskussion wirklich „farbig“ wird, wie der Kollege Stadler fordert.

Denn unabhängig von der Frage, ob nun Webseitenbetreiber für die Datenschutzverletzungen heranzuziehen sind (so die Rechtsauffassung des ULD) oder nicht (so bspw. der Kollege Ferner oder der Kollege Nico Härting, der das Vorgehen des ULD gar für verfassungswidrig hält.), bleibt die Problematik bestehen, dass derzeit kein Mensch weiß, was Facebook & Konsorten mit dem unheimlichen Datenvolumen anfängt. Auch deswegen greift das gern gehörte Argument „Ich melde mich doch bei Facebook im Vollbesitz meiner geistigen Kräfte an“ nicht. Niemand kann das. Denn Facebook (wie die meisten anderen privaten Konzerne) klärt nicht hinreichend über den Umgang mit den Daten auf.

Deswegen ist die nun im Raum befindliche Diskussion wichtig. Es ist ein Bewusstsein dafür zu schaffen, dass wichtige Formen der digitalen Grundversorgung wie Suchmaschinen und Soziale Netzwerke (um das Wort von Deterding auch dafür zu benutzen) von einigen wenigen privaten Internetfirmen bereitgestellt werden.

Ja, zugegeben, es ist schwierig – vielleicht sogar unmöglich – global geltende Standard für den Datenschutz durchzusetzen. Aufgrund dessen jedoch sogleich die Anforderungen an den Datenschutz herabzusenken zu wollen, ist meines Erachtens der falsche Weg.

Denn eine Selbstverpflichtung wie „Don’t be Evil“ reicht für die Gewährleistung einer Grundversorgung nicht.

Datenschutz ist und bleibt immens wichtig! Und staatliche Stellen (wer sonst?) haben dafür Sorge zu tragen, dass Mindeststandards durchgesetzt werden.

Nein, das heißt nicht, dass ich die Vorgehensweise des ULD befürworte. Wie Stadler richtig sagt, wird auf den Sack geschlagen, obwohl der Esel gemeint ist.

Doch die Diskussion bleibt wichtig. Und vielleicht wird im Zuge dessen endlich das Gesetzesvorhaben der „Roten Linie“, welches direkt auf FB & Co abzielen würde, einmal vorangebracht.

In diesem Sinne,

auf weitere Diskussionen!

„Entwarnung“ hinsichtlich #ULD und #Facebook?: Interview mit Dr. Krag im Jurafunk

Hier nun noch ein Interview mit Herrn Dr. Krag im Jurafunk. Das Interview haben die Kollegen Stefan Dirks und Henry Krasemann aus Kiel geführt. Letzterer ist nicht nur Rechtsanwalt, sondern auch Referatsleiter beim ULD.

Eine „Entwarnung“ stellt das Interview insoweit dar, als Dr. Krag auf die reine „Möglichkeit“ der Bußgeldverhängung verweist und klargestellt, dass vor allem Facebook selbst zu einem Handeln bewegt werden soll. Aber hört doch einfach selbst:

Interview mit Dr. Krag im Jurafunk.

Besten Dank an die oben genannten Kollegen für den Hinweis auf das Interview!

Zum Thema Facebook: Interview mit Dr. Moritz Karg vom ULD Schleswig-Holstein

Das muss ich hier jetzt gleich einbinden. Das Video mit Dr. Moritz Karg vom Unabhängigen Landesdatenschutzzentrum ist auf dem BarCamp Kiel heute aufgenommen worden. Der Vertreter des ULD wird einmal direkt zu der Pressemitteilung und den Konsequenzen befragt. Seht selbst:

Damit scheint meines Erachtens schon bestätigt, was ich im Fazit meines letzten Blog-Posts vermutet hatte. Facebook soll unter Druck gesetzt werden. Es bleibt aufgrund des Videos zu hoffen, dass die Seitenbetreiber nun nicht en masse im September (oder wann auch immer) Post von der Datenschutzbehörde bekommen. Aber sicher kann man sich da leider nicht sein.

Hoffentlich hat der Volksmund wieder einmal damit Recht, dass nichts so heiß gegessen wie gekocht wird.

In diesem Sinne,

auf ein ein wenig weniger aufgeregtes Wochenende!

WICHTIG: Schleswig-Holsteinisches Datenschutzzentrum droht mit Bußgeldbescheiden für Verwender von Facebook Social-PlugIns und Fanpages!

Wir wissen es ja eigentlich schon lange, Facebook trackt und trackt unsere Daten und erstellt personifizierte Nutzerprofile. Ebenso lange wissen wir an sich auch, dass die Einbindung von Social-PlugIns datenschutzrechtlich hoch problematisch ist. Doch bisher galt: Ein Bußgeldbescheid ist eher unwahrscheinlich. Und Facebook demgegenüber als Viral-Faktor viel zu wichtig. Zu dem kämpfte bspw. der Hamburger Datenschutzbeauftragte viel zu sehr mit eigenen datenschutzrechtlichen Fehltritten mit den eigenen Tracking-Tools als dass da groß Raum für das Treten nach den anderen verblieben wäre (das war gerade ketzerisch, zugegebener Maßen…)

Gestern sprach ich jedenfalls noch darüber, dass derzeit die Gefahr eines Bußgeldbescheides wegen der Datenschutzrechtsverletzungen aufgrund der Einbindung von Facebook-PlugIns doch als relativ gering einzustufen ist. Und ein veritabler Shitstorm der Netzgemeinde wegen sonstiger Datenschutzverletzungen weitaus ernster zu nehmen sei.

Tja, das war gestern. Heute am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein eine Pressemitteilung sowie eine „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ herausgegeben. Mit diesem Gutachten hat sich das ULD sowohl technisch als auch rechtlich mit den Social-PlugIns UND den Fanpages (!) von Facebook auseinandergesetzt, kommt zu dem Ergebnis dass die Verwendung von beidem letztlich rechtswidrig ist und scheint ausweislich der Pressemitteilung eine harte Kante fahren zu wollen. Und das ist ein verdammt guter Grund, diesen Artikel bis zum Ende zu lesen. Denn die Bußgeldandrohung liegt nach § 16 TMG (Telemediengesetz) bei bis zu 50.000 EUR. Und nein, es sieht nicht so als würde das ausschließlich in Schleswig-Holstein so gesehen.

Im Folgenden nun die für die Telemedienbetreiber (also jeden, der eine Website, einen Blog, eine FB-Page o.ä. nicht ausschließlich privat betreibt!) relevanten Fakten aus dem Gutachten in – hoffentlich – verständlicher Form sortiert und zusammengefasst. Zunächst kurz zum technischen Hintergrund, dann zur rechtlichen Analyse und schließlich zu meinem Fazit. (Wer das technische und rechtliche Gedöns nicht lesen mag, der sollte einfach runterscrollen…)

Der technische Hintergrund

Zum einen protokolliert FB das Verhalten von angemeldeten  Nutzern innerhalb des Netzwerkes (auf der Internetpräsenz www.facebook.com) und außerhalb des Netzwerkes, wenn diese über die Webseiten Dritter mit eingebundenen Social PlugIns surfen. Zum anderen protokolliert FB die Interaktion von nicht angemeldeten Usern. Sowohl in dem Fall, in dem diese die Webseiten von Facebook aufrufen als auch, in dem die User auf Internetseiten surfen, auf denen Social-PlugIns eingebunden sind. Für diese Trackings und die darauf folgenden Analysen werden die verschiedensten Cookies und Verfahren eingesetzt. Wer mag, kann alle technischen Einzelheiten auf den Seiten 5 bis 8 des Gutachtens nachlesen.

Fest steht nach dieser Analyse jedenfalls, dass sowohl angemeldete als auch nicht angemeldete User, die einmal auf einer FB-Seite waren oder eine Seite mit einem Plug-In übersurft haben bis zu 2 Jahre von FB getrackt werden (vgl. Nr. 3.2.1 Webschnitstelle von facebook.com, S. 6 des Gutachtens) Der Unterschied: Bei nicht angemeldeten Usern kann nur ein persönliches, bei Mitgliedern ein personifiziertes Datenprofil erstellt werden.

Welchen Umfang die Protokollierung erreicht, erfährt selbst auch der User nicht, der bei FB als Mitglied gemeldet ist, da die Facebook Datenschutz-Richtlinien https://www.facebook.com/policy.php) hierzu keine Auskunft geben.

Ein weiteres in dem Gutachten behandeltes Problemfeld ist für die Datenschützer „Facebook Insights“ . Facebook Insights liefert Betreibern von Facebook-Seiten (wie bspw. mir) detaillierte Statistikinformationen über die (authentifizierten) Nutzer der FB-Seite. Diese Statistiken erlauben Rückschlüsse auf die Nutzung des Angebots/der FB-Page. FB Insights liefert hier Angaben wie Nutzerzuwachs, Demographie, Nutzung von Inhalten (bspw. wie oft wurde ein Post geklickt) und Erstellung von Inhalten (bspw. wie oft wurde auf der Seite kommentiert). Facebook Insights wird – ob man will oder nicht – allen Seitenbetreibern zur Auswertung ihrer Seite zur Verfügung gestellt.

Rechtliche Analyse hinsichtlich der Social-PlugIns

 Gemäß § 12 Abs. 1 TMG sind Telemediendiensteanbieter für die Einhaltung von datenschutzrechtlichen Bestimmungen verantwortlich. Diensteanbieter ist nach § 2 S. 1 Nr. 1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien  zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt. Folglich sind Webseitenbetreiber und Facebook-Fanpagebetreiber Diensteanbieter, auf die das TMG Anwendung findet. Sie sind selbst verantwortlich Stelle, da sie Facebook, bzw. die PlugIns für eigene Zwecke nutzen und Facebook nur im Auftrag der Diensteanbieter tätig wird (vgl. ULD „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 18)

„Social-PlugIns von FB auf der Webseite eines Drittanbieters haben zur Folge, dass bei deren Verwendung eine direkte Kommunikation zwischen dem Rechner des Nutzers und FB aufgebaut wird. Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat. FB liefert also nur mit dem Software-Angebot die Voraussetzung für eine Datenübermittlung, trägt aber nicht allein die Verantwortung für die Datenweitergabe.“ (ULD, „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 17.).

Gemäß § 12 Abs. 1 TMG müssen Diensteanbieter sicherstellen, dass jegliche Datenverarbeitung, die sie vornehmen, datenschutzrechtlich zulässig ist. Zulässig ist eine Datenverarbeitung dann, wenn es hierfür eine gesetzliche Grundlage gibt oder aber der Betroffene eingewilligt hat. Eine gesetzliche Grundlage zur Erhebung der Daten durch Facebook bzw. die Diensteanbieter existiert nicht, folglich bedarf es der Einwilligung von denjenigen, deren Daten über die Social-PlugIns erhoben werden.

Diese Einwilligung kann elektronisch erfolgen, wenn der Diensteanbieter im Sinne von § 13 Abs. 2 TMG sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

2. die Einwilligung protokolliert wird,

3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Ganz klar ist dabei schon einmal, dass die nicht bei FB angemeldeten Nutzer keine Einwilligung in irgendeiner Form abgegeben haben.  Aber auch die angemeldeten Mitglieder haben im Ergebnis keine wirksame Einwilligung abgegeben.  Gemäß § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten aufzuklären. Dies macht FB nicht. Bei der Registrierung zum Dienst heißt es nur „In dem Du auf „Registrieren“ klickst, bestätigst Du, dass Du die Nutzungsbedingungen und Datenschutzrichtiglinien gelesen hast und diesen zustimmst.“  Dies ist jedoch keine wirksame Einwilligung, da es an der „bewussten und eindeutigen“ Erteilung der Einwilligung mangelt. Denn abgesehen davon, dass es an einem Opt-In fehlt, verweisen die angegebenen Links nur auf eine große Anzahl verschiedenster Nutzungsrichtlinien und Datenschutzrichtlinien mit weiteren Verweisungen, das ULD dazu wörtlich: „Vielmehr wird lediglich pauschal auf eine Vielzahl von Dokumenten verwiesen, die durchzuarbeiten keinem Nutzer zumutbar ist.“

In diesen vielen Dokumenten, darunter insbesondere der Datenschutzrichtlinie (http://www.facebook.com/policy.php) selbst, mangelt es darüber hinaus an der notwendigen Bestimmtheit und Transparenz, welche Daten denn nun konkret zur welchen Zwecken erhoben werden.  Dies hat zur Folge, dass selbst, wenn per Opt-In Häckchen die Zustimmung zu den Datenschutzbestimmungen von FB gegeben würde, eine wirksame Einwilligung im Sinne des Datenschutzes nicht vorliegen könnte. Denn aufgrund der mangelnden Konkretisierung wüsste der User immer noch nicht, was der Umfang seiner Einwilligung wäre.

Insoweit ist die Erhebung der Daten von FB auch durch Diensteanbieter, die den Facebook Like Button einbinden unzulässig, da keine wirksame Einwilligung der betroffenen User vorliegt (hinsichtlich der Mitglieder von FB), bzw. überhaupt schon nicht vorliegen kann (hins. der Nichtmitglieder).

So. Und warum droht dem Webseitenbetreiber, der Social-PlugIns anbietet, nun ein Bußgeld in Höhe von 50.000 EUR?  Der Dienstebetreiber ist – wie bereits erläutert – eben nicht nur dazu verpflichtet, eine Einwilligung desjenigen, von dem er Daten erhebt, einzuholen, sondern er ist gemäß § 13 Abs. 1 TMG vor allem dazu verpflichtet,  über die Nutzung und Verwendung der Daten im vollen Umfang vor Beginn der Nutzung aufzuklären. Unabhängig von der Frage, was vor der Nutzung heißt, haben wir hier zuvor festgestellt, dass ein Webseiten-Betreiber überhaupt nicht ordnungsgemäß aufklären kann, was mit den Daten passiert, da Facebook selbst hierzu keine hinreichend konkreten Angaben macht. Ein Verstoß gegen die in § 13 Abs. 1 TMG statuierte Aufklärungspflicht ist jedoch mit einem Bußgeld von bis zu 50.000 EUR nach § 16 Abs. 2 Nr. 2 TMG bewehrt.

 Rechtliche Analyse hinsichtlich der Reichweiten-Analyse Facebook Insights

Bei einer Reichweiten-Analyse wie Facebook Insights bestimmen § 2 Nr. 1 TMG iVm. §§ 12,13 TMG die Verantwortlichkeit für die Nutzung der personenbezogenen Daten bei dem Diensteanbieter, der zur Erfüllung dieser Aufgabe einen Dienstleister, hier Facebook, heranzieht. Nach § 11 BDSG ist für die Handlungen des Dienstleisters der Diensteanbieter verantwortlich. Und damit ist eben der Facebook-Fanpagebetreiber datenschutzrechtlich für den Facebook-Dienst FB Insights verantwortlich. (vgl. ebenfalls: ULD, „“Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, S. 17 f.).

Um diesen Dienst nutzen zu können, müssten diejenigen Fans, die sich auf der Seite bewegen, zunächst  – wie bei den PlugIns – in die Erhebung Ihrer Daten eingewilligt haben. An dieser Stelle kann nach oben verwiesen werden. Eine wirksame Einwilligung liegt in keiner Art und Weise vor.

Und bei der Ausgestaltung von Facebook Insights hilft auch leider der gesetzliche Ausnahmetatbestand des  § 15 Abs. 3 TMG nicht weiter. Dieser sieht eine Ausnahme bei der Datenerhebung dann vor, wenn Nutzungsprofile zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien unter Verwendung eines Pseuodnyms erstellt werden. Schließlich gilt das gemäß des letzten HS § 15 Abs. 3 TMG nur dann, wenn der Nutzer nicht widerspricht. Und über die Möglichkeit des Widerspruchs muss der Nutzer überhaupt gemäß  § 13 Abs. 1 TMG aufgeklärt worden sein und natürlich muss die Widerspruchsmöglichkeit überhaupt existieren. Tja und insoweit wäre es als Webseiten-/FB-Seitenbetreiber absolut überflüssig dieser Aufklärungspflicht nachzukommen, denn: Bei FB existiert keine Möglichkeit des Widerspruchs gegen die Zusammenführung der Daten zu einem Nutzungsprofil.

Darüber hinaus muss gemäß § 15 Abs. 3 S. 3 TMG die Zusammenführung von Nutzungsprofilen mit den Daten von Trägern des Pseudonyms unterbleiben.  Nach der Analyse des ULD ist FB mit FBInsight jedoch  in der Lage, diese Verknüpfung herzustellen und praktiziert dies auch. (Ist es doch das Geschäftsmodell mit personalisierten Nutzungsprofilen ihr Geld zu verdienen…).

Da die FB-Seitenbetreiber nicht in der Lage sind, für Ihre Page den FB-Insight abzustellen, sind sie aus den oben aufgezeigten Gründen als Diensteanbieter für diese Datenschutzrechtsverletzung verantwortlich. Diese Datenschutzrechtsverletzung nach § 15 Abs. 3 S. 3 TMG stellt eine Ordnungswidrigkeitsverletzung nach § 16 Abs. 2 Nr. 5 TMG dar. Und dies bedeutet, dass Bußgelder in Höhe von bis zu 50.000 EUR drohen.

Fazit

An der rechtlichen Beurteilung des ULD ist kaum zu rütteln und zu ruckeln. Und es ist ja auch schon lange bekannt, dass Facebook den Datenschutz in jeglicher Form ignoriert – schließlich ist privacy sowie so nach Zuckerberg out – und dass dies mit dem deutschen und (!) europäischem Datenschutz kollidiert. Und bislang haben sich die Landesdatenschutzbehörden, in deren Zuständigkeit die Durchsetzung des Datenschutzes nun einmal fällt, schlicht damit zurückgehalten, die Gesetze auch durchzusetzen. Vermutlich weil sie selbst erst einmal in der Analyse auf festen Beinen stehen wollten. Hierzu hat das ULD aus Schleswig-Holstein eben das erste Gutachten erstellt.

Tja. Das Problem daran? Es gibt zwei Szenarien: Facebook bewegt sich. Dann wird es sicherlich Wege geben sowohl die Facebook Social PlugIns als auch die Pages rechtskonform zu nutzen. Oder Facebook bewegt sich nicht. Dann wird Facebook für Unternehmen seine Bedeutung verlieren, sollten die Landesbehörden alle auf die Linie von Schleswig-Holstein konsequent einschwenken (wovon aufgrund der Pressemitteilung auszugehen ist). Denn Bußgeldbescheide in der Höhe findet kein Unternehmen mehr auf die Dauer witzig.  Nur was dann? Google+ ist ein wenig besser in den Datenschutzbedingungen, aber den Anforderungen an deutsches und europäisches Recht genügen sie derzeit auch nicht – eine langfristige Alternative wäre das nicht (davon abgesehen, dass Google+ für Unternehmen auch noch nicht so attraktiv ist, da die Masse der User noch  nicht dort ist.)

Soll das Ergebnis dann sein, dass irgendwann kein Social Web mehr in Deutschland existieren darf und wird? Nämlich dann, wenn nach und nach alle Anbieter hier faktisch verboten werden, weil die Anwendung für die User zu risikoreich ist?

Und über den wirtschaftlichen Gesamtschaden, wenn Facebook faktisch für deutsche Unternehmen langfristig nicht mehr zu verwenden ist, möchte ich mir jetzt bitte keine Gedanken machen, denn dann wird mir schlecht. (Zu dem Szenarie hätte ich wahnsinnig gerne einen Blog-Beitrag von Sven Wiesner im Web2.Null-Blog… dann würde nämlich vielleicht doch lieber Facebook direkt angegangen werden!).

Gut malen wir nicht allzu schwarz. Der Sinn und Zweck des Ganzen ist, dass die Behörden Facebook bewegen wollen. Facebook soll den Datenschutz verbessern. Das ist richtig. Nur, dass der Druck jetzt über die User aufgebaut wird, anstelle endlich mal bspw. Das Gesetz zur Roten Linie voran zu bringen, dass noch De Maizere entworfen hatte, dass finde ich doch unverhältnismäßig.

Rechtlich richtig, in der Sache jedoch für falsch würde ich insbesondere erachten, wenn Facebook-Seitenbetreiber nun tatsächlich mit Bußgeldbescheiden überzogen würden, da Sie Facebook Insight nutzen. Ich würde es sofort ausstellen, wenn ich könnte.  Ich kann aber nicht.

Und bitte, fragen Sie/fragt mich nicht, was ich jetzt mit meiner Facebook-Seite mache. Ich weiß es schlicht nicht.

In diesem Sinne,

Nina Diercks

PS: Den Share-Button hier entferne ich. Aber ich weiß nicht, was darüber für Cookies gesetzt werden und Daten getrackt werden, aber so viel wird hier dann auch nicht darüber geshared und deswegen kann ich auch verzichten…

Es ist soweit – Gründungszeit: Die Kanzlei ist eröffnet!

Wie hier und da schon angekündigt, verfügt der Social Media Recht Blog, vielmehr die Herausgeberin dessen, seit gestern, 02. August 2011, über eine eigene Anwaltskanzlei. Mitten in Hamburg im schönen Eimsbüttel. Den Büroräumen mag es noch am persönlichen Touch fehlen, aber die Technik steht. Das Internet ist an. Und damit ist für eine Rechtsanwältin, die sich den lieben langen Tag mit Social Media und Artverwandtem beschäftigt, doch alles Wesentliche geschafft. Kurz: Ich freu mich sehr!

Eine digitale Präsenz der Kanzlei darf natürlich nicht fehlen und so findet sich diese unter

http://www.socialmediarecht.de 

oder oben rechts unter dem Menüpunkt Kanzlei.

Sollten Sie meinen, die Tatsache der Eröffnung unbedingt weitererzählen zu müssen – nun, ich werde Sie nicht davon abhalten…

In diesem Sinne,

Nina Diercks

Update: Der BGH zur Beweispflicht beim Double-Opt-In-Verfahren (Einwilligung zur Telefonwerbung)

Bereits im März hatte ich zum Urteil des BGH vom 10.02.2011, I ZR 164/09 einen ausführlichen Artikel „Der BGH zur Beweispflicht beim Double-Opt-In-Verfahren (Einwilligung zur Telefonwerbung)“ geschrieben und mich mit der Problematik auseinandergesetzt. Seit gestern (27.07.2011) liegt das Urteil des BGH  nun im Volltext vor und überrascht in einigen Einzelheiten dann doch:

Das Urteil ist ohnehin für alle Unternehmen, die Marketing via Email, Telefon und SMS betreiben, hoch relevant. Doch dabei hat der BGH nicht nur festgehalten, dass die Einwilligung zur Werbung für jeden Einzelfall dokumentiert sein muss (etwas was mE sowieso hätte klar sein müssen), sondern die obersten Richter haben insbesondere an das Telefonmarketing, bzw. vielmehr an die ordnungsgemäße Dokumentation der Einwilligung von Kunden via Email (und/oder Kontaktformularen) zu Werbeanrufen , sehr hohe Anforderungen gestellt. Nachdem BGH ist die Einholung eines Einverständnisses zu Telefonanrufen via dokumentiertem Double-Opt-In per Email nämlich dann (hinsichtlich der Beweispflichten) nicht ausreichend, wenn nicht eindeutig  ist, dass derjenige, der das Einverständnis per Email erklärt, auch berechtigt ist, hinsichtlich des Telefonanschlusses das Einverständnis zur Werbung zu erklären. Die Gründe hierfür sind in Randzeichen 39 und 40 des Urteils erläutert. Aus diesem Grunde zitiere ich diese Passagen des Urteils einmal vollständig:

„Um die Bedeutung einer Bestätigungsmail im elektronischen Doubleopt-in-Verfahren für das Einverständnis des Verbrauchers mit Werbeanrufen zu bestimmen, ist demgegenüber zu berücksichtigen, dass kein notwendiger Zusammenhang zwischen der E-Mail-Adresse, unter der der Teilnahmeantrag abgesandt wurde, und der in ihm angegebenen Telefonnummer besteht. So kann es zahlreiche Gründe dafür geben, dass eine falsche Telefonnummer in ein Online Teilnahmeformular eingetragen wird. Sie reichen von der versehentlichen Falscheingabe über den vermeintlich guten Dienst, eine andere Person für ein Gewinnspiel anzumelden, bis zur Angabe der elterlichen Telefonnummer durch Minderjährige. Nicht auszuschließen ist ferner die bewusste Falscheingabe in Belästigungs- und Schädigungsabsicht oder sogar durch den tatsächlichen Inhaber der E-Mail-Adresse, um gerade nicht selbst zu Werbezwecken angerufen zu werden.  Insgesamt  liegt eine fehlerhafte Angabe einer Telefonnummer bei  derartigen Online-Formularen keinesfalls fern.

Der durch den Absender elektronisch bestätigte Eingang eines Online-Formulars mit Angabe einer Telefonnummer reicht unter diesen Umständen als Nachweis eines Einverständnisses in Werbeanrufe nicht aus. Er kann auch bei Telefonwerbung, anders als bei E-Mail-Werbung, für sich allein keine Beweiserleichterung zugunsten des Werbenden begründen. Vielmehr trägt der Werbende auch die Darlegungs- und Beweislast dafür, dass der Telefonanschluss der E-Mail-Adresse, unter der die Bestätigung abgesandt wurde, zuzuordnen ist. Ist  das allerdings der Fall, obliegt es wieder dem Verbraucher darzulegen, dass er dennoch kein Einverständnis mit Werbeanrufen erklärt hat.“

Demnach obliegt dem werbetreibenden Unternehmen der Nachweis dafür, dass derjenige Kunde, der per Email sein Einverständnis zum Telefonmarketing unter der angegebenen Telefonnummer gegeben hat, auch zu dieser Einverständniserklärung berechtigt gewesen ist.

Wie der Nachweis geführt werden soll, legt der BGH allerdings nicht dar.

Im Übrigen verweise ich auf meine Ausführungen vom März 2011 „Der BGH zur Beweispflicht beim Double-Opt-In-Verfahren (Einwilligung zur Telefonwerbung)“.

In diesem Sinne,

auf rechtmäßiges und beweissicheres Marketing!

Werbung bei Twitter, Facebook & GooglePlus

Aus aktuellem Anlass – jedenfalls bei mir persönlich, dazu sogleich mehr – kommt das Thema heute endlich hier im Blog auf’s Tableau. Eins vorweg, es geht nicht um Werbung auf Werbeschaltflächen der Unternehmen oder um sonstige Werbeformen wie bspw. die Sponsered Stories bei Facebook und auch nicht um Werbung per Direct-Message. Vielmehr geht es um Werbung wie diese, die einfach im Stream auftaucht:

(Ja, ja, lacht nur über die Abbildungen, ich weiß, ich habe derzeit kein vernünftiges Bildbearbeitungsprogramm…).

Diese zwei ganz „normale“ Tweets zierten in der letzten (oder vorletzten) Woche an einem Tag meine Timeline. Von den übrigen und üblichen Tweets unterscheiden sie sich insoweit als es sich ganz offensichtlich um reine Werbung handelt. Oder wer wollte sagen, diese seien keine „ Äußerung (…) mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, (…), zu fördern“ (vgl. Art. Richtlinie zu irreführender und vergleichender Werbung (2006/114/EG)?

Werbung an sich ist natürlich nicht verboten. Doch da Werbung mit elektronischen Mitteln oftmals zum Ärger der Empfänger (sic!) nur all zu leicht verbreitetet werden kann, hat  der Gesetzgeber eben solcher Werbung erhebliche Restriktionen auferlegt. Darüber hinaus verbieten so manche Nutzungsbedingungen von sozialen Netzwerken derartigen „SPAM“.

Aber der Reihe nach.

Gesetzliche Grundlagen für Werbung auf Twitter & Co

Wie gesagt, Werbung ist nicht grundsätzlich verboten. Einschränkungen bestehen jedoch nach § 7 Abs. 2 Nr. 3 UWG  hinsichtlich Werbung, die mittels „elektronischer Post“ erfolgt – solche darf nur bei ausdrücklicher Einwilligung des Empfängers erfolgen. Tja, damit stellt sich zunächst einmal die Frage, ob ein Tweet (ein Facebook- oder GooglePlus-Post) überhaupt unter den Begriff „elektronische Post“ fällt. Nach der Richtlinie 2002/58/EG über elektronische Kommunikation ist „elektronische Post jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird.“. Von dieser Definition sind also klar Direct-Messages innerhalb von sozialen Netzwerken erfasst. Aber sind die oben beispielhaft aufgeführten Tweets Textnachrichten, die im Netz gespeichert werden, bis sie vom Empfänger abgerufen werden? Theoretisch ist das wohl so. Denn meinen Stream auf Twitter, Facebook oder GooglePlus kann ich theoretisch bis in alle Ewigkeit zurückverfolgen. Praktisch macht das aber kein Mensch. Darüber hinaus teilen die sozialen Netzwerke früher oder später gerne mit „Ältere Beiträge können derzeit nicht abgerufen werden“. Faktisch stehen die Textnachrichten also nicht im Netz bis zum Abruf durch den Empfänger bereit, sondern verschwinden vielmehr in den Tiefen des Streams. Soweit ich das überblicken kann, problematisieren  die Kollegen eben aus diesem Grunde die Werbung  über öffentlichen Streams unter dem Gesichtspunkt des § 7 Abs. 2 Nr. 3 UWG (also der Notwendigkeit zur Einwilligung zur Werbung durch den Empfänger) nicht. Nach der Wortlaut-Interpretation der oben genannten Richtlinie kann sich dieser Auffassung angeschlossen werden. Allerdings könnte man dann zu einer anderen Auffassung gelangen, wenn man berücksichtigt, dass bspw. Tweets „favorisiert“ werden können – denn in diesem Fall bleiben sie  gut sichtbar in meinem Account abrufbar. Andererseits kann das „Favorisieren“ schon wieder als Abruf-Handlung gewertet werden und dies ist mit lange im Stream versunkenen Meldungen nicht mehr möglich. Folglich sind Nachrichten im Stream nicht als „elektronische Post“ zu bewerten. Und insoweit halten wir fest, dass Werbung per Tweet oder Post in sozialen Netzwerken grundsätzlich gesetzlich nicht verboten ist (nochmal: Anders bei Werbung per Direct-Message. Hier bedarf es der ausdrücklichen Einwilligung durch den Empfänger! Siehe auch hier die Meinung des Kollegen Dramburg mit schönen Fallbeispielen.)

Das Telemediengesetz (TMG) und das Gesetz gegen den unlauteren Wettbewerb (UWG) halten jedoch noch weitere Regelungen bereit. So muss kommerzielle Kommunikation für den Verbraucher klar als solche zu erkennen und der Absender zu identifizieren sein (§ 6 TMG). Dies ist in den obigen Beispielen der Fall. Weiter darf der werbliche Charakter einer Kommunikation nach § 4 Nr. 3 UWG nicht verschleiert werden und kommerzielle Kommunikation nicht irreführend im Sinne von § 5 UWG sein. Daneben gibt es noch zahlreiche weitere Regelungen im Gesetz gegen den unlauteren Wettbewerb, die es zu beachten gilt. (Ein „schönes“ Beispiel für eine rechtswidrige Social Media Werbeform ist übrigens die „Tramp-A Benz“-Kampagne).

Da die oben aufgeführten Beispiele weder den Werbecharakter verschleiern noch den Absender nicht erkennen lassen, verstoßen sie insoweit nach dem bisher Gesagten nicht gegen gesetzliche Regelungen.

Die Nutzungsbedingungen der Social Media Plattformen

Neben den gesetzlichen Regelungen gilt es jedoch auch die Nutzungsbedingungen der jeweiligen sozialen Netzwerke zu beachten. Bei Facebook gibt es hierzu eine sehr klare Regelungen: Du wirst dein persönliches Profil nicht für kommerzielle Zwecke verwenden (wie beispielsweise durch den Verkauf deiner Statusmeldung an Werbetreibende). (4.4 der Nutzungsbedingungen). Dies bedeutet, dass eben keine Werbung über die persönlichen Profile eingestellt werden darf.

Auch GooglePlus ist mit Nr. 7 seiner Inhalts- und Verhaltensrichtlinien für Nutzer eindeutig: „Verbreiten Sie keinen Spam, einschließlich des Sendens von unerwünschten Werbeinhalten, oder unerwünschte oder Massenwerbemails.“ Werbung über die GooglePlus Profile (derzeit ohnehin nur persönliche) ist also ein No-Go.

Twitter hält sich hier hingegen wesentlich bedeckter. In den Twitter-Regeln, die Teil der Nutzungsbedingungen sind, heißt es „Die Nutzung der Twitter-Services, um anderen Benutzer Spam zu senden, ist ausdrücklich verboten. Die Definition von „Spamming“ ist in der Entwicklung und wird sich in dem Mass ändern, wie wir auf neue Taktiken von Spammern reagieren.“ Im Folgenden werden dann einige Faktoren aufgeführt, die „bei der Festlegung, welches Verhalten als Spamming gilt“ berücksichtigt werden. Darunter finden sich „Wenn die Tweets eines Benutzers hauptsächlich aus Links bestehen, anstatt persönlichen Updates„, „Wenn ein Benutzer irreführende Links einträgt.“ – Kommerzielle Kommunikation via Tweets ist bei Twitter also bislang nicht ausdrücklich verboten. (Das wird sich vermutlich ändern, sobald bei Twitter von Twitter tatsächlich Werbung eingeblendet wird…).

Im Ergebnis sind die oben beispielhaft aufgeführten Tweets bei Twitter also rechtlich zulässig, bei Facebook und GooglePlus würden solche gegen die Nutzungsbedingungen verstoßen.

Von der rechtlichen Zulässigkeit dieser Art der Werbung aber einmal abgesehen, hier

Die besten Gründe, derartige Werbung über (persönliche) Social Media Profile zu unterlassen

An dieser Stelle erlaube ich mir schlicht aus dem Blog-Artikel „5 Gründe, warum Turis Twitter-Werbung ein Irrweg istvon Medial & Digital aus aus dem Jahre 2009 zu zitieren:

„Wofür bezahlen Unternehmen eigentlich ihren Social-Media-Beratern viel Geld für ausgefeilte Kommunikationskonzepte im Social Web (”Wir müssen die Nutzer engagieren“, ”Dialog auf Augenhöhe“, ”authentisch sein“, “bloß kein old-school Push-Marketing“), wenn ihnen dann doch nichts Besseres einfällt, als genau wie vor zehn Jahren langweilige und nichtssagende Werbebotschaften herauszublasen.“

Sic! Dem ist nichts hinzuzufügen. Aber ganz offensichtlich ist  auch im Jahr 2011 noch nicht bei allen angekommen, dass mit dieser Form der „Social Media“ Werbung kein Blumentopf zu gewinnen ist. #defollow.

In diesem Sinne,

einen schönen und werbefreien Mittwoch.