Facebook – Online.Spiele.Recht

Nach Urteil: Rechtssicherheit für Facebook-Fanpage Betreiber

Konstantin Ewald — Fri, 05 Sep 2014 10:50:49 +0000

Gestern entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) in einem Urteil (Az.: 4 LB 20/13), dass Betreiber von Facebook Fanpages keine Verantwortung für die über die Fanpages ausgelöste Verarbeitung von personenbezogenen Daten bei Facebook tragen. Die Betreiber der Seiten sind weder verantwortliche Stelle im Sinne des Datenschutzrechts noch als Störer verantwortlich zu machen. Das Gericht bestätigt damit ein Urteil der Vorinstanz (Schleswig-Holsteinisches VG,Urteil vom 9. Oktober 2013, Az. 8 A 218/11) und gibt somit Seitenbetreibern Rechtssicherheit.

Was war passiert?

Im Herbst 2011 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Unternehmen in Schleswig-Holstein gedroht, Bußgelder zu verhängen, sollten Facebook- Fanseiten nicht deaktiviert werden. Gleichzeitig wurde der der Wirtschaftsakademie der Industrie- und Handelskammer (WAK) per Bescheid aufgegeben, ihre Fanpage bei Facebook zu deaktivieren. Der damalige Musterbescheid ist hier zu finden. Hiergegen hatte die WAK geklagt. Beide Schleswig-Holsteinischen Gerichte entschieden im Sinne der WAK und aller Facebook-Seitenbetreiber und stellten klar, dass der Fanpage-Seitenbetreiber datenschutzrechtlich nicht verantwortlich sei, sondern insoweit allein Facebook die datenschutzrechtliche Verantwortung trifft.

Die Reaktionen

Die Reaktionen auf das Urteil fielen erwartungsgemäß unterschiedlich aus. Während der Schleswig-Holsteinische Datenschutzbeauftragte das Urteil in einer ersten Stellungnahme als „Katastrophe und Rückschlag für den Datenschutz“ bezeichnete, zeigte sich die IHK Schleswig-Holstein erwartungsgemäß erfreut.

Formal besitzt das Urteil nur Relevanz für die beiden Beteiligen des Rechtsstreits und allenfalls noch für Facebook-Seitenbetreiber mit Sitz in Schleswig-Holstein. Tatsächlich muss man das Verfahren jedoch wohl als Musterverfahren ansehen, so dass für alle deutschen Facebook-Fanpage-Betreiber datenschutzrechtliche Rechtssicherheit hergestellt wurde. Die Entscheidungsgründe liegen noch nicht vor. Eine Revision zum Bundesverwaltungsgericht ist zulässig.

VG Schleswig-Holstein: Deutsches Datenschutzrecht gilt für Facebook nicht.

Felix Hilgert — Mon, 11 Mar 2013 06:41:04 +0000

Mit Beschluss vom 14. Februar 2013 hat das VG Schleswig-Holstein entschieden, dass das deutsche Datenschutzrecht für die irische Facebook-Tochter, die das soziale Netzwerk in Europa betreibt, nicht gilt (Az. 8 B 60/12, Volltext).

Der als Hardliner bekannte Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hatte die Facebook Ireland Ltd. mit Sitz in Dublin per Bescheid angewiesen, Nutzerkonten freizuschalten, die Facebook wegen der Angabe falscher oder erfundener Namen und Profildaten gesperrt hatte. Nach den Nutzungsbedingungen von Facebook dürfen Profile nur unter dem echten Namen des jeweiligen Nutzers angelegt werden. In § 13 Abs. 6 des deutschen Telemediengesetzes (TMG) ist dagegen die Pflicht für Plattformbetreiber statuiert, eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, wenn dies zumutbar ist.

Gegen den Bescheid und die darin enthaltene Zwangsgeldandrohung hat Facebook geklagt und beantragt, die aufschiebende Wirkung der Klage anzuordnen bzw. wiederherzustellen. Über diesen Antrag hatte das VG Schleswig-Holstein zu entscheiden.

Es stellt lapidar fest:

Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung.

Nach § 1 Abs. 5 S. 1 BDSG, der auch für die Datenschutzvorschriften des TMG gilt, findet deutsches Datenschutzrecht für Unternehmen, die ihren Sitz in anderen Mitgliedsstaaten der EU haben, nur dann Anwendung, wenn sie Daten durch eine Niederlassung im Inland erheben bzw. verarbeiten. Ist dies nicht der Fall, gilt das Datenschutzrecht des Sitzlandes.

Zwar gibt es eine Facebook Germany GmbH mit Sitz in Hamburg. Diese ist aber allein im Bereich der Akquise von Anzeigenkunden tätig und betreibt selbst nicht das soziale Netzwerk.

Der Standort der Server sei im Übrigen unerheblich, maßgeblich sei nur die tatsächliche Steuerung der Gesellschaft am Standort Dublin. Die Datenerhebung und -verarbeitung der Facebook Ireland Ltd. unterliegt damit, so die Richter, allein irischem Datenschutzrecht.

Den auf §§ 38 BDSG, 13 TMG gestützten Bescheid ordnet das VG Schleswig-Holstein aufgrund dieser Überprüfung im einstweiligen Rechtsschutz schon wegen der Nichtanwendbarkeit dieser Normen als rechtswidrig ein, so dass er auch schon vor dem endgültigen Urteil in der Sache nicht mehr vollstreckt werden kann.

Mit dem Beschluss, der die Rechtsauffassung des Gerichts deutlich erkennen lässt und daher schon eine Prognose ermöglicht, wie das Gericht im Hauptsacheverfahren wohl entscheiden wird, haben die Richter in erfreulich deutlicher Weise den Anwendungsbereich des deutschen Datenschutzrechts und dessen Grenzen im Hinblick auf die nationalen, aber letztlich durch Richtlinien weitgehend harmonisierten, Datenschutzrechten der übrigen EU-Mitgliedsstaaten klargestellt.

Offen bleibt dagegen die ebenfalls spannende Frage, ob es für ein soziales Netzwerk im Sinne des § 13 Abs. 6 TMG „zumutbar“ ist, die anonyme oder pseudonyme Nutzung zu ermöglichen. Wenn der Sinn des Netzwerks die Kontaktpflege und Außendarstellung tatsächlich existierender Personen ist, könnte dies durchaus zu verneinen sein, insbesondere bei eher professionell orientierten Plattformen wie LinkedIn oder Xing. Eine ähnliche Frage haben wir schon vor einiger Zeit im Blog beleuchtet.

Verbraucherschützer mahnen GMX/Web.de wegen unzureichender Umsetzung der „Buttonlösung“ ab

Tim Maiorino — Thu, 30 Aug 2012 05:00:24 +0000

Die Verbraucherzentrale Bundesverband (VZVB) hat in Deutschland jüngst sowohl Facebook als auch die United Internet Unternehmen GMX und Web.de abgemahnt. Während der VZVB bei Facebook die Weitergabe persönlicher Daten der Nutzer an App-Anbieter, ohne dass die Nutzer ihre Einwilligung dazu gegeben hätten, und somit Datenschutzverstöße bemängelte, standen bei GMX und Web.de die nicht gesetzeskonforme Umsetzung von Informationspflichten im Zusammenhang mit der am 1. August 2012 in Kraft getretenen Gesetzesänderung zur Button-Lösung (wir berichteten hier) im Fokus.

Bei Verträgen im elektronischen Geschäftsverkehr, die keine Finanzdienstleistungen im Sinne des Fernabsatzrechts sind, müssen Onlinehändler den Verbraucher seit dem 1. August 2012 in klarer und verständlicher und vor allen Dingen hervorgehobener Weise die folgenden Informationen zur Verfügung stellen:

die wesentlichen Merkmale der Ware oder Dienstleistung,
die Mindestlaufzeit des Vertrags, wenn dieser eine dauernde oder regelmäßig wiederkehrende Leistung zum Inhalt hat,
den Gesamtpreis der Ware oder Dienstleistung einschließlich aller damit verbundenen Preisbestandteile sowie alle über den Unternehmer abgeführten Steuern oder, wenn kein genauer Preis angegeben werden kann, seine Berechnungsgrundlage, die dem Verbraucher eine Überprüfung des Preises ermöglicht sowie
gegebenenfalls zusätzlich anfallende Liefer- und Versandkosten sowie einen Hinweis auf mögliche weitere steuern oder Kosten, die nicht über den Unternehmer abgeführt oder von ihm in Rechnung gestellt werden.

Weiter gibt das Gesetz nunmehr klar vor, in welcher Art und Weise der Onlinehändler den Bestell- bzw. Kaufbutton bezeichnen und ausgestalten muss. Das Gesetz fordert eine Beschriftung in gut lesbarer Art und Weise mit den Wörtern „Zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung.

Zwar sollen GMX und Web.de laut Angaben der VZBV den geforderten Button in ihr Angebot kostenpflichtiger Leistungen integriert haben, jedoch fänden sich wichtige Informationen zu Vertragsbedingungen aber nicht wie vom Gesetzgeber gefordert in unmittelbarer Nähe des Buttons.

Das schnelle Vorgehen der VZBV gegen Verstöße wegen nicht rechtskonformer Umsetzung der Gesetzesänderung zeigt, dass Onlinehändler und Plattformanbieter möglichst schnell reagieren und – sofern noch nicht geschehen – Ihre Webseiten zeitnah an die Vorgaben des Gesetzesgebers anpassen sollten.

News vom 13. Datenschutzkongress in Berlin: Rechtssicherheit für Facebook Like?

Tim Maiorino — Wed, 16 May 2012 06:08:36 +0000

Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

Beschlagnahme von Accounts

Dr. Marc Störing — Mon, 26 Mar 2012 08:29:48 +0000

User-Accounts sind inzwischen Alltag. Egal ob bei On- oder Offline Games – oder natürlich bei Social Media: Accounts bieten viele Funktionen, von der Kommunikation bis hin zur Datenspeicherung. Da war es nur eine Frage der Zeit, bis sich staatliche Ermittler für User-Accounts auf den Servern der Anbieter interessieren. Aber wann müssen sich Anbieter und natürlich auch User den staatlichen Zugriff eigentlich gefallen lassen?

Dazu betritt das Amtsgericht Reutlingen nun Neuland. Das Gericht versucht Zugriff auf Daten aus dem Facebook-Account des Angeklagten zu bekommen. In dem Verfahren wird einem 20-Jährigen vorgeworfen, Beihilfe zu einem Wohnungseinbruchsdiebstahlt begangen zu haben: Der einschlägig Vorbestrafte soll vor rund zwei Jahren in der Tatnacht die Tochter der Wohnungsinhaber ausgeführt und diese dabei mal eben über die Details der Räumlichkeiten befragt haben, die er dann per Facebook-Chat über sein Smartphone dem eigentlichen Haupttäter, der auf ein lohnendes Einbruchsprojekt aus war und später auch getrennt angeklagt wurde, weiter gegeben hat. Hätten die Chat-Inhalte vorgelegen, wäre die Sache schnell geklärt gewesen. Auf dem beschlagnahmten Smartphone des mutmaßlichen Täters war aber nichts (mehr?) zu finden. Den Ermittlern blieb nur der Versuch, direkt über Facebook an das mutmaßliche Beweismaterial zu kommen.

Der Reutlinger Jugendrichter griff deshalb zu einem unüblichen Mittel: Er erließ einen Beschluss, mit dem er die Beschlagnahme der „beim Anbieter Fa. Facebook GmbH“ im Account des Angeklagten gespeicherten zahlreichen „Messages“ sowie „Friends“, „Notes“, „Chats“, „E-Mails“ und „sämtliche Lichtbilder“ anordnete. Obwohl in den Medien vielfach anders kommentiert, handelte es sich in Wahrheit eher um den Versuch, lediglich an bestimmte Kommunikation, aber eben nicht an den Account also solche heranzukommen. Diese Methode mag für ein deutsches Gericht auf den ersten Blick ungewöhnlich erscheinen. Allerdings spricht der für die Sicherstellung maßgebliche Paragraf von „Gegenständen, die als Beweismittel … von Bedeutung sein können“. Der Gesetzgeber ging hier noch von so etwas wie dem blutverschmierten Messer aus. Trotzdem sind unter „Gegenständen“ auch Daten zu verstehen, wie das Bundesverfassungsgericht schon vor einigen Jahren festgestellt hat.

Bei Social-Media-Accounts wird man unschwer erkennen, dass die dort gespeicherten Daten vielfach Teil vergangenen oder aktuellen Nachrichtenaustausches der betroffener Nutzer sind. Dieser wiederum ist verfassungsrechtlich durch das Fernmeldegeheimnis geschützt, die die Kommunikation von Bürgern frei von staatlicher Kontrolle sicherstellen soll. Deshalb können Strafverfolger auf Daten, die dem Fernmeldegeheimnis unterliegen, nur unter verschärften Bedingungen zugreifen. Aber auch in dem Zusammenhang erklärte das BVerfG schon im Jahre 2009, dass bereits gelesene private Nachrichten auf dem Server des Betreibers geschützt sind. Ein Zugriff auf die Daten sei aber unter den eher geringen Anforderungen der klassischen Postbeschlagnahme zulässig. Eben hierauf stütze sich nunmehr auch das Reutlinger Amtsgericht.

Die Beschlagnahme muss aber als staatliche Zwangsmaßnahme verhältnismäßig und ohne Zweifel über dessen Umfang erfolgen. Das Gericht darf somit nicht mehr Daten als nötig beschlagnahmen. Wohl deshalb hat das Reutlinger Gericht versucht, möglichst genau zu schreiben, was es eigentlich haben will:

„Nicht der Beschlagnahme unterliegen Nachrichten („Messages“) und Chatnachrichten, welche ersichtlich nicht an den Angeklagten gerichtet sind oder offensichtlich zu diesem Strafverfahren keinen Bezug oder erkennbar religiöse Inhalte haben, also nicht Nachrichten („Messages“) an oder über die Zeugin Z., die den getrennt verfolgten V. betreffen. Standortdaten, IP-Adressen, religiöse Ansichten oder politische Ansichten sollen nicht erhoben werden.

Damit haben die Betreiber den schwarzen Peter. Sie sind es nämlich, die herausfinden müssen, welche Daten sie genau herausgeben sollen und haben somit quasi stellvertretend für die Staatsgewalt eine Differenzierung der Daten vornehmen. Heikler Weise droht auch ausgerechnet ihnen ein ernstzunehmendes Haftungsrisiko, sollten sie hierbei daneben liegen.

In dem Reutlinger Fall war Adressatin der Beschlagnahme die Hamburger „Fa. Facebook GmbH“, die aber faktisch nicht die Anbieterin des Dienstes ist, weil sie weder die Facebook-Server betreibt, noch nach eigener Aussage auf die darauf gespeicherten Daten zugreifen kann. Das Facebook-Impressum nennt die in Irland beheimatete Facebook Ireland Ltd. als Anbieterin des Dienstes. Deshalb hat das Amtsgericht nun den Weg über das Rechtshilfeersuchen an die irischen Behörden genommen. Übrigens will nun auch der Angeklagte selbst helfen. Er hat selbst hat jetzt seine Daten aus Dublin angefordert.

Der Prozess gegen den 21-Jährigen ging erst vergangene Woche in die nächste Runde. Ergebnis: Weder der Angeklagte selbst, noch das Reutlinger Amtsgericht haben die verlangten Daten bisher erhalten: Die Facebook Irland Ltd. hat bisher den Zugriff auf die in den USA befindlichen Daten verweigert und beruft sich auf US-Gesetze und interne Richtlinien.

Als Reaktion hat das Gericht zum nächsten Verhandlungstermin am 29. März 2012 auch eine Mitarbeiterin von Facebook geladen. Zu welchem Ergebnis ihre mögliche Anwesenheit für das Verfahren führen wird, bleibt abzuwarten.

Unterm Strich bleibt vorerst für die Praxis, dass Gerichte Inhalte aus Accounts beschlagnahmen lassen können. Aber eben nur, soweit sie die strengen gesetzlichen Vorgaben beachten. Gerade die Erfüllung der Anforderungen an die Verhältnismäßigkeit könnte aber künftig die Wirksamkeit so mancher Anordnung scheitern lassen.

Wir danken unserem Mitarbeiter Istvan Fancsik für die Mitarbeit an diesem Beitrag.

Rechtsklarheit für Social Plugins? – Neuer Beschluss des Düsseldorfer Kreises

Tim Maiorino — Mon, 19 Dec 2011 18:45:50 +0000

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen, da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

„Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.“

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

Landtag kritisiert Datenschützer im Streit um Facebook [update]

Dr. Marc Störing — Thu, 01 Dec 2011 07:29:10 +0000

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD – kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

Special: Die Fesseln des Online-Datenschutzes

Felix Hilgert — Thu, 20 Oct 2011 12:08:51 +0000

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

Die ersten Facebook „Like“ Abmahnungen fliegen – Thilo Weichert macht ernst

Konstantin Ewald — Thu, 06 Oct 2011 11:00:21 +0000

In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. So wird Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz in Kiel in dem Artikel wie folgt zitiert:

„Die öffentlichen Stellen bekommen jetzt die Gelegenheit, Stellung zu nehmen und gesetzeskonforme technische Lösungen vorzuschlagen, die uns vielleicht unbekannt sind“

Als hätten nicht schon einige andere über solche Lösungen nachgedacht…

Gemeinsam mit den staatlichen Stellen hat es zehn Unternehmen in Schleswig-Holstein erwischt. Anders als den staatlichen Stellen droht den Unternehmen jedoch ein Bußgeld.

We like Facebook – ein Update zur Debatte um Like-Buttons

Konstantin Ewald — Mon, 05 Sep 2011 04:00:14 +0000

Nachdem das ULD seine Pressemitteilung mitsamt dem zugehörigen Arbeitspapier veröffentlichte, weht vom Norden her eine kühle Datenschutzbrise durch das gesamte Bundesgebiet, deren Ausläufer sogar das südliche Bayern erreichen.

Reaktionen weiterer Datenschutzbeauftragter

Mittlerweile hat sich der Landesbeauftragte für den Datenschutz in Niedersachen öffentlich der Ansicht des nördlichen Nachbarn angeschlossen Auf seiner Homepage veröffentlichte er „Informationen für Webseitenanbieter mit Sitz in Niedersachen“, in denen er auf die datenschutzrechtlichen Verstöße hinweist, die sich „allein aus der Verwendung eines Facebook Like-It-Buttons“ auf der Anbieterwebseite ergeben können. Gleichzeitig betont der niedersächsische Landesbeauftragte, dass nicht Ziel des Datenschutzes ist, Social PlugIns generell zu verbieten, jedoch appelliert er an die Beachtung des Grundsatzes der Datensparsamkeit und der Verantwortung der Webseitenbetreiber, die für eine Entfernung sprechen.

Ähnliche Töne sind auch aus den von Niedersachen eingeschlossenen Staatstaaten zu vernehmen. So äußerte sich die Datenschutzbeauftragte des Landes Bremen in einem Interview mit Radio Bremen, dass sie sich „wünschen“ würde, „dass Bremen bei sozialen Netzwerk Facebook aussteigt“ oder alternative technische Lösungen gesucht werden, die den Verbleib mit dem Datenschutz konform machen. Konkrete Handlungsanweisungen an die Webseitenbetreiber wurden aber nicht veröffentlicht, vielmehr soll das weitere Vorgehen erst nach einer Analyse mit der Bremer Finanzbehörde erfolgen und anschließend bekannt gegeben werden.

Auch Hamburgs Datenschutzbeauftragter erklärte gegenüber der „Welt“, dass er empfiehlt, von offiziellen Webseiten wie hamburg.de sowie von den Hamburger Senatswebseiten entsprechende Social-Network-PlugIns zu entfernen. „Von den öffentlichen Stellen erwartet man die Einhaltung gesetzlicher Vorschriften“, so der Datenschutzbeauftragte. Ganz anschließen will sich der Hamburger Datenschutzbeauftragte den Vorreitern aus Schleswig-Holstein, die in jedem Fall einen datenschutzrechtlichen Verstoß in der Funktion solcher Symbole sehen, scheinbar nicht. Die Herausnahme der Buttons soll erst einmal so lange andauern, wie die datenschutzrechtliche Konstellation nicht geklärt ist. Zum gegenwärtigen Zeitpunkt ist ein entsprechendes Facebook,und Twitter-PlugIn auf der Homepage des offiziellen hamburg.de Portals weiterhin vorhanden.

Auch Abseits des kühlen Nordens schließen sich weitere Landesdatenschutzbeauftragte einer Entfernung von entsprechenden Fanpages staatlicher Stellen auf Facebook sowie der Like-It-Buttons, an. Bereits kurz nach der Bekanntgabe der Ergebnisse des ULD veröffentlichte der Landesdatenschutzbeauftragte des Landes Rheinland-Pfalz eine Pressemitteilung, in der er sich der Ansicht des ULD anschließt, wonach bestimmte Funktionen von Facebook gegen geltendes Datenschutzrecht nach dem TMG und dem Bundesdatenschutzgesetz verstoßen. Zwar stellte der Datenschutzbeauftragte in einer Untersuchung fest, dass nur wenige öffentliche Stellen des Landes Rheinland-Pfalz tatsächlich eine Fanpage bei Facebook betreiben oder Social-PlugIns wie den „Gefällt mir-Button“ auf ihren Webseiten einsetzen, jedoch wird er dennoch mit den Webseitenbetreibern in Kontakt treten, um die Internetauftritte „datenschutzkonform“ zu gestalten. In Rheinland-Pfalz beschränkt sich die Debatte nicht allein auf das eigentlich zuständige Datenschutzressort. So hatte nahezu parallel auch der rheinland-pfälzische Justiz- und Verbraucherminister eingelenkt und den Bund aufgefordert, den Datenschutz in sozialen Netzwerken zu verbessern. „Eine Stärkung des Datenschutzes und der Privatsphäre von Nutzerinnen und Nutzern sozialer Netzwerke im Internet ist dringend notwendig. Es ist zwar richtig, dass zum Beispiel ein Unternehmen wie Facebook seinen Sitz in Irland hat, aber deswegen lediglich darauf zu verweisen, man habe keine rechtliche Handhabe und hoffe auf eine europäische Regelung scheint mir doch zu kurz gefasst. Selbstverständlich ist die Bundesregierung in der Bringschuld bei dieser Frage“, so der Minister.

Einem aktuellen Beitrag des Fachmagazin Werben und Verkaufen (w&v Nr. 34/2011, S. 8 ) zur Folge, soll auch der Datenschutzbeauftragte Mecklenburg-Vorpommerns in die Debatte eingelenkt haben und sich ebenfalls für die Herangehensweise des ULD ausgesprochen haben. Das Magazin führt indes auch an, dass die verbleibenden Bundesländer, wie Brandenburg, Baden Württemberg und Nordrhein-Westfalen das Thema für „relevant“ halten, vorerst aber noch die Ergebnisse des ULD überprüfen möchten. Entsprechende offizielle Mitteilungen sind den Webseiten der jeweiligen Landesdatenschutzbeauftragten allerdings nicht zu entnehmen.

Im gleichen Zuge soll auch der Bundesdatenschutzbeauftragte Peter Schaar gegenüber w&r geäußert haben, dass er den Vorstoß des ULD begrüße und Folgen der Erkenntnisse für das eigene Zuständigkeitsgebiet prüfe.

Eine zurückhaltende Stimmung ist indes aus dem Freistaat Bayern zu vernehmen. Aus einem Interview des Präsidenten des bayrischen Landesamts für Datenschutzaufsicht Thomas Kranig mit internetworld.de geht hervor, dass die bayrischen Webanbieter vorerst keine Sanktionen für das beibehalten eines Like-It-Buttons auf ihren Portalen fürchten müssen. „Wir vom Bayerischen Landesamt für Datenschutzaufsicht halten an dem Vorgehen fest, mit den anderen Aufsichtsbehörden Argumente auszutauschen und zu versuchen, zu einer gemeinsamen Lösung zu kommen. (…) Wenn wir zu dem Ergebnis kommen, dass wir den Gefällt-mir-Button für rechtswidrig halten, bedeutet das für uns auch, dass wir etwas dagegen unternehmen.“

Die übrigen Bundesländer enthalten sich bislang der Debatte. Die Ende September angesetzte Datenschutzkonferenz bleibt folglich abzuwarten.

Rechtliche Debatte

Die durch das Arbeitspapier des ULD vorgenommene Bewertung der Rechtswidrigkeit des Like-It-Buttons sieht sich seither auch rechtlicher Kritik gegenüber. Kollege Härting nahm die Stellungnahme des ULD zum Anlass, die Vorgehensweise und rechtliche Bewertung des ULD zu würdigen. Härting kommt zu dem Schluss, dass einerseits schon die Ergebnisse des Arbeitspapiers Grund zum Zweifeln geben, da sie sich der rechtlich umstrittenen Debatte um die „Personenbezogenheit der „IP-Adresse“ gänzlich entziehen. Ob durch die Übermittlung der IP-Adresse tatsächlich personenbezogene Daten bezogen werden und Rückschlüsse auf den Anwender erlauben, sei aber eine zentrale Frage bei der Überprüfung der datenschutzrechtlichen Zulässigkeit der Like-It-Buttons. Andererseits geht Härting auch mit der Art und Weise, wie das ULD mit den Ergebnissen und der Konsequenzen an die Öffentlichkeit getreten ist, streng ins Gericht und wertet die öffentliche Aufforderung an die Unternehmen den Like-It-Button zu entfernen als ungerechtfertigten Eingriffs in Art. 12 Abs. 1 GG und damit als verfassungswidrig. Auch prangert Härting, ebenso wie der Kieler Kollege Strunk (hoffentlich trifft ihn nicht die „Rache“ des ULD), die vorgenommene Bußgeldandrohung an und verweist das ULD auf § 43 BDSG als richtige Rechtsgrundlage für derartige öffentliche Androhungen. Der hingegen vom ULD verwendete § 16 TMG sei in Schleswig-Holstein gemäß § 38 Abs. 6 Medienstaatsvertrages Hamburg/Schleswig-Holstein (MedienStV) der Landesmedienanstalt vorbehalten. Angeregt durch diese Debatte, hat das ULD mittlerweile eine Stellungnahme veröffentlicht, welche die Zuständigkeitsrüge als „rechtsirrig“ abweist. Danach liege in Schleswig Holstein die Sonderkonstellation vor, dass für die Verfolgung von Ordnungswidrigkeiten nach § 16 TMG eine geteilte Zuständigkeit bestehe. Soweit es sich um Verstöße handelt, die originär dem Innenministerium zuzuordnen sind, hat das ULD gem. § 45 Abs. 1 LDSG-SH alle „der Datenschutzaufsichtsbehörde im Innenministerium obliegenden Aufgaben“ übernommen, somit auch die vorliegende Konstellation und kann Bußgelder nach § 16 TMG androhen.

Weitere interessante Beiträge, die sich mit der Richtigkeit der datenschutzrechtlichen Bedenken der „Gefällt mir“-Buttons beschäftigen und zu übereinstimmenden Ergebnissen bezüglich einer Verneinung einer pauschalen Unzulässigkeit gelangen, sind u.a. der Beitrag des Mainzer Kollegen S. Schmidt sowie die rechtliche Auseinandersetzung mit dem Thema von Dipl. Jur. Jens Ferner.

Der Rüge einer verfassungsrechtlich bedenklichen Vorgehensweise des ULD durch öffentliche die Aufforderung der Webseitenanbieter zur Entfernung der Like-It-Buttons hält, wie auch von Rechtsanwalt Stadler angeführt, der Interessenverband Digitale Gesellschaft“ provokant gegen. Danach sei, dass das ULD nicht direkt an Facebook herantreten kann, ein „Verschulden der Politik. (…) Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus“.

Erste Lösungsansätze

Es war nur eine Frage der Zeit, wann auch technische Lösungsansätze der angeblichen datenschutzrechtlichen Like-It-Button-Problematik entgegentreten. So befürwortet Jens Ferner den ZusatzPlugin. Dieser stellt eine zusätzliche Hürde dar, und „aktiviert“ den Facebook-Like-It-Button erst nach dem Klick auf eine entsprechende Einwilligung durch den Anwender. Durch die zusätzliche Einwilligung mache der Nutzer deutlich, dass er der Weiterleitung seiner personenbezogenen Daten zustimme. Eine neuerliche Aufruhr bekommt die Diskussion durch die Idee von heise-online. Das Portal entwickelte eine „2-Klicks für mehr Datenschutz“ Initiative. Danach bietet heise-online, anstelle der üblichen Like-It-Buttons, erstmals nur „deaktivierte“ Buttons an, die für sich genommen nur optische Symbole ohne Verbindung zu den ihnen zugeordneten Servern von Facebook & Co darstellen. Das sich anschließende zweistufige Klicksystem, basiert darauf, dass der Anwender diesen Button durch den ersten Klick aktiviert und damit seine Zustimmung zur Kommunikation und Datenweitergabe des hinter dem Button stehenden Servers, bspw. Facebook gibt, Anschließend kann der Anwender mit einem zweiten Klick seine „Empfehlung“ übermitteln. Die so erfolgte Zustimmung zur Datenübermittlung ist nur für die jeweilige Webseite auf der sich der Nutzer befindet bindend und nur für den angewählten Dienst. Beim Aufruf weiterer heise-online-Webseiten erscheint wieder ein deaktivierter Button. „So kann man die sozialen Netze nutzen, ohne dass diese gleich komplette Surf-Profile erstellen können“, so die Beschreibung der Funktionsweise. Heise-online weist ergänzend darauf hin, dass auch die Möglichkeit einer dauerhaften Einwilligung in die Datenübermittlung zu einem bestimmten Netzwerk besteht. Durch das Setzen eines entsprechenden Häkchens, welches sich unterhalb der Einstellungen (erkennbar an einen Zahlenradsymbol) befindet, kann die Deaktivierung des Like-It-Buttons aufgelöst werden. Der ausgewählte Button ist dann immer direkt aktiv, solange der Anwender die Aktivierung innerhalb der Einstellungen nicht wieder selbst deaktiviert.

Ob die Lösungsansätze tatsächlich eine vermeintliche Vereinbarkeit des Like-It-Buttons mit dem Datenschutz herstellen können und ob dieses überhaupt notwendig ist, bleibt folglich abzuwarten. Fakt ist, dass das 2-Klick-System bei den Verantwortlichen von Facebook zunächst auf negative Resonanz gestoßen ist. Facebook ist zunächst mit einer Beschwerde aufgrund eines angeblichen Verstoßes gegen die Plattform Polices an heise-online herangetreten. Infolgedessen hat heise-online das Design des zuerst anzuklickenden „deaktivierten“ Buttons verändert und diesen optisch vom Original des Facebook-Buttons abgehoben. Dadurch tue dieser nicht mehr, wie von Facebook gerügt, so als sei er einer, ohne tatsächlich einer zu sein.

Und wie reagiert Facebook?

Facebook veröffentlichte am Freitag eine technische Lösung, die es mit dem Browser Chrome ermöglicht, jede beliebige Website zu liken, ohne dass ein „Like-Button“ auf der Website vorgesehen sein muss… Darüber hinaus weiß das Landesblog, dass Facebook eine Einladung des Innen- und Rechtsausschuss des schleswig-holsteinischen Landtages angenommen hat, um am 7. September gemeinsam mit den Parlamentariern über die aufgeworfenen Datenschutzfragen zu diskutieren.

Was bleibt ist also eine zähe Diskussion…wir bleiben dran!

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

Thilo Weichert dislikes Facebook’s ‚Like‘

Konstantin Ewald — Sat, 20 Aug 2011 14:16:33 +0000

Wir befinden uns im Jahre 2011 n. Chr. Die ganze Welt ist von Facebook besetzt …die ganze Welt? Nein! Ein von unbeugsamen Galliern bevölkertes Dorf hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für Facebook, das als Besatzung in den befestigten Lagern Kiel, Dithmarschen, Elbmarschen und Holsteinische Schweiz liegt…

Angeführt wird der Widerstand vom Schleswig-Holsteinischen Datenschutzbeauftragten Thilo Weichert, der in einer am Freitag veröffentlichten Pressemeldung alle Schleswig-Holsteinischen Unternehmen und öffentliche Stellen auffordert, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Das Unabhängige Landeszentrum für Datenschutz (ULD) begründet dieses Aufforderung wie folgt:

Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Der Datenschutzbeauftragte erwartet, dass dieser Aufforderung bis Ende September 2011 Folge geleistet wird und kündigt für den Fall, dass Schleswig-Holsteinische Websitebetreiber ihre Fanpages bei Facebook online lassen oder auf der eigenen Website weiter „Gefällt mir“-Buttons belassen, Sanktionen an. Dies können bei Unternehmen beispielsweise Untersagungsverfügungen und Bußgelder von bis zu 50.000,- Euro sein.

Der Datenschutzbeauftragte kündigt zudem an, das Facebook-Angebot weiter analysieren zu wollen, um die technische und rechtliche Analyse des ULD, die zu der aktuellen Pressemitteilung geführt hat, fortzuschreiben.

Nach unserem Kenntnisstand hat sich bislang noch kein weiterer Landesdatenschutzbeauftragter dieser neuen Gangart angeschlossen. Wir werden dies weiter verfolgen.

Kurz gemeldet: Bundesrat beschließt Verschärfung des TMG

Felix Hilgert — Sat, 18 Jun 2011 07:55:04 +0000

Über die hessischen Pläne zur Verschärfung der Datenschutzvorschriften des Telemediengesetzes (TMG) hatten wir bereits kritisch berichtet. Gestern hat der Gesetzentwurf den Bundesrat passiert und muss nun im Bundestag beraten werden. Der Entwurf sieht unter Anderem vor, dass Anbieter von sozialen Netzwerken stets die restriktivsten Datenschutz- und Privatsphärenoptionen als Standardeinstellung vorsehen müssen und verbietet grundsätzlich den Zugriff externer Suchmaschinen auf die Inhalte solcher Netzwerke. Zwar sind Ausnahmen hiervon möglich, die entsprechende Vorschrift ist jedoch so unpräzise formuliert, dass Streitigkeiten über ihre Reichweite vorprogrammiert sind.