– Gastbeitrag von Thomas Schwenke –
Der gegenwärtige Konflikt zwischen den Datenschutzbeauftragten und Facebook verunsichert die Nutzer. Die Androhung von maximal 50.000 Euro Bußgeld wiegt schwer. Auf der anderen Seite stehen erhebliche Investitionen von Zeit und Geld in Facebook-Fanseiten sowie die Unverzichtbarkeit des Like-Buttons im Social Media Marketing. Keiner möchte diese Werbemittel aufgeben, zugleich aber auch keine Bußgelder zahlen. Es herrscht also Verwirrung und Unsicherheit, denen dieser Beitrag abhelfen möchte.
Facebook & Datenschutz – eine lange Geschichte von Verstößen ohne Konsequenzen
Facebook kommt aus den USA und so ist es nicht verwunderlich, dass dem Unternehmen das Verständnis für das europäische Datenschutzrecht (das im Wesentlichen dem Deutschen entspricht) fehlt. Bei uns gelten im Wesentlichen drei Prinzipien:
- Personenbezogene Daten dürfen nur dann erhoben werden, wenn das Gesetz es erlaubt oder die betroffene Person über die Datenerhebung detailliert informiert wird und ihr ausdrücklich zustimmt.
- In einer Datenschutzerklärung muss über jede Erhebung, Nutzung und Weitergabe dieser Daten informiert werden.
- Nutzungsstatistiken dürfen nur pseudonym erhoben werden. Die Nutzer müssen der statistischen Erfassung widersprechen können.
- So werden von jedem Besucher einer Facebook-Fanseite Statistiken erhoben (Insights genannt), ohne dass der Besucher dem widersprechen kann.
- Mitgliederdaten wurden zu Profilen zusammengestellt ohne darin eingewilligt zu haben. Eine Einwilligung muss ausdrücklich (zum Beispiel durch anhaken von Kontrollkästchen) erklärt und in einer Datenschutzerklärung, zum Beispiel durch Fettschrift, hervorgehoben werden. Das ist bei der Facebookanmeldung nicht der Fall.
- Die Datenschutzerklärung von Facebook war unübersichtlich und klärte nicht über alle Datennutzungen auf.
- Der Like-Button erhob die IP-Adresse der Nutzer, auch wenn sie keine Facebookmitglieder waren. Bei Facebookmitgliedern dient er zudem als ein Trackingtool, das erlaubt ihre Netzbewegungen zu verfolgen. Dabei haben sie weder wirksam eingewilligt, noch haben sie eine Möglichkeit zum Widerspruch (es sei denn man sieht die Kontolöschung als einen Widerspruch an).
Insgesamt war es unter Juristen längst klar, dass Facebook gegen das Datenschutzrecht verstößt. Doch Verstöße interessieren niemanden, solange keine Konsequenzen drohen. Das war bisher der Fall. Facebook selbst agiert von den USA und Irland aus und konnte von deutschen Behörden oder Nutzern praktisch nicht belangt werden. Auch die Betreiber der Facebook-Fanseiten und Verwender des Like-Buttons hatten nichts zu befürchten. Eine Abmahnung im Zusammenhang mit dem Like-Button wurde von zwei deutschen Gerichten abgewiesen. Auch Bußgelder waren nicht zu befürchten.
Facebook ist weiterhin nicht rechtskonform
Auch wenn Facebooks neue Transparenz erfreulich ist, viele der obigen Datenschutzverstöße existieren immer noch:
- Weiterhin kann den Nutzungsstatistiken auf Facebook-Fanseiten nicht widersprochen werden.
- Der Like-Button verfolgt weiterhin die Bewegungen der Mitglieder im Netz.
- Der Einwilligungsprozess bei der Anmeldung ist weiterhin unwirksam.
- Die Datenschutzerklärung enthält immer noch Unklarheiten.
Zankapfel IP-Adresse
Verantwortlichkeit der Nutzer
2-Klick-Button als Lösung?
Um die Problematik des Like-Buttons zu entschärfen setzen einige seiner Verwender auf die so genannte 2-Klick-Lösung. Dabei wird zuerst nur eine Grafik des Buttons gezeigt. Dabei verbietet Facebook jedoch, dass die Grafik des Like-Buttons oder ein Facebooklogo verwendet werden. Klickt der Nutzer auf die Grafik, wird er darüber aufgeklärt, dass seine Daten an Facebook übermittelt werden und fragt um eine Einwilligung. Erst wenn der Nutzer zustimmt, wird der eigentliche Like-Button geladen. Diese Lösung erscheint nicht nur unbequem, sondern ist auch nur dann rechtssicher, wenn sie mit allen Konsequenzen umgesetzt wird. D.h. schwebende Informationen beim Überfahren der Grafik mit der Maus wie bei heise.de genügen nicht. Es handelt sich dabei insgesamt allenfalls um ein Bemühen, den Datenschutzforderungen nahe zu kommen. Dennoch ist zu erwarten, dass diese Lösung die Datenschützer zufrieden stellenwird. Wer also mehr Sicherheit will, sollte diese Lösung nutzen.
Ein Politikum
Was wir derzeit im Zusammenhang mit dem Facebook erleben, ist ein Datenschutz-Politikum. Die Datenschützer sind vom Gesetz her verpflichtet die Bürger vor Datenschutzverstößen zu schützen. Ihre Macht endet jedoch an der Staatsgrenze. Das heißt, obwohl Facebook in Deutschland agiert, können sie direkt nichts gegen Facebook ausrichten. Das bedeutet wiederum, sie können ihrem gesetzlichen Auftrag nicht nachkommen. Das einzig verbleibende Druckmittel sind die lokalen Nutzer. Indem man Ihnen mit Bußgeldern droht, werden sie unruhig, manche hören auf die Dienste von Facebook, wie den Like-Button zu nutzen oder warten ab, bevor sie eine Facebook-Fanseiten anlegen. Das ist schlecht für das Geschäft und zwingt Facebook sich an den Verhandlungstisch zu setzen und Zugeständnisse zu machen. Dieser Weg kann gut und gerne als politische Erpressung bezeichnet werden und wird auch rechtlich angezweifelt. Doch er ist effektiv, wie man an Facebooks Reaktionen sieht. Ob man die Datenschützer in Schleswig-Holstein dafür verteufeln oder ihnen dazu gratulieren möchte, bleibt jedem selbst überlassen. Wichtig ist viel mehr die Frage, wie man sich vor diesem Hintergrund verhalten sollte.
Handlungsempfehlung
Blickt man zurück, wird man sehen, dass die nordischen Datenschützer erst vor wenigen Monaten mit einer ähnlichen Taktik Google an den Verhandlungstisch geholt haben. Es ging dabei um die Rechtswidrigkeit von Google Analytics und auch in diesem Fall wurden den Nutzern Bußgelder angedroht. Obwohl Google Analytics bis heute nicht völlig rechtskonform ist, sind nach Wissen des Autors trotzdem keine Bußgelder verhängt worden. Ein solcher Ausgang kann wohl auch im Fall Facebook erwartet werden. Denn Facebook macht Zugeständnisse und diskutiert mit den Datenschutzbeauftragten. Man könnte sagen, dass die Datenschützer mit Verhängung von Bußgeldern diese Gesprächsbereitschaft torpedieren würden. Ferner haben sie erklärt zuerst gegen staatliche Stellen oder große Unternehmen vorzugehen. Und auch in diesen Fällen erfolgen in der Regel zuerst Ermittlungen, bevor ein Bußgeld verhängt wird. Zudem sind 50.000 Euro die Höchstgrenze und werden nicht in dieser Höhe verhängt. Das bedeutet alles in allem, dass das Gros der Nutzer ihre Facebook-Fanseiten weiter betreiben und den Like-Button beruhigt nutzen kann.
Diese Handlungsempfehlung basiert natürlich nur auf bisherigen Erfahrungen und dem Verhalten der Protagonisten. Daher bleibt es keinem erspart, die weitere Entwicklung weiterhin sorgsam zu beobachten.
Fazit
Es ist zu begrüßen, dass für den Datenschutz gekämpft wird. Zu verurteilen ist jedoch, dass die Datenschützer den Kampf auf dem Rücken der Nutzer austragen und sie in Unsicherheit stürzen. Auch deren restriktive Ansichten, was zum Beispiel den Schutz der IP-Adressen angeht, sind praxisfern. Jedoch sollten sie nicht alleine angeprangert werden. Facebook hat die europäischen Datenschutznormen missachtet und tut es zum Teil weiterhin. Mit der Offenlegung der Datenerhebung und Verbesserung der Datenschutzerklärung zeigt das Unternehmen, dass es auch anders kann.
Letztendlich zeigen die Vorgänge vor allem wie abhängig die Nutzer von Branchenriesen wie Facebook sind. Wie anfangs ausgeführt, stecken in Facebook-Fanseiten hohe Investitionen und viele Websites sind vom Like-Button abhängig. Auch wenn Bußgelder drohen, ist die Aufgabe dieser Marketingmittel daher keine Option. „Mitgefangen, Mitgehangen“ könnte ein zynisches Fazit lauten, dem jedoch zur Beruhigung „Es wird nichts so heiß gegessen, wie es gekocht wird“ entgegen steht.
Hinweis: Der Artikel ist nach bestem Wissen und Gewissen verfasst, jedoch kann er keine individuelle Rechtsberatung ersetzen. Es wird keine Haftung für die Richtigkeit und Vollständigkeit der Angaben übernommen.
Tatsächlich ein ganz guter Artikel, der viele Sachen berücksichtigt. Nur ein Fehler enthält er nach meiner Ansicht. Der Konflikt wird nicht auf dem Rücken der Nutzer ausgetragen, sondern auf dem Rücken der gewerblichen Anbieter. Und das ist ein kleiner, aber sehr gravierender Unterschied. Allerdings würde ich beinahe jede Wette annehmen, dass sich die Aufsichtsbehörde mit der Bußgeldverhängung sehr zurücknehmen wird.So wie auch google bei der Bildersuche für die Thumbnailanzeige (die eigentlich einen urheberrechtlichen Verstoß darstellt) ein sehr wohlwollendes Urteil erstritt, so gibt es ja bereits jetzt Gespräche zwischen FB und unserem Innenminister. Damit FB sich vielleicht doch ein klitzekleinesbißchen mehr an deutsche Datenschutzgesetze hält.Was für jeden, der kein Geld in die FB – Fanpage gesteckt hat, ein wenig bitter ist: Bein einem deutschen Unternehmen hätte es von Seiten der Verbraucherschutzstellen Abmahnungen und den zuständigen Datenschutzstellen Bußgelder gehagelt.
Man sollte es jetzt auf einen Prozess ankommen lassen, um im Konflikt mit dem Datenschutz-Deichgrafen von Schleswig-Holstsein endlich Rechtsklarheit zu bekommen. Ich halte die antizipierte Verwaltungspraxis und die Bußgeldandrohungen des ULD für rechtswidrig und für wirtschaftsschädlich.
Aus meiner Sicht ist die Art und Weise, wie mit Daten von Website-Besuchern umgegangen wird, vor allem für Dienstleister, die eine wirkliche persönliche Bindung zu ihre Usern haben, eine sehr entscheidende Frage. Als Tanzschule haben wir traditionell ein sehr persönliches Verhältnis zu unseren Gästen und haben deren Bedenken, was die Facebook-Implementierung angeht, früh ernst genommen und bereits vor Monaten eine eigene 2-Klick-Lösung auf unserer Webseite http://www.tanztipp.de eingebaut. Warum z. B. ausgerechnet ein Riese wie Heise sich die Urheberrechte von Facebook um die Ohren hauen lässt, weiß ich allerdings auch nicht. Insofern ein ziemliches Lehrstück, trotz eigener Rechtsabteilung…
Kleines Update zu Google Analytics:
Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich
http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html?tx_ttnews%5BbackPid%5D=170&cHash=09e1cbe956f62edb1e9f0386b4ca78f5
Das ist das Ergebnis, wenn sich Juristen am IT-Bereich vergehen: Sie haben eine starke Meinung, aber in Wahrheit keine Ahnung. Der Webseitenbetreiber ist überhaupt nicht das Problem:
Wenn ich ein Plugin von Facebook auf meiner Webseite einbinde, ist es trotzdem noch der Browser des Webseitenbesuchers (!!), welcher Kontakt zu Facebook aufnimmt. Nicht ich übermittle Daten an Facebook, sondern der Browser des Besuchers selbst. Hier (auf Browserseite) muss das Problem angegangen werden:
Statt Bußgeldbescheiden an Seitenbetreiber sollte man lieber die Hersteller/Programmierer/Inverkehrbringer von Browsern verpflichten, geeignete Schutzmaßnahmen zu implementieren: Daten dürfen im Auslieferungszustand des Browsers nur mit der Webseite ausgetauscht werden, dessen URL der Benutzer angeklickt oder in die Adresszeile eingegeben hat (evtl. inkl. Subdomains), und sonst mit NIEMANDEN.
Dem Benutzer steht es dann selbstverständlich frei, diese Standardkonfiguration nach seinen eigenen Wünschen anzupassen und zu deaktivieren. Und schon würde kein Problem mehr bestehen.
Das Problem liegt nicht bei den Seitenbetreibern, die (oft arglos) Plugins von Drittanbietern nutzen. Es liegt an den Webbrowsern, die ungehindert überallhin Daten übertragen, nur weil irgendeine fremde IP oder URL in einem HTML-Dokument steht.
@Robert S.
Die Schuld jetzt den Webbrowsern in die Schuhe zu schieben ist auch nicht zielführend. Was „das Problem“ ist, entscheiden weder Hr. RA Schwenke noch wir beide. Die Rechtsprechung in Deutschland ist sich hier schlicht extrem uneinig und es mag sicher im Kern richtig sein, die Datendurchlässigkeit der Browser zu kritisieren, jedoch greift das zu kurz wenn die Betreiber trotzdem abgemahnt oder verurteilt werden.
Da investiere ich lieber ein paar Euro und gehe als Betreiber auf Nummer Sicher.
@Oliver Fleidl: Ich treffe keine Entscheidung und schiebe niemandem etwas „in die Schuhe“.
Ich zeige eine Kausalität auf, auf welche das ULD und auch der Autor dieses Artikels mit keinem Wort eingegangen sind: Ich zeige auf, dass nicht nur Facebook und der Webseitenbetreiber an dem Datenaustausch beteiligt sind, sondern Facebook, Webseitenbetreiber UND Webseitenbesucher. Und wenn man hier genau hinsieht, stellen sich in diesem Dreieck die Zusammenhänge des Datenaustausches völlig anders dar, als bisher geschildert.
In anderen Worten: Die Annahmen, die der juristischen Debatte zugrunde liegen, sind in Teilen ungenau, evtl. sogar falsch. Und da aus Falschem bekanntlich Beliebiges folgt, ist die juristische Debatte damit in Teilen möglicherweise überhaupt nicht zielführend.
Als Webseitenbetreiber halte ich mich an die Gesetze. Aber sicherlich lasse ich mir von einer Behörde nicht vorschreiben, welche Inhalte ich auf meine Webseite packen darf und welche nicht, nur weil etwas (wie Facebook) nicht in das Weltbild des Behördenleiters passt. Es geht hier im Kern um Grundrechte (Meinungsfreiheit, freie Entfaltung der Persönlichkeit und im Falle von Unternehmenswebseiten Berufsfreiheit).
Daher erwarte ich (und da Grundrechte betroffen sind denke ich, ich darf dies mit gutem Recht), dass in der juristischen Debatte die Rolle des Webseitenbesuchers (und dessen Browser als Schnittstelle) als drittem Beteiligten genauer beleuchtet wird.
Daher bin ich nicht bereit, zu akzeptieren, dass eine Behörde (hier das ULD-SH) apodiktisch mittels eines nicht zu Ende gedachten Szenarios den Webseitenbetreibern die alleinige Schuld und Verantwortung zuweist.
@ Robert S.
Sehen Sie, da sind wir gar nicht so weit entfernt, ich halte diese Debatte für absolut notwendig, und letztlich wird sie sich (hoffentlich) in die Richtung entwickeln.
Mir geht es nur um die Konsequenzen, die Ihre sehr dezidierte Meinung eben mitbringt. Jeder muss für sich entscheiden, ob er die Vorschriften einer Behörde einhält oder nicht, denn er trägt auch die Konsequenzen.
Wobei eine wirklich seriöse Debatte über dieses Thema ebenso schwer wie wünschenswert ist.
Oliver Fleidl
Hallo Herr Schwenke,
das ist bislang der beste Artikel, den ich zu diesem Thema gelesen habe und ich bin Ihnen auch dankbar, dass sie klar Stellung beziehen, auch wenn Sie natürlich noch nicht wissen können, wie die Sache letztlich ausgehen wird. Die meisten Juristen drücken sich um eine Aussage…
Ist es nicht interessant, wie die Macht der deutschen Behörden an der Staatsgrenze endet und wie machtlos und letzten Endes auch unbeholfen sie auf die Entwicklung der weltweiten Vernetzung reagieren ?
Ich bin gespannt, wie es weitergeht.
Beste Grüsse
Oliver Tausend