queo blog

Facebook vs. Datenschutz – Lösungen statt Verbote

Paragraphen

Am 19. August 2011 veröffentlichte Schleswig-Holsteins Datenschützer, Dr. Thilo Weichert, eine Bewertung der Reichweitenanalyse von Facebook, wonach der Einsatz des oft verwendeten „Like-Button“, aber auch der Betrieb einer eigenen Unternehmensseite auf Facebook (Fan Page) dem deutschen Datenschutzrecht widersprechen. Die vollständige Analyse des ULD kann hier geladen werden: Facebook Arbeitspapier des ULD. Die in dieser Erklärung beschriebenen Datenschutzkonflikte im Zusammenhang mit der Weiterleitung von nutzerbezogenen Daten inkl. der IP des Nutzers beim Einsatz des „Like-Button“ stehen seit Längerem in der Kritik und werden von Juristen zusammen mit Agenturen und Unternehmen diskutiert. Ob und inwieweit die IP des Nutzers ein personenbezogenes Kriterium ist, hierüber sind sich Juristen allerdings noch lange nicht einig, auch wenn Dr. Weichert dies in seiner Bewertung als gegeben angibt.

Festzuhalten ist, dass der Facebook-Nutzer mit dem Anlegen eines eigenen Profils den AGB von Facebook und somit auch der Weiterleitung seiner Daten zum Zwecke der Analyse des Nutzerberhaltens und der Reichweite zustimmt. Allerdings genügen diese Hinweise laut ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) nicht dem deutschen Recht, da der Nutzer unter anderem kein Wahlrecht bei der Weitergabe seiner Daten hat – im Gegensatz zu Google+, wo der Nutzer diese OptOut-Möglichkeit besitzt (siehe Blogbeitrag vom 12.07.2011).

Die Erklärung des ULD geht soweit, dass den in Schleswig-Holstein ansässigen Unternehmen, welche Facebook als Social Media Kanal nutzen, innerhalb von vier Wochen die Möglichkeit eingeräumt wird, alle diesbezüglichen Aktivitäten auf Facebook einzustellen, anderenfalls droht ein Bußgeld von bis zu 50.000 Euro (maximale Höhe im Rahmen des Telemediengesetzes).

Da soziale Netzwerke wie Facebook nicht nur von Unternehmen, sondern auch von Parteien, Organisationen und auch von der Bundesregierung genutzt werden, hat sich Staatssekretär Dr. Arne Wulff (Staatskanzlei Schleswig-Holstein) in die Diskussion eingeschaltet und fordert einen Austausch und eine aktive Diskussion des ULD, betroffenen Unternehmen und Datenschützern zur Lösung dieses Problems, da Facebook auch als Plattform für demokratische Entscheidungsprozesse eingesetzt wird.

Queo widmet sich dem Datenschutzkonflikt bereits seit Längerem und steht hierbei auch in intensivem Dialog mit Anwalt Bernhard Kelz der Anwaltskanzlei Arnold aus Dresden, dessen Spezialgebiet das IT- und Medienrecht ist.

Ich möchte an dieser Stelle weniger auf die aktuelle Diskussion in den Medien eingehen, sondern den Sachverhalt noch einmal zusammenfassen und Lösungsmöglichkeiten aufzeigen:

1. ) Welche Nutzergruppen müssen betrachtet werden?

  • Registrierte und angemeldete Nutzer (Facebook)
    – die Übermittlung personenbezogener Daten erfolgt bereits beim Login
    – bei Anmeldung stimmt der Nutzer den Facebook AGB und damit der Verwendung seiner Daten zu
  • Registrierte aber nicht angemeldete Nutzer
    – personenbezogene Daten werden per Cookie übermittelt
    – bei Anmeldung stimmt der Nutzer den Facebook AGB und damit der Verwendung seiner Daten zu
  • Nicht registrierte Nutzer
    – Übermittlung der IP-Adresse – keine Zuordnung zu einem Facebook-Profil möglich und damit auch kein Personenbezug herstellbar
    – ausschließlich Übertragung von Verkehrsdaten

2.) Welche Optionen ergeben sich daraus?

  • Verwendung der Social Plugins wie üblich
    – Anpassung der Datenschutzbestimmungen im Impressum (Hinweis auf Social Plugins)
  • Nachbau des Like-Button, sodass keine Nutzerdaten an Facebook weitergegeben werden
    – Einfache Verlinkung zu Facebook – keine Weitergabe von Nutzerdaten
    – Beugt datenschutzrechtlichen Problemen vor
    – ABER urheberrechtliche Probleme (laut Nutzungsbedingungen von Facebook dürfen Logos nur im Zusammenhang mit der entsprechenden Funktionalität verwendet werden)
    – Ebenso wettbewerbsrechtliche Probleme (Irreführung der Verbraucher)
  • Integration des Like-Button in einem Container und Vorschaltung von JavaScript
    – Onclick Event (d. h. erst wenn der Nutzer klickt, wird der Button geladen)
    – Datenschutzrechtlich unproblematisch
    – Nutzung des Social Plugins verzögert sich etwas, ohne dass der Nutzer jedoch die Verzögerung bemerkt
  • Vorgeschalteter Layer, so dass der Nutzer dem Einsatz von Social Plugins aktiv zustimmen muss
    – Vorbeugung datenschutzrechtlicher, urheberrechtlicher und wettbewerbsrechtlicher Probleme
    – Jedoch umständliche, und nicht nutzerfreundliche Lösung

Gleiches gilt für die Like-Box – hier kann allerdings der angezeigte Feed auf die Pinnwand der zugrundeliegenden Fan Page beschränkt werden, ohne dass Nutzerbeiträge angezeigt werden.

Wir haben uns auch mit der Frage auseinandergesetzt, welchem Risiko der Nutzer denn tatsächlich ausgesetzt ist und was für ihn zumutbar, weil bekannt, oder unzumutbar, weil unwissentlich in Kauf genommen, ist:

  • Die Sammlung und Verwendung personenbezogener Daten ist in den AGB und Datenschutzerklärungen von Facebook und vieler anderer Netzwerke verankert
    – Der Nutzer stimmt den AGB und Datenschutzerklärungen bei der Registrierung aktiv zu, hat also vorab bereits die Möglichkeit, sich darüber zu informieren (auch wenn ohne Zweifel die Formulierungen manchmal etwas schwammig sind)
  • Der Besuch einer Seite mit Social Plugins trägt dazu bei, dass Facebook das Profil des Nutzers mit seinem Surfverhalten verbindet (passiv)
    – Der Nutzer kann vorab nicht erkennen, dass er sich auf eine Website bewegt, welche die Social Plugins verwendet
  • Durch das Betätigen des Like-Button unterstützen die Nutzer aktiv die Reichweitenmessung von Facebook
    – Der Nutzer betätigt den Button aus eigener Motivation heraus und bekommt die Verbindung zu Facebook durch die Anzeige der Aktivitäten seines Freundeskreises angezeigt

Wir präferieren nach intensiver Betrachtung die Option des OnClick-Events für den Like-Button und die Einschränkung des Feeds bei der Like-Box und sind zuversichtlich, damit allen datenschutzrechtlichen Anforderungen im Sinne unserer Kunden und der Nutzer gerecht werden zu können.

Bis zu einer endgültigen Entscheidung werden wir diese Option allerdings nur als Ausweichmöglichkeit in Betracht ziehen und bis dahin die Social Plugins wie üblich integrieren und die Datenschutzhinweise entsprechend anpassen. Aus unserer Sicht sollte die oberste Aufgabe die Aufklärung der Nutzer sein, denn die o.g. Risiken betreffen nicht nur Facebook, sondern eine Vielzahl weiterer Plattformen und Communities.

Was jedoch die zweite Forderung des ULD nach Schließung aller Unternehmensseiten auf Facebook anbelangt, gibt es derzeit keine Alternative – hier muss die zukünftige Rechtsprechung abgewartet werden.

Man hat das Gefühl, dass mit einem über 20 Jahre alten Datenschutzgesetz versucht wird, gegen ein Phänomen vorzugehen, das das Internet in den letzten Jahren zu dem gemacht hat, was es heute ist, ein soziales, offenes, demokratisches und collaboratives Konstrukt namens Social Web.

ohne all die sozialen Verknüpfungen und semantischen Beziehungen würde das Social Web nicht mehr funktionieren und die Entwicklung der letzten 10 Jahre wäre auf einen Schlag obsolet. Alle, auch das ULD, dürfen nicht nur die latent vorhandenen Risiken und Probleme betrachten, sondern müssen sich auch den Chancen und dem Potential öffnen, was nicht zuletzt bedeutet, veraltete Gesetzte und Richtlinien der neuen Zeit anzupassen und mit der Zeit zu gehen. Der Schutz der persönlichen Daten ist ein wichtiges und hochgradig relevantes Thema, allerdings darf es nicht darin enden, dass dem Nutzer jegliche Mündigkeit im Umgang mit dem Social Web abgesprochen wird.

 

Update am 30.09.11: Das ULD beharrt trotz der Dialogbereitschaft Facebook´s und den Gesprächen mit dem Bundesinnenminister auf seinem Standpunkt und will „…ausgewählte öffentliche und private Anbieter in Schleswig-Holstein im Oktober zu Stellungnahmen auffordern und Verwaltungsverfahren einleiten.“, so Thilo Weichert, Leiter der Behörde. Welche Betreiber nun ausgewählt werden, hat er nicht gesagt – es war zuerst auch immer von allen Betreibern aus Schleswig-Holstein die Rede. Insofern ist man nun schon etwas verwundert und kann gespannt sein, nach welchen Kriterien die Unternehmen ausgewählt werden.

Pressemitteilung ULD vom 30.09.11