Die Reaktion folgte dementsprechend prompt. Der in Sachen Facebook federführende Landesbeauftragte für den Datenschutz aus Schleswig-Holstein, Thilo Weichert, äußerte nach der Ankündigung umgehend seine Bedenken. Sein erstes Fazit, er fände die angekündigte Suche nicht toll, sei als persönliche Meinung respektiert, aber ist es auch tatsächlich datenschutzrechtlich begründet?

So zitiert die FAZ den Datenschützer mit den Worten:

“Die Suchfunktion, die wir vom Internet kennen, wird jetzt in den Freundeskreis hineingezogen, mit der Folge, dass hochsensible Informationen auch Dritten zur Kenntnis gelangen. [...] Hier wird definitiv ein weiterer Eingriff ins Datenschutzrecht vorgenommen, der meines Erachtens nicht akzeptabel ist.”

Gemeint sind damit künftig mögliche Suchen, die auf persönlichen Daten beruhen, etwa die Suche “Bars in Stuttgart, die meinen Freunden und deren Bekannten aus Stuttgart gefallen”. Dem Zitat von Weichert folgend wird man als Nutzer künftig Informationen Dritter erhalten, die einem bislang nicht zugänglich waren. Das wäre natürlich ein dicker Hund, wenn künftig Hinz und Kunz wüssten, welche Bars mir gefallen und was ich damit in Verbindung bringe.

Aber ist das wirklich so? Der Facebook Public Policy Manager Nicky Jackson Colaco wurde genau dazu interviewt und seine Antwort:

“No one can see anything that they wouldn’t have otherwise been able to see. [...] We don’t want people to be surprised. It’s really bad for them … and it’s bad for us.”

Facebook ist sich also bereits durchaus bewusst, dass die neue Suche bei Bedenkenträgern nicht auf Gegenliebe stoßen wird. Festzuhalten bleibt, dass sich die neue Graph Search an den Privatsphäre Einstellungen der einzelnen Nutzer hält und somit Suchergebnisse durch diese beeinflusst werden. Wenn ich engen Freunden mitteile, welche Bars mir in Stuttgart gefallen, dann erhalten nur diese meine Empfehlung in ihrer Suche angezeigt. Entfernte Bekannte oder gar Dritte, die mit mir auf Facebook nicht befreundet sind, sondern lediglich “Freunde von Freunden” sind, erhalten diese Empfehlung hingegen nicht. Anders als das Zitat von Thilo Weichert es vermuten lässt, ermöglicht Graph Search keinen unkontrollierten Zugriff auf (weitere) personenbezogene Daten durch Dritte. Insoweit findet keine weitergehende Weitergabe personenbezogener Daten statt als bisher. Es wird höchsten leichter die Informationen zu finden.

Dies bedeutet nicht, dass die neue Suche nicht überraschende oder gar unangenehme Folgen für Nutzer haben kann. So zeigen erste Versuche, das gerade Facebook Nutzer, die unbedarft und unüberlegt ihre Likes im Netz verteilen, durch die Suche in misslichem Kontext dargestellt werden können, wie etwa Gizmodo aufgezeigt hat. Die neue Graph Search verdeutlicht damit eindrucksvoll, was auch bisher schon als Maxime auf Facebook zu beachten war: Think before you post or like!

Facebook bietet dank der vielen Proteste zum Datenschutz mittlerweile umfangreiche Möglichkeiten an, um Informationen nur ganz gezielt einzelnen Personen zugänglich zu machen oder diese wieder zu entfernen. Es sollte daher jeder vor der Einführung der Graph Search sein eigenes Profil genau unter die Lupe nehmen und ggf. missliche Posts, Bilder oder Likes entfernen.

Der oben zitierte Vorwurf ist jedoch nach den bisherigen Aussagen Facebooks nicht begründet. Facebook Nutzer werden allerdings künftig stärker denn je darauf achten müssen, welche Inhalte sie mit wem auf Facebook teilen, denn die Graph Search wird ein altes Sprichwort in seiner ganzen Härte verdeutlichen: Das Internet vergisst nicht.

Die Einführungseite sowie der Bericht von wired über die Entstehung von Graph Search lassen erahnen, was Graph Search alles ermöglichen wird. Graph Search ist letztlich nichts anderes als eine Suche durch alle dem Facebook-Nutzer zugänglichen Informationen auf Facebook. Der “Graph” bezieht sich dabei auf den von Facebook gehegten und gepflegten “Social Graph”, der sämtliche Interaktionen auf Facbeook zu einer Person sammelt und diese mit anderen verknüpft. Graph Search ermöglicht nun sämtliche freigegebenen Inhalte auf Facebook nach beliebigen Kriterien zu durchsuchen. Als Ergebnis erhält man Empfehlungen von Restaurants, Bars, die Freunden gefallen haben oder die Freunde häufig besucht haben. Auch Bilder die Freunde (und gar Freunde von Freunden?) hochgeladen haben, lassen sich künftig wohl einfachst durchsuchen.

Postprivacy-Anhänger liegen sich jubelnd in den Armen, während die Freude im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein merklich kühler ausfallen dürfte, denn mit Graph Search werden sicherlich einige datenschutzrechtlichen Diskussionen wieder angeheizt.

Die Anwendungshinweise des LDA erklären die einzelnen, teilweise verschachtelten (oder gar versteckten?) Zulässigkeitsvoraussetzungen für die Verwendung personenbezogener Daten gut. Zwar lassen die Hinweise auch weiterhin Interpretationspielraum an der einen oder anderen Stelle zu, sind jedoch bereits eine erste Hilfe für alle Werbetreibenden. Leider sind die datenschutzrechtlichen Anforderungen nur die eine Seite der Medaille. Die andere Seite, die wettbewerbsrechtlichen Voraussetzungen, die sich nicht mit den datenschutzrechtlichen Anforderungen decken, werden leider nur am Rande erwähnt.

You’ve got to find what you love. And that is as true for your work as it is for your lovers. Your work is going to fill a large part of your life, and the only way to be truly satisfied is to do what you believe is great work. And the only way to do great work is to love what you do.
Steve Jobs

Man stelle sich folgendes Format vor:

Ein bekannter Kabarettist  bzw. Comedian fährt in (s)einem Auto durch die Stadt, ruft spontan einen Kollegen an und lädt ihn auf einen Kaffee ein. Er holt ihn ab und sie fahren zum nächsten Café.

Klingt langweilig? Bei der Vorstellung an deutsche Comedians eine eher unerträgliche Vorstellung? Nun… in den USA ist der Comedian natürlich Jerry Seinfeld und damit eine größere Garantie für feinen Humor. Die Autos sind gepflegte Oldtimer und das Ganze ist mit viel Liebe zum Detail in Szene gesetzt. Die Gäste? Schauspieler und Comedians wie Alec Baldwin oder Ricky Gervais. Das Ergebnis sind unterhaltsame Interviews mit dem Titel “Comedians in Cars getting Coffee“.

Hier eine Preview:

Vielen Dank an Frau Dr. Buchem für diese Gelegenheit.

Google zeigt sich jedoch unbeeindruckt und spielt auf Zeit. Da Politik und Datenschützer sich die Zähne ausbeißen, ist der Internet-Nutzer auf sich alleine gestellt. Er hat die Wahl:

1. Die Profilbildung und umfangreiche Datensammlung akzeptieren
2. Seine Google Accounts bis heute “aufzuräumen” etwa die Web-Historie oder bei Youtube oder
3. Man löscht zusätzlich seinen gesamten Google Account

Ich habe mich heute für die dritte Alternative entschieden. Nicht weil ich in Google den großen übermächtigen “evil” Feind sehe, sondern weil ich auch künftig Herr meiner personenbezogenen Daten bleiben will. So oder so eine Herausforderung. Gerade im Internet. Aber dazu am Ende mehr.

Ich war nie ein großer Nutzer der registrierungspflichtigen Google Dienste. Der GMail-Account war hauptsächliche Newsletter-Grab, Googles Geisterstadt+ hatte ich bereits vor einigen Tagen verlassen, da nach einer anfänglichen Neugier der Mehrwert eines zusätzlichen SocialMedia Accounts schnell verpufft war.

Google bietet alles in allem gute Produkte an, doch wen man mal anfängt sich das Google Dashboard genauer anzusehen, dann findet man viele Daten und Altlasten. Google hat ohne Zweifel bereits heute jede Menge personenbezogene Daten über mich. Aber will ich, dass Google all diese Daten, die teilweise bis 5-6 Jahre alt sind, zu einem Profil verknüpft und anhand dieser Daten Werbung und Suchergebnisse personalisiert? Gerade die mit Google+ eingeführte personalisierte Suche bietet dabei das Potential die Informationsfreiheit des Nutzers einzuschränken, wenn dies in einiger Zeit mal anhand des eigenen Profils erfolgen könnte… eine (für mich) beunruhigende Entwicklung.

Das große Problem bei der künftigen Datenhandhabe, bei der eh schwer überschaubaren Datenerhebung wird es wohl künftig noch viel schwieriger (etwa durch das Löschen von Altdaten) die Personalisierung zu beeinflussen oder gar abzuschalten. Das ist allerdings Voraussetzung dafür, dass ich als Nutzer, Herr meiner personenbezogenen Daten bleibe. Ich muss die Entscheidungsfreiheit haben, welche personenbezogenen Daten von mir, von wem, zu welchem Zweck und wie lange verwendet werden. Um Herr seiner Daten  zu bleiben, sollte man sich zudem nicht in die (unfreiwillige) Abhängigkeit eines übermächtigen Diensteanbieters begeben. Googles Dienste sind gut, aber sie sind nicht unersetzbar. Die Entscheidung war daher schnell getroffen.

Ein Leben ohne Google? Bislang fühlt es sich gut an.

Das große Thema des Jahres war allerdings der Streit zwischen Facebook und dem schleswig-holsteinischen Datenschutzbeauftragten Weichert. Nach Auffassung des Datenschützers ist der Einsatz von Facebook Seiten und des Like-Buttons datenschutzrechtlich unzulässig, da hier bereits mit der IP-Adresse personenbezogene Daten in unzulässiger Weise erhoben und verarbeitet würden. Weichert bringt damit die alte Diskussion über den Personenbezug von IP-Adressen wieder in volle Fahrt. Aber auch die Frage der Verantwortlichkeit bei der Erhebung von Daten über iFrames wird dabei neu thematisiert.

Beide Fälle haben verdeutlicht, dass es nicht darum geht, komplexe technische Sachverhalte datenschutzgerecht abzubilden oder lange bestehende Rechtsfragen gerichtlich zu klären, sondern über medienwirksame Aktionen eigene Rechtsansichten durchzusetzen. Ob dies auf Dauer erfolgreich sein wird, bleibt abzuwarten. Mit dem Ergebnis von Google Analytics vor Augen, sollte man jedoch nicht allzu viel Klarheit im Datenschutzrecht erwarten.

Währenddessen schreiten technische Entwicklung und Nutzergewohnheiten unbeirrt fort, ohne dem Anschein nach große Rücksicht auf Datenschutz zu nehmen. Insbesondere im Bereich der Smartphones nehmen die Datensammlungen von Geräteherstellern, Netzprovidern und App-Anbietern drastisch zu. Beispielhaft wurde hier etwa die Datensammlung des beliebten Messengers Whats App analysiert. Aber weitere Dienste sind auf dem Weg und bieten hohes Konfliktpotential mit dem Datenschutz. Der große Hype seit Einführung des iPhone 4S sind ganz klar Spracherkennung und -steuerung. Apple hat mit Siri eindrucksvoll gezeigt, wie mächtig eine sprachliche Steuerung von Geräten sein kann und auf der CES stellen weitere Hersteller ähnliche Steuerungen vor, egal ob Smartphone, Computer oder TV.  Was ist an Sprachsteuerung datenschutzrechtlich problematisch? In vielen Fällen, erfolgt die Analyse des Sprachbefehls nicht auf dem jeweiligen Gerät sondern in mächtigen Rechenzentren, wo die gesprochenen Befehle zudem gespeichert werden.

Die Sprachsteuerung scheint dabei allerdings nur ein erster Schritt bei der “Vermenschlichung” und persönlichen Bindung von technischen Geräten zu sein. Gesichtserkennung und umfangreiche Profilbildung, mit denen Dienste den Nutzer unabhängig vom genutzten Gerät erkennen, nehmen am Horizont bereits Anlauf. Die Datenschutz relevanten Entwicklungen nehmen daher rasant zu. Die Diskussion über die Entwicklung des Datenschutzes wird dabei dem Anschein nach zunehmends radikaler. Auf der einen Seite scheinen Nutzer bereit zu sein, mehr Daten von sich Preis zu geben um die neuartigen Dienste, die auch eine Erleichterung des Alltags sein können, zu nutzen. Auf der anderen Seite wird mit einem veralterten Datenschutz argumentiert, der letztlich zu einem Verbot solcher Entwicklungen führt.

Datenschützer, Bürger und Politiker müssen sich offen den Entwicklungen stellen und hinterfragen ob Datenschutz als Verbotsgesetz noch zeitgemäß ist, oder ob damit mittlerweile nicht eine Bevormundung der Bürger erfolgt und die geschützte persönliche Handlungsfreiheit nicht bereits unzulässig eingeschränkt wird.

Unter den Fragen findet man den Einwand, dass die kritisierte Einbindung des Like-Buttons, nicht nur diesen betrifft sondern eine Reihe von Diensten (etwa Youtube).  Die Antwort von Herrn Weichert: Die in diesen Fällen verwendete iFrames Technologie stelle ein Fall der Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Diese Auffassung ist meines Erachtens nicht nur gewagt, sondern auch nicht mit dem rechtlichen Gedanken der Auftragsdatenverarbeitung vereinbar. Warum?

Zunächst muss man sich klar machen, was ein iFrame überhaupt ist? Letztlich handelt es sich um eine Weiterentwicklung der seit den Anfangstagen des Internets bekannten (und rechtlich viel diskutierten) Frame-Technolgie. Der Einzige Unterschied besteht darin, dass der fremde Seiteninhalt nicht als Teil einer Tabelle geladen wird, sondern als Objekt. Vergleichbar mit einem Bild. Darüberhinaus besteht die Möglichkeit ganz präzise bestimmte Inhalte (statt ganze Webseiten) einzubinden. Insoweit ist der iFrame kein “Novum” sondern kann auch im Hinblick auf die juristische Bewertung, als Fortentwicklung von Frames (mit allen Vor- und Nachteilen) gesehen werden.

Was bedeutet das für die datenschutzrechtliche Beurteilung? Frames standen aus juristischer Sicht insbesondere wegen der Zueigenmachung fremder Inhalte in der Diskussion. Datenschutzrecht spielte dabei keine oder nur eine äußerst untergeordnete Rolle. Eine Auftragsdatenverarbeitung findet jedoch bei einem klassischen Frame nicht statt, allein weil im Zweifel der Betreiber der per Frame eingebundenen Webseite davon keine Kenntnis hat und damit auch keine Daten im “Auftrag” verarbeitet. Das mag bei Social Plugins etwas anders sein, da diese Webseitenbetreibern gerade zum Zwecke der Einbindung angeboten werden.

Eine Auftragsverarbeitung findet dennoch nicht statt, da die Grundvoraussetzung der Auftragsdatenverarbeitung nicht gegeben ist. Damit eine Auftragsdatenverarbeitung vorliegt, muss der Auftragsdatenverarbeiter die personenbezogenen im Auftrag und auf Weisung des Auftraggebers verarbeiten. Der Auftragnehmer hat nur eine Hilfs- und Unterstützungsfunktion und ist bei der Verarbeitung von den Vorgaben des Auftraggebers abhängig  (So etwa Wedde in Däubler/Klebe/Wedde/Weichert,(!) Kommentar zum BDSG, § 11, Rn. 5). Anders gesagt, die Auftragsdatenverarbeitung scheidet zwangsläufig aus, sobald die verarbeitende Stelle ein eigenes Interesse an der Verarbeitung und diese (Weiter-) Verarbeitung auch eigenständig durchführt.

Gerade dies ist jedoch bei den Social Plugins der Fall. Weder Facebook noch YouTube verarbeiten personenbezogene Daten streng im Auftrag des Webseitenbetreibers und schon gar nicht als Hilfs- oder Unterstützungsfunktion. Im Gegenteil. Sie verarbeiten diese im eigenen Interesse und ohne jeglichen Einfluss des Webseitenbetreibers. Dieser mag zwar “Zweckveranlasser” sein, da dieser Begriff dem Datenschutzrecht in seiner aktuellen Gestaltung fremd ist, macht dies den Webseitenbetreiber nicht automatisch zum Auftraggeber einer Auftragsdatenverarbeitung.

Eine Auftragsdatenverarbeitung wird daher beim Einsatz von iFrames regelmäßig ausscheiden. Nur in Einzelfällen wird möglicherweise eine Auftragsdatenverabeitung vorliegen.

Update: Henning Tillmann zeigt anschaulich, dass es sich hier nur um alten Wein in neuen Schläuchen handelt.