Das große Thema des Jahres war allerdings der Streit zwischen Facebook und dem schleswig-holsteinischen Datenschutzbeauftragten Weichert. Nach Auffassung des Datenschützers ist der Einsatz von Facebook Seiten und des Like-Buttons datenschutzrechtlich unzulässig, da hier bereits mit der IP-Adresse personenbezogene Daten in unzulässiger Weise erhoben und verarbeitet würden. Weichert bringt damit die alte Diskussion über den Personenbezug von IP-Adressen wieder in volle Fahrt. Aber auch die Frage der Verantwortlichkeit bei der Erhebung von Daten über iFrames wird dabei neu thematisiert.

Beide Fälle haben verdeutlicht, dass es nicht darum geht, komplexe technische Sachverhalte datenschutzgerecht abzubilden oder lange bestehende Rechtsfragen gerichtlich zu klären, sondern über medienwirksame Aktionen eigene Rechtsansichten durchzusetzen. Ob dies auf Dauer erfolgreich sein wird, bleibt abzuwarten. Mit dem Ergebnis von Google Analytics vor Augen, sollte man jedoch nicht allzu viel Klarheit im Datenschutzrecht erwarten.

Währenddessen schreiten technische Entwicklung und Nutzergewohnheiten unbeirrt fort, ohne dem Anschein nach große Rücksicht auf Datenschutz zu nehmen. Insbesondere im Bereich der Smartphones nehmen die Datensammlungen von Geräteherstellern, Netzprovidern und App-Anbietern drastisch zu. Beispielhaft wurde hier etwa die Datensammlung des beliebten Messengers Whats App analysiert. Aber weitere Dienste sind auf dem Weg und bieten hohes Konfliktpotential mit dem Datenschutz. Der große Hype seit Einführung des iPhone 4S sind ganz klar Spracherkennung und -steuerung. Apple hat mit Siri eindrucksvoll gezeigt, wie mächtig eine sprachliche Steuerung von Geräten sein kann und auf der CES stellen weitere Hersteller ähnliche Steuerungen vor, egal ob Smartphone, Computer oder TV.  Was ist an Sprachsteuerung datenschutzrechtlich problematisch? In vielen Fällen, erfolgt die Analyse des Sprachbefehls nicht auf dem jeweiligen Gerät sondern in mächtigen Rechenzentren, wo die gesprochenen Befehle zudem gespeichert werden.

Die Sprachsteuerung scheint dabei allerdings nur ein erster Schritt bei der “Vermenschlichung” und persönlichen Bindung von technischen Geräten zu sein. Gesichtserkennung und umfangreiche Profilbildung, mit denen Dienste den Nutzer unabhängig vom genutzten Gerät erkennen, nehmen am Horizont bereits Anlauf. Die Datenschutz relevanten Entwicklungen nehmen daher rasant zu. Die Diskussion über die Entwicklung des Datenschutzes wird dabei dem Anschein nach zunehmends radikaler. Auf der einen Seite scheinen Nutzer bereit zu sein, mehr Daten von sich Preis zu geben um die neuartigen Dienste, die auch eine Erleichterung des Alltags sein können, zu nutzen. Auf der anderen Seite wird mit einem veralterten Datenschutz argumentiert, der letztlich zu einem Verbot solcher Entwicklungen führt.

Datenschützer, Bürger und Politiker müssen sich offen den Entwicklungen stellen und hinterfragen ob Datenschutz als Verbotsgesetz noch zeitgemäß ist, oder ob damit mittlerweile nicht eine Bevormundung der Bürger erfolgt und die geschützte persönliche Handlungsfreiheit nicht bereits unzulässig eingeschränkt wird.

Unter den Fragen findet man den Einwand, dass die kritisierte Einbindung des Like-Buttons, nicht nur diesen betrifft sondern eine Reihe von Diensten (etwa Youtube).  Die Antwort von Herrn Weichert: Die in diesen Fällen verwendete iFrames Technologie stelle ein Fall der Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Diese Auffassung ist meines Erachtens nicht nur gewagt, sondern auch nicht mit dem rechtlichen Gedanken der Auftragsdatenverarbeitung vereinbar. Warum?

Zunächst muss man sich klar machen, was ein iFrame überhaupt ist? Letztlich handelt es sich um eine Weiterentwicklung der seit den Anfangstagen des Internets bekannten (und rechtlich viel diskutierten) Frame-Technolgie. Der Einzige Unterschied besteht darin, dass der fremde Seiteninhalt nicht als Teil einer Tabelle geladen wird, sondern als Objekt. Vergleichbar mit einem Bild. Darüberhinaus besteht die Möglichkeit ganz präzise bestimmte Inhalte (statt ganze Webseiten) einzubinden. Insoweit ist der iFrame kein “Novum” sondern kann auch im Hinblick auf die juristische Bewertung, als Fortentwicklung von Frames (mit allen Vor- und Nachteilen) gesehen werden.

Was bedeutet das für die datenschutzrechtliche Beurteilung? Frames standen aus juristischer Sicht insbesondere wegen der Zueigenmachung fremder Inhalte in der Diskussion. Datenschutzrecht spielte dabei keine oder nur eine äußerst untergeordnete Rolle. Eine Auftragsdatenverarbeitung findet jedoch bei einem klassischen Frame nicht statt, allein weil im Zweifel der Betreiber der per Frame eingebundenen Webseite davon keine Kenntnis hat und damit auch keine Daten im “Auftrag” verarbeitet. Das mag bei Social Plugins etwas anders sein, da diese Webseitenbetreibern gerade zum Zwecke der Einbindung angeboten werden.

Eine Auftragsverarbeitung findet dennoch nicht statt, da die Grundvoraussetzung der Auftragsdatenverarbeitung nicht gegeben ist. Damit eine Auftragsdatenverarbeitung vorliegt, muss der Auftragsdatenverarbeiter die personenbezogenen im Auftrag und auf Weisung des Auftraggebers verarbeiten. Der Auftragnehmer hat nur eine Hilfs- und Unterstützungsfunktion und ist bei der Verarbeitung von den Vorgaben des Auftraggebers abhängig  (So etwa Wedde in Däubler/Klebe/Wedde/Weichert,(!) Kommentar zum BDSG, § 11, Rn. 5). Anders gesagt, die Auftragsdatenverarbeitung scheidet zwangsläufig aus, sobald die verarbeitende Stelle ein eigenes Interesse an der Verarbeitung und diese (Weiter-) Verarbeitung auch eigenständig durchführt.

Gerade dies ist jedoch bei den Social Plugins der Fall. Weder Facebook noch YouTube verarbeiten personenbezogene Daten streng im Auftrag des Webseitenbetreibers und schon gar nicht als Hilfs- oder Unterstützungsfunktion. Im Gegenteil. Sie verarbeiten diese im eigenen Interesse und ohne jeglichen Einfluss des Webseitenbetreibers. Dieser mag zwar “Zweckveranlasser” sein, da dieser Begriff dem Datenschutzrecht in seiner aktuellen Gestaltung fremd ist, macht dies den Webseitenbetreiber nicht automatisch zum Auftraggeber einer Auftragsdatenverarbeitung.

Eine Auftragsdatenverarbeitung wird daher beim Einsatz von iFrames regelmäßig ausscheiden. Nur in Einzelfällen wird möglicherweise eine Auftragsdatenverabeitung vorliegen.

Update: Henning Tillmann zeigt anschaulich, dass es sich hier nur um alten Wein in neuen Schläuchen handelt.

Datenschutzirrsinn bezeichnet eine Maßnahme, die unter der Maßgabe eines vermeintlichen Datenschutzes und/oder mit Zustimmung einer Aufsichtsbehörde erfolgt,  ohne dabei praktikabel zu sein und den Anforderungen des Datenschutzrechts zu genügen.

Ein gutes Beispiel ist die gestern bekannt gewordene “Lösung” im Streit um Google Analytics. Wie gestern schon geschrieben ist das Einlenken des hamburgischen Datenschutzbeauftragten zu begrüßen, doch nach der ersten Freude und einem genauen Blick in die Vorgaben, reibt man sich verwundert die Augen. Die “Lösung” wirft mehr datenschutzrechtliche Fragen auf, als dass sie sie lösen würde. Hier ein paar Punkte, warum die vorgeschlagene Lösung als Datenschutzirrsinn bezeichnet werden kann:

• Zunächst verwundert, dass der Landesdatenschutzbeauftragte die Browser-AddOn Lösung für datenschutzkonform hält, wenn 90% aller Desktop Browser und kein Mobiler Browser davon erfasst sind. Auch wenn eine große Mehrheit der Internetnutzer damit die Möglichkeit hat, von der Profilbildung nach § 15 Abs. 3 TMG zu widersprechen, so ist sie doch nicht jedem möglich. Hier erfolgt mit Zustimmung der Aufsichtsbehörde eine Aufweichung der Anforderungen. Es bleibt abzuwarten, ob wirklich alle Aufsichtsbehörden dem folgen und ob dies einer gerichtlichen Prüfung stand halten würde.

• Nach Aussage von Google und dem Landesdatenschutzbeauftragten wird bei der IP-Adresse  ”das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht (…), so dass darüber keine Identifizierung des Nutzers mehr möglich ist.”  Das ist, der Definition aus § 3 Abs. 6 BDSG folgend, eine Anonymisierung. Mit erfolgter Anonymisierung ist ein Personenbezug nicht mehr herstellbar und daher keine datenschutzrechtliche Zulässigkeit für die weitere Verarbeitung erforderlich. Es verwundert, warum dann allerdings gleichzeitig eine Vereinbarung über die Auftragsdatenverarbeitung mit Google abschlossen werden soll. Einzig einleuchtende Begründung hierfür, wäre die Tatsache, dass die Anonymisierung nicht auf der jeweiligen Webseite direkt erfolgt, sondern nach Übermittlung an Google aber bevor die anonymisierte IP-Adresse für Google Analytics verarbeitet wird. Schaut man in die Mustervereinbarung von Google, erfährt man überrascht, dass sich diese nicht nur auf den Anonymisierungsvorgang bezieht sondern die Analyse durch Google Analytics insgesamt. Da “Kundendaten” neben der IP-Adresse auch Cookie-Informationen enthält, stellt sich die Frage, welchen Personenbezug durch diese Cookies hergestellt werden kann und warum, in Abweichung der IP-Adresse, hier keine Anonymisierung vor der Erhebung, Verarbeitung und Nutzung erforderlich sein soll.

• Am überraschensten erscheint jedoch, dass die Mustervereinbarung die Zustimmung der Aufsichtsbehörde erhalten hat, da sie wohl den Anforderungen aus § 11 Abs. 2 BDSG nicht gerecht wird. So vermisst man Angaben über Dauer der Auftragsdatenverarbeitung und die Art der verarbeiteten Daten ist nur vage umschrieben und führt nur “insbesondere” konkrete Beispiele auf. Auch die Anforderungen an die Kontrollrechte entsprechen nicht der bisherigen Auffassung und der Intention des Gesetzgebers. Es bleibt daher abzuwarten, ob sich diese Erleichterung der Kontrollrechte wirklich durchsetzt.

• Arg verwunderlich ist auch die Einschränkung der Einzelweisungen durch den Auftraggeber. Diese kann der Auftraggeber nur erteilen, wenn er die zur Durchführung von Google veranschlagten Kosten begleicht. Dadurch, dass der Auftragnehmer die Kosten für die Durchführung einer Weisung des Auftragnehmers frei bestimmen kann, wird letztlich die Weisungsgebundenheit ausgehebelt und der Sinn der Auftragsdatenverarbeitung ad absurdum geführt. Es ist erstaunlich, dass dies die Zustimmung des Landesdatenschutzbeauftragten gefunden hat.

Was war der Vorwurf und wie ist er nun gelöst worden?

Google Analytics wurden drei Dinge vorgeworfen: Einerseits IP-Adressen ohne die nach Ansicht der Aufsichtsbehörden erforderlichen Einwilligung in die USA zu übermitteln. Andererseits war der Vorwurf, Google würde Profile im Sinne von § 15 Abs. 3 TMG erstellen ohne eine ausreichende Widerrufsmöglichkeit zu bieten. Schließlich sei Google Analytics ein klassischer Fall der Auftragsdatenverarbeitung der den Anforderungen des § 11 BDSG nicht genüge.

Bereits vor einigen Monaten hatte Google nachgebessert und ein Opt-Out Plugin sowie eine Anonymisierungsmöglichkeit vorgestellt. Beide waren jedoch weiterhin als unzureichend angesehen worden, da einerseits nicht alle Browser erfasst wurden und die IP-Adressen erst nach Übermittlung in die USA anonymisiert wurden.

Nun hat Google anscheinend drei Dinge geändert:

1. Google bietet nun für alle gängigen Browser AddOns an
2. Die Daten werden in Europa anonymisiert
3. Google schließt mit Kunden eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung nach § 11 BDSG

Das klingt alles schön und gut. Der reinen Lehre folgend wid man sich jedenfalls hinsichtlich der ersten Lösung verwundert die Augen reiben. Sowohl Google als auch der Landesdatenschutzbeauftragte geben zu, dass alle gängigen Desktop-Browser eine Opt-Out Lösung bieten (IE, Firefox, Chrome, Safari und Opera). Da weder Spartenbrowser noch Smartphones und TabletPCs hiervon erfasst sind, ist jedenfalls mit solchen Geräten ein Widerspruch nach § 15 Abs. 3 TMG weiterhin nicht möglich. Erstaunlich, dass dies jedoch hier als vernachlässigbar angesehen wird.

Die Vereinbarung zur Auftragsdatenverarbeitung ist zudem ein noch nie dagewesenes Novum. Wie Kollege Ferner schreibt, bleibt abzuwarten, ob dies eine abschreckende Hürde für Nutzer darstellt.

Update 13:40: Der Kollege Stadler hat sich bereits die Zeit genommen, die Vereinbarung zur Auftragsdatenverarbeitung genau anzuschauen und auch deren Erforderlichkeit hinterfragt. Da eine Anonymisierung allerdings erst NACH einer Übermittlung an Google (unklar bleibt ob Google Deutschland, Google Inc. oder eine andere Gesellschaft des Konzerns gemeint ist) erfolgt, ist insoweit weiterhin eine Datenschutzerklärung und wohl auch die Vereinbarung zur Auftragsdatenverarbeitung erforderlich.

Update: Einer vertieften Analyse habe ich einen gesonderten Blogpost gewidmet.

eine Massnahme oder eine Sammlung von Massnahmen, die den gefühlten Schutz von Daten verbessern ohne dabei die Daten funktional vor Ge- oder Missbrauch zu schützen.

Das halte ich nicht für “Theater” sondern reinen Populismus, dennoch ist der Begriff des “Datenschutztheaters” durchaus treffend, wenn man sich aktuelle Diskussionen um den Datenschutz ansieht. Ich würde noch ein prominentes Beispiel dazu packen: Den heise 2-Klick Button (dazu mehr in diesem Blogbeitrag). Der heise Verlag hat eine datensparsame Lösung für die Einbindung von Social Media Plugins präsentiert, die gefühlt den Schutz von Daten verbessert, das rechtliche Problem aber lediglich um einen Klick verzögert.

Die Liste der Datenschutztheater ließe sich wohl endlos fortsetzen, aber wie kommt es regelmäßig zu solch einem Datenschutztheater? Zu Beginn des Datenschutztheaters steht regelmäßig ein Verstoß gegen Datenschutzrecht. Dieser wird durch Aufsichtsbehörden oder in der Öffentlichkeit heftig kritisiert. Die Kritik der Aufsichtsbehörden erfolgt dabei regelmäßig durch Stellungnahmen auf Landes-, Bundes- oder gar EU-Ebene durch Gremien wie der Düsseldorfer Kreis oder die Art. 29 Datenschutzgruppe. Selten wird ein angeprangerter Verstoß durch eine Aufsichtsbehörde auch tatsächlich auch sanktioniert.

Schlechte Publicity sind im Datenschutz derzeit ein schärferes Schwert als Bußgelder und Untersagungsverfügung. Das führt dazu, dass Lösungen regelmäßig zwischen Wirtschaft und Aufsichtsbehörden “ausgehandelt” werden, ohne dabei zu wirklich datenschutzrechtlich sauberen Lösungen zu führen, die man als Datenschutztheater bezeichnen kann. Aus Sicht der betroffenen Unternehmen ist dies durchaus nachvollziehbar, denn gerichtliche Verfahren dauern lange und sorgen dementsprechend lange für schlechte Presse. Es gibt jedoch auch Datenschutztheater (etwa Google Analytics oder Facebook) da hat man den Eindruck, dass auch die Aufsichtsbehörden eine gerichtliche Klärung scheuen und lieber halb gare Lösungen akzeptieren, statt die eigene Rechtsauffassung durchzusetzen.

Das führt jedoch dazu, dass gerade auf dem Bereich des Datenschutzrechts keine oder kaum belastbare Rechtsprechung existiert, welches zur Klärung der offenen Streitthemen im Datenschutz beiträgt. Es werden daher noch viele Datenschutztheater folgen.

Frage: Was ist so schlimm am Like-Button?

Thilo Weichert: Der Button tut nicht körperlich weh. Das Anclicken des Buttons löst aber Datenverarbeitungen aus, die für die Nutzenden weder transparent noch selbstbestimmt sind. Es geht um das Setzen eines Cookies, um die Profilierung mit Hilfe des Cookies bei Facebook/USA und die kommerzielle oder sonstige Nutzung dieser Profile, worüber Facebook nicht ansatzweise Informationen herausgibt. Das verstößt gegen das deutsche Telemediengesetz und gegen die europäische E-Privacy-Directive. In diesen Verstößen liegen unzweifelhaft Verletzungen des Grundrechts auf informationelle Selbstbestimmung der Betroffenen.

Es geht also um das “Klicken” des Like-Buttons, was ein Cookie setzt.  Das klang bislang noch ganz anders und würde sämtliche (für einen Datenschutzhardliner unzureichenden) 2-Klick-Lösungen überflüssig machen. Da ich die mir aufdrängende Frage schon gestellt habe, frage ich lieber: Woher kommt der Sinneswandel?

1. 2-Klick-Lösungen fördern die Datensparsamkeit

2.Klick-Lösungen haben datenschutzrechtlich einen entscheidenden Vorteil. Sie fördern die Datensparsamkeit im Sinne von § 3a BDSG. Anders als bei der direkten Einbindung von Social Media PlugIns werden (personenbezogene) Daten nicht bereits bei Aufruf der Webseite an die jeweiligen Social Media Anbieter übermittelt, sondern erst nachdem durch einen ersten Klick die Social Media Buttons geladen werden. Der Webseitenbesucher hat es also in der Hand, ob eine solche Übermittlung stattfindet, oder ob er für die Social Media Anbieter unbemerkt auf der Seite bleiben will.

Ist durch die so erreichte Datenvermeidung und -sparsamkeit nicht das Problem behoben worden? Dies mag im ersten Augenblick so erscheinen, doch die Kritik des ULD richtet sich im Kern nicht dagegen, dass die Daten überhaupt erhoben werden, sondern dass sie ohne die erforderliche Einwilligung des Nutzers erhoben werden.

2. Erteilt der Nutzer mit dem 1. Klick nicht seine Einwilligung?

Die Anbieter der Social Media PlugIns sind regelmäßig US-amerikanische Unternehmen und erheben und verarbeiten die (personenbezogenen) Daten auf den eigenen Servern in den USA. Da die USA nicht den gleichen Datenschutz gewährleistet, wie die Mitgliedsstaaten in der Europäischen Union, ist eine Übermittlung nach § 4b BDSG regelmäßig nur mit Einwilligung möglich. (So jedenfalls, im Ergebnis das ULD.) Doch die Erteilung der Einwilligung ist an strenge Vorgaben geknüpft (§4a BDSG, § 13 Abs. 2 TMG). Unerlässlich ist, dass der Nutzer vor der Erteilung seiner Einwilligung klar und verständlich darüber aufgeklärt wird welche Daten, durch wen und zu welchem Zweck erhoben, verarbeitet und genutzt werden.

Trotz der vollmundigen Ankündigungen des heise-Verlags muss man an dieser Stelle klar sagen, dass die dort gewählte Umsetzung leider alles andere als datenschutzkonform ist. Zwar wird in Pop-Ups und hinter weiteren Informations-Icons viel von Datenschutz geschrieben, doch die erforderliche Datenschutzerklärung für die einzelnen Dienste fehlt komplett. Insoweit kann ich mich dem Kollegen Ferner nur anschließen, dass hier noch dringend Nachholbedarf besteht.

Ein Problem bei allen 2-Klick-Lösungen bleibt jedoch weiterhin der Inhalt der Einwilligungserklärung. Denn nicht immer ist klar, welche Daten erhoben, verarbeitet und genutzt werden. Gerade bei Facebook sehen die Datenschützer Handlungsbedarf. Facebook gibt zum Like-Button immerhin in begrenztem Umfang Auskunft. Leider bleibt dabei der Verwendungszweck unklar.

3. Verstößt der 2-Klick-Button gegen die Nutzungsbedingungen von Facebook, Twitter oder Google?

Unterstellt man Facebook, Twitter und Google, dass jedenfalls ein Ziel der Social Media PlugIns dazu dient, umfangreiche Bewegungsprofile der Internetnutzer zu erhalten, drängt sich die Frage auf, ob 2-Klick-Lösungen überhaupt mit den Nutzungsbedingungen der PlugIns vereinbar sind. Schließlich wird die Datenübermittlung durch die Einführung des 2-Klick-Buttons jäh einbrechen. Die Beschwerde Facebooks wurde im Netz zunächst auch einhellig so interpretiert. Doch wie sieht es im Einzelnen aus?

Facebook Like-Button

Die Dokumentation zum Facebook Like-Button enthält keine Hinweise zu Einschränkungen hinsichtlich der Einbindung des Buttons, jedoch hält Facebook auch für Plattform-Nutzer umfangreiche Nutzungsbedingungen bereit. Doch diese geben keine Einschränkungen bei der technischen Einbindung des Like-Buttons vor. Hinzu kommt noch ein Verweis auf die Nutzungsrichtlinien für Facebook-Marken. Denn der Like-Button ist nicht nur technisches Werkzeug sondern gleichzeitig auch als Marke eingetragen. Hier wird zwar beschrieben, dass durch einen Klick Nutzer Inhalte auf Facebook teilen können. Hieraus ein Verbot von 2-Klick-Lösungen abzuleiten, ist wohl kaum belastbar. Allerdings wird deutlich, dass grafische Veränderungen des Like-Buttons nur begrenzt möglich sind. Dass sich Facebook daher an der ursprünglichen Variante des heise 2-Klick-Buttons stößt, war daher kaum verwunderlich.

Twitters Tweet-Button

Wie sieht es hingegen beim Tweet-Button aus? Letztlich vergleichbar. Twitter gibt den Nutzern dabei grundsätzlich die Möglichkeit den Tweet-Button auch lokal und angepasst zu verwenden. Auch die API-Terms lassen kein Verbot einer 2-Klick-Lösung durchblicken. Aber auch Twitter hält Entwickler und Seitenbetreiber dazu an, die Twitter-Marken und Buttons nicht oder nur unter bestimmten Voraussetzungen anzupassen. Bereits auf den ersten Blick wird ersichtlich, dass Twitter weniger restriktiv eingestellt ist, als etwa Facebook.

Googles +1-Button

Der Google +1 Button ist im Ergebnis mit dem Like-Button von Facebook vergleichbar. Google hat für den +1-Buttons eigene Nutzungsbedingungen, die  den Einsatz abschließend regeln. Der im Zusammenhang mit 2-Klick-Lösungen wichtigster Passus ist das Verbot den +1-Button weder zu verändern noch zu verschleiern. Damit wird eine grafische Umgestaltung, wie bei Facebook, nicht mit den Nutzungsbedingungen vereinbar sein. Hier sollte daher eine andere Darstellung gewählt werden. Fraglich bleibt, ob die 2-Klick-Lösung gleichzeitig auch eine “Verschleierung” im Sinne der Nutzungsbedingungen darstellt. Als Beispiel nennt Google die Verbindung des Buttons mit Werbeanzeigen. Eine Verschleierung wird daher bei 2-Klick-Lösungen regelmäßig nicht anzunehmen sein, wenn Sinn und Zweck der 2-Klick-Lösung deutlich wird.

4. Fazit

Im Ergebnis lässt sich festhalten, dass 2-Klick-Lösungen grundsätzlich empfehlenswert sind. Doch auch 2-Klick-Lösungen müssen sorgfältig implementiert werden. Dabei muss sowohl die datenschutzrechtliche Einwilligung richtig abgebildet werden und bei grafischen 2-Klick-Lösungen mögliche Beschränkungen durch die Social Media Anbieter beachtet werden.

In seinem Arbeitspapier schreibt das ULD zur Möglichkeit einer datenschutzkonformen Umsetzung mittels Einwilligung auf Seite 22:

“Aus dem oben Gesagten ergibt sich, dass die personenbezogen Datenverarbeitung bei Faceook  in keinem Fall durch eine nach deutschem bzw. europäischen Recht wirksame Einwilligung legitimiert werden kann.”

Und auf Seite23 stellt das ULD fest, dass aufgrund der Reichenweitenanalyse von Facebook Insights sowohl Fanpages als auch Social Plugins nicht datenschutzkonform sind:

“Wegen der Missachtung des in § 15 Abs. 3 TMG festgelegten Trennungsgebotes ist das Einbinden von Social-Plugins von Facebook in deutschen Webseiten und das Betreiben von “Facebook Insights” auf Fanpages innerhalb von Facebook unzulässig.”

Nach der anhaltenden Kritik hat das ULD nun Fragen und Antworten zu Facebook veröffentlicht. Darin liest der erstaunte Leser:

“Eine datenschutzkonforme Einbindung erfordert zurzeit, dass die Social-Plugins nur dann geladen werden dürfen, wenn die Nutzerin oder der Nutzer der mit der Einbindung von Social-Plugins verbundenen Übertragung personenbezogener Daten eingewilligt haben, § 13 Abs. 2 TMG. Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden.”

Noch bunter wird es schließlich zu den Ausführungen hinsichtlich der Fanpages. Diese sind nach der neuen Auffassung des ULDs auch weiterhin nicht datenschutzkonform nutzbar, da hier die datenschutzrechtlichen Anforderungen an die Reichenweitenanalyse durch Facebook Insights nicht realisiert werden können:

“ Dem ULD ist momentan keine Möglichkeit bekannt, Fanpages datenschutzkonform zu nutzen. Hierzu sind weitgehende Änderungen seitens Facebook notwendig. Insbesondere muss Facebook den Betreibern von Fanpages die Möglichkeit geben, die Erhebung von personenbezogenen Daten für die Erstellung der Reichweitenanalyse (Facebook Insights) abzuschalten. Weiterhin muss Facebook eine Funktion zur nutzerbezogenen Einwilligung in die Reichweitenanalyse schaffen bzw. Maßnahmen zur Umsetzung der Vorgaben des § 15 Abs. 3 TMG ergreifen.”

Der Verstoß gegen § 15 Abs. 3 TMG hindert den Einsatz von Fanpages. Trotz des gleichen Verstoßes bei Social Plugins (laut Arbeitspapier) können diese dennoch datenschutzkonform eingebunden werden. Ja was denn nun, Herr Weichert?

Update 23.08.11 18:30 Uhr: Das ULD hat nun die FAQ wie in den Kommentaren angekündigt überarbeitet. Statt der ursprünglichen Frage “Kann man Facebook Social-Plugins datenschutzkonform einbinden?”  (nachzulesen bei Kollege Dosch) lautet diese nun “Kann ein Webseitenbetreiber Facebook Social-Plugins so einbinden, dass die unkontrollierte Übertragung personenbezogener Daten verringert wird?”. Ergänzt wurde zudem die Anmerkung, dass eine Reduzierung der unkontrollierten Übertragung nichts an der Analyse zur fehlenden Einwilligung gegenüber Facebook ändert. Eine, aus meiner Sicht, zweifelhafte “Klarstellung”. Unabhängig von der rechtlichen Bewertung dieser Klarstellung konterkariert das ULD damit seine eigene Haltung:

Aus “Verboten! Sofort abschalten!” wird “Eigentlich ja nicht erlaubt, aber so ist es nicht ganz so schlimm (wir wollen doch nur spielen?)…”.

In einem neuen Absatz 8 wird fast Wort gleich die Passage der Richtlinie übernommen. Die Gesetzesbegründung verweist lediglich auf die Umsetzung der Richtlinie. Im Gegensatz zu den anderen Änderungen ist das ein Hinweis, dass sich mit dem Inhalt dieser Vorschrift keiner wirklich auseinandergesetzt hat. Es muss ja schließlich umgesetzt werden. Die Folge: Das Internet wird in Deutschland (und Europa) zur Popup-Hölle, denn anders wird der Einsatz von Cookies kaum noch möglich sein. § 13 Abs. 8 TMG-E verlangt, dass der Nutzer vor jedem Speichern von Daten auf einem Endgerät des Nutzers hierüber informiert werden muss und nur mit Einwilligung erfolgen darf. Das gleiche gilt natürlich auch bei dem Zugriff auf gespeicherte Daten.

Dies betrifft insbesondere die derzeit weit verbreiteten Cookies, aber wie Kollege Ferner zu Recht darauf hinweist, letztlich sämtlichen Datenzugriff eines Telemediendienstes auf das jeweilige Gerät. Wie die Richtlinie sieht auch § 13 Abs. 8 TMG-E eine Ausnahme von der Hinweis- und Einwilligungspflicht. Dies betrifft zum einen den Empfang von Nachrichten. Zum anderen soll eine Generalklausel unerlässliche Speicher- und Lesezugriffe erlauben.

Doch gerade diese Klausel ist nicht nur für Nichtjuristen kaum verständlich. Die Ausnahme ist an eine Reihe von Voraussetzungen geknüpft: Der Speicher-/Lesezugriff muss a) einen vom Nutzer ausdrücklich gewollten Telemediendienst betreffen und b) zu dessen Erbringung unbedingt erforderlich sein. In der Praxis ist das nicht umsetzbar. Beim Aufruf einer Homepage werden regelmäßig eine Vielzahl von Cookies abgefragt: Session-Cookies, Logindaten, Tracking-Cookies, Werbe/AdWords-Cookies, Social-Media-Cookies. Streng genommen handelt es sich hierbei um jeweils eigene Dienste die auf einer Homepage gebündelt werden. Nicht nur, dass die ausdrückliche Zustimmung hierfür kaum eingeholt werden kann, so scheitert jedenfalls die zweite Hürde. Die Erforderlichkeit.

Unglücklich ist in diesem Zusammenhang auch der Verweis auf die Informationspflicht “entsprechend” Abs. 1. Nach Abs.1 hat der Anbieter den Nutzer “zu Beginn eines Nutzungsvorgangs in allgemein verständlicher Form, leicht erkennbar und unmittelbar erreichbar” zu informieren.  Es stellt sich dabei zunächst die Frage, ist der Hinweis zu Beginn des Nutzungsvorgangs oder zu Beginn jeden Schreib-/Lesezugriffs erforderlich. Streng genommen handelt es sich hier nicht um einen Nutzungsvorgang, so dass eine entsprechende Anwendung des Abs. 1 auf den jeweiligen Zugriff auf das Endgerät abstellt. Hier besteht dringend Klärungsbedarf.

Ein schwacher Trost ist es, dass gerade die Änderungen in § 13 Abs. 1 TMG ansonsten begrüßenswert sind.

Datenschützer dürften über diese neuesten Entwicklungen im Hause Google entzückt sein, denn was kommt am ehesten einem Internet-Radiergummi nahe, als die Möglichkeit sich selbst aus der meistgenutzten Suchmaschine zu tilgen?

Doch das ganze hat einen Haken. Google hat zwar viele Informationen über mich, aber weiß letztlich nicht, dass der aktuelle Nutzer an diesem Rechner tatsächlich ich bin. Wer also, ähnlich wie bei Google StreetView, nicht will, dass eigene Daten bei Google auftauchen, muss Google erstmal mitteilen wer man eigentlich ist. Und das geht am besten (bzw. bei Me on the web nur) mit einem “Public Profile”:

Aus der “About Profiles” Seite entnimmt man den sachdienlichen Hinweis:

At a minimum, your first name, last name, and photo will be public on the Internet.

Um zu kontrollieren und einzuschränken welche informationen über mich im Netz erscheinen, muss ich bei Google zu erst ein öffentliches, für jeden sicht- und suchbares Profil anlegen. Da fallen mir spontan die gleichen Worte ein, wie einer Kollegin (in anderem Zusammenhang):

Ngggggggggggggg!!!!1!!elf!