Unter den Fragen findet man den Einwand, dass die kritisierte Einbindung des Like-Buttons, nicht nur diesen betrifft sondern eine Reihe von Diensten (etwa Youtube).  Die Antwort von Herrn Weichert: Die in diesen Fällen verwendete iFrames Technologie stelle ein Fall der Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Diese Auffassung ist meines Erachtens nicht nur gewagt, sondern auch nicht mit dem rechtlichen Gedanken der Auftragsdatenverarbeitung vereinbar. Warum?

Zunächst muss man sich klar machen, was ein iFrame überhaupt ist? Letztlich handelt es sich um eine Weiterentwicklung der seit den Anfangstagen des Internets bekannten (und rechtlich viel diskutierten) Frame-Technolgie. Der Einzige Unterschied besteht darin, dass der fremde Seiteninhalt nicht als Teil einer Tabelle geladen wird, sondern als Objekt. Vergleichbar mit einem Bild. Darüberhinaus besteht die Möglichkeit ganz präzise bestimmte Inhalte (statt ganze Webseiten) einzubinden. Insoweit ist der iFrame kein “Novum” sondern kann auch im Hinblick auf die juristische Bewertung, als Fortentwicklung von Frames (mit allen Vor- und Nachteilen) gesehen werden.

Was bedeutet das für die datenschutzrechtliche Beurteilung? Frames standen aus juristischer Sicht insbesondere wegen der Zueigenmachung fremder Inhalte in der Diskussion. Datenschutzrecht spielte dabei keine oder nur eine äußerst untergeordnete Rolle. Eine Auftragsdatenverarbeitung findet jedoch bei einem klassischen Frame nicht statt, allein weil im Zweifel der Betreiber der per Frame eingebundenen Webseite davon keine Kenntnis hat und damit auch keine Daten im “Auftrag” verarbeitet. Das mag bei Social Plugins etwas anders sein, da diese Webseitenbetreibern gerade zum Zwecke der Einbindung angeboten werden.

Eine Auftragsverarbeitung findet dennoch nicht statt, da die Grundvoraussetzung der Auftragsdatenverarbeitung nicht gegeben ist. Damit eine Auftragsdatenverarbeitung vorliegt, muss der Auftragsdatenverarbeiter die personenbezogenen im Auftrag und auf Weisung des Auftraggebers verarbeiten. Der Auftragnehmer hat nur eine Hilfs- und Unterstützungsfunktion und ist bei der Verarbeitung von den Vorgaben des Auftraggebers abhängig  (So etwa Wedde in Däubler/Klebe/Wedde/Weichert,(!) Kommentar zum BDSG, § 11, Rn. 5). Anders gesagt, die Auftragsdatenverarbeitung scheidet zwangsläufig aus, sobald die verarbeitende Stelle ein eigenes Interesse an der Verarbeitung und diese (Weiter-) Verarbeitung auch eigenständig durchführt.

Gerade dies ist jedoch bei den Social Plugins der Fall. Weder Facebook noch YouTube verarbeiten personenbezogene Daten streng im Auftrag des Webseitenbetreibers und schon gar nicht als Hilfs- oder Unterstützungsfunktion. Im Gegenteil. Sie verarbeiten diese im eigenen Interesse und ohne jeglichen Einfluss des Webseitenbetreibers. Dieser mag zwar “Zweckveranlasser” sein, da dieser Begriff dem Datenschutzrecht in seiner aktuellen Gestaltung fremd ist, macht dies den Webseitenbetreiber nicht automatisch zum Auftraggeber einer Auftragsdatenverarbeitung.

Eine Auftragsdatenverarbeitung wird daher beim Einsatz von iFrames regelmäßig ausscheiden. Nur in Einzelfällen wird möglicherweise eine Auftragsdatenverabeitung vorliegen.

Update: Henning Tillmann zeigt anschaulich, dass es sich hier nur um alten Wein in neuen Schläuchen handelt.

Frage: Was ist so schlimm am Like-Button?

Thilo Weichert: Der Button tut nicht körperlich weh. Das Anclicken des Buttons löst aber Datenverarbeitungen aus, die für die Nutzenden weder transparent noch selbstbestimmt sind. Es geht um das Setzen eines Cookies, um die Profilierung mit Hilfe des Cookies bei Facebook/USA und die kommerzielle oder sonstige Nutzung dieser Profile, worüber Facebook nicht ansatzweise Informationen herausgibt. Das verstößt gegen das deutsche Telemediengesetz und gegen die europäische E-Privacy-Directive. In diesen Verstößen liegen unzweifelhaft Verletzungen des Grundrechts auf informationelle Selbstbestimmung der Betroffenen.

Es geht also um das “Klicken” des Like-Buttons, was ein Cookie setzt.  Das klang bislang noch ganz anders und würde sämtliche (für einen Datenschutzhardliner unzureichenden) 2-Klick-Lösungen überflüssig machen. Da ich die mir aufdrängende Frage schon gestellt habe, frage ich lieber: Woher kommt der Sinneswandel?

1. 2-Klick-Lösungen fördern die Datensparsamkeit

2.Klick-Lösungen haben datenschutzrechtlich einen entscheidenden Vorteil. Sie fördern die Datensparsamkeit im Sinne von § 3a BDSG. Anders als bei der direkten Einbindung von Social Media PlugIns werden (personenbezogene) Daten nicht bereits bei Aufruf der Webseite an die jeweiligen Social Media Anbieter übermittelt, sondern erst nachdem durch einen ersten Klick die Social Media Buttons geladen werden. Der Webseitenbesucher hat es also in der Hand, ob eine solche Übermittlung stattfindet, oder ob er für die Social Media Anbieter unbemerkt auf der Seite bleiben will.

Ist durch die so erreichte Datenvermeidung und -sparsamkeit nicht das Problem behoben worden? Dies mag im ersten Augenblick so erscheinen, doch die Kritik des ULD richtet sich im Kern nicht dagegen, dass die Daten überhaupt erhoben werden, sondern dass sie ohne die erforderliche Einwilligung des Nutzers erhoben werden.

2. Erteilt der Nutzer mit dem 1. Klick nicht seine Einwilligung?

Die Anbieter der Social Media PlugIns sind regelmäßig US-amerikanische Unternehmen und erheben und verarbeiten die (personenbezogenen) Daten auf den eigenen Servern in den USA. Da die USA nicht den gleichen Datenschutz gewährleistet, wie die Mitgliedsstaaten in der Europäischen Union, ist eine Übermittlung nach § 4b BDSG regelmäßig nur mit Einwilligung möglich. (So jedenfalls, im Ergebnis das ULD.) Doch die Erteilung der Einwilligung ist an strenge Vorgaben geknüpft (§4a BDSG, § 13 Abs. 2 TMG). Unerlässlich ist, dass der Nutzer vor der Erteilung seiner Einwilligung klar und verständlich darüber aufgeklärt wird welche Daten, durch wen und zu welchem Zweck erhoben, verarbeitet und genutzt werden.

Trotz der vollmundigen Ankündigungen des heise-Verlags muss man an dieser Stelle klar sagen, dass die dort gewählte Umsetzung leider alles andere als datenschutzkonform ist. Zwar wird in Pop-Ups und hinter weiteren Informations-Icons viel von Datenschutz geschrieben, doch die erforderliche Datenschutzerklärung für die einzelnen Dienste fehlt komplett. Insoweit kann ich mich dem Kollegen Ferner nur anschließen, dass hier noch dringend Nachholbedarf besteht.

Ein Problem bei allen 2-Klick-Lösungen bleibt jedoch weiterhin der Inhalt der Einwilligungserklärung. Denn nicht immer ist klar, welche Daten erhoben, verarbeitet und genutzt werden. Gerade bei Facebook sehen die Datenschützer Handlungsbedarf. Facebook gibt zum Like-Button immerhin in begrenztem Umfang Auskunft. Leider bleibt dabei der Verwendungszweck unklar.

3. Verstößt der 2-Klick-Button gegen die Nutzungsbedingungen von Facebook, Twitter oder Google?

Unterstellt man Facebook, Twitter und Google, dass jedenfalls ein Ziel der Social Media PlugIns dazu dient, umfangreiche Bewegungsprofile der Internetnutzer zu erhalten, drängt sich die Frage auf, ob 2-Klick-Lösungen überhaupt mit den Nutzungsbedingungen der PlugIns vereinbar sind. Schließlich wird die Datenübermittlung durch die Einführung des 2-Klick-Buttons jäh einbrechen. Die Beschwerde Facebooks wurde im Netz zunächst auch einhellig so interpretiert. Doch wie sieht es im Einzelnen aus?

Facebook Like-Button

Die Dokumentation zum Facebook Like-Button enthält keine Hinweise zu Einschränkungen hinsichtlich der Einbindung des Buttons, jedoch hält Facebook auch für Plattform-Nutzer umfangreiche Nutzungsbedingungen bereit. Doch diese geben keine Einschränkungen bei der technischen Einbindung des Like-Buttons vor. Hinzu kommt noch ein Verweis auf die Nutzungsrichtlinien für Facebook-Marken. Denn der Like-Button ist nicht nur technisches Werkzeug sondern gleichzeitig auch als Marke eingetragen. Hier wird zwar beschrieben, dass durch einen Klick Nutzer Inhalte auf Facebook teilen können. Hieraus ein Verbot von 2-Klick-Lösungen abzuleiten, ist wohl kaum belastbar. Allerdings wird deutlich, dass grafische Veränderungen des Like-Buttons nur begrenzt möglich sind. Dass sich Facebook daher an der ursprünglichen Variante des heise 2-Klick-Buttons stößt, war daher kaum verwunderlich.

Twitters Tweet-Button

Wie sieht es hingegen beim Tweet-Button aus? Letztlich vergleichbar. Twitter gibt den Nutzern dabei grundsätzlich die Möglichkeit den Tweet-Button auch lokal und angepasst zu verwenden. Auch die API-Terms lassen kein Verbot einer 2-Klick-Lösung durchblicken. Aber auch Twitter hält Entwickler und Seitenbetreiber dazu an, die Twitter-Marken und Buttons nicht oder nur unter bestimmten Voraussetzungen anzupassen. Bereits auf den ersten Blick wird ersichtlich, dass Twitter weniger restriktiv eingestellt ist, als etwa Facebook.

Googles +1-Button

Der Google +1 Button ist im Ergebnis mit dem Like-Button von Facebook vergleichbar. Google hat für den +1-Buttons eigene Nutzungsbedingungen, die  den Einsatz abschließend regeln. Der im Zusammenhang mit 2-Klick-Lösungen wichtigster Passus ist das Verbot den +1-Button weder zu verändern noch zu verschleiern. Damit wird eine grafische Umgestaltung, wie bei Facebook, nicht mit den Nutzungsbedingungen vereinbar sein. Hier sollte daher eine andere Darstellung gewählt werden. Fraglich bleibt, ob die 2-Klick-Lösung gleichzeitig auch eine “Verschleierung” im Sinne der Nutzungsbedingungen darstellt. Als Beispiel nennt Google die Verbindung des Buttons mit Werbeanzeigen. Eine Verschleierung wird daher bei 2-Klick-Lösungen regelmäßig nicht anzunehmen sein, wenn Sinn und Zweck der 2-Klick-Lösung deutlich wird.

4. Fazit

Im Ergebnis lässt sich festhalten, dass 2-Klick-Lösungen grundsätzlich empfehlenswert sind. Doch auch 2-Klick-Lösungen müssen sorgfältig implementiert werden. Dabei muss sowohl die datenschutzrechtliche Einwilligung richtig abgebildet werden und bei grafischen 2-Klick-Lösungen mögliche Beschränkungen durch die Social Media Anbieter beachtet werden.

In seinem Arbeitspapier schreibt das ULD zur Möglichkeit einer datenschutzkonformen Umsetzung mittels Einwilligung auf Seite 22:

“Aus dem oben Gesagten ergibt sich, dass die personenbezogen Datenverarbeitung bei Faceook  in keinem Fall durch eine nach deutschem bzw. europäischen Recht wirksame Einwilligung legitimiert werden kann.”

Und auf Seite23 stellt das ULD fest, dass aufgrund der Reichenweitenanalyse von Facebook Insights sowohl Fanpages als auch Social Plugins nicht datenschutzkonform sind:

“Wegen der Missachtung des in § 15 Abs. 3 TMG festgelegten Trennungsgebotes ist das Einbinden von Social-Plugins von Facebook in deutschen Webseiten und das Betreiben von “Facebook Insights” auf Fanpages innerhalb von Facebook unzulässig.”

Nach der anhaltenden Kritik hat das ULD nun Fragen und Antworten zu Facebook veröffentlicht. Darin liest der erstaunte Leser:

“Eine datenschutzkonforme Einbindung erfordert zurzeit, dass die Social-Plugins nur dann geladen werden dürfen, wenn die Nutzerin oder der Nutzer der mit der Einbindung von Social-Plugins verbundenen Übertragung personenbezogener Daten eingewilligt haben, § 13 Abs. 2 TMG. Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden.”

Noch bunter wird es schließlich zu den Ausführungen hinsichtlich der Fanpages. Diese sind nach der neuen Auffassung des ULDs auch weiterhin nicht datenschutzkonform nutzbar, da hier die datenschutzrechtlichen Anforderungen an die Reichenweitenanalyse durch Facebook Insights nicht realisiert werden können:

“ Dem ULD ist momentan keine Möglichkeit bekannt, Fanpages datenschutzkonform zu nutzen. Hierzu sind weitgehende Änderungen seitens Facebook notwendig. Insbesondere muss Facebook den Betreibern von Fanpages die Möglichkeit geben, die Erhebung von personenbezogenen Daten für die Erstellung der Reichweitenanalyse (Facebook Insights) abzuschalten. Weiterhin muss Facebook eine Funktion zur nutzerbezogenen Einwilligung in die Reichweitenanalyse schaffen bzw. Maßnahmen zur Umsetzung der Vorgaben des § 15 Abs. 3 TMG ergreifen.”

Der Verstoß gegen § 15 Abs. 3 TMG hindert den Einsatz von Fanpages. Trotz des gleichen Verstoßes bei Social Plugins (laut Arbeitspapier) können diese dennoch datenschutzkonform eingebunden werden. Ja was denn nun, Herr Weichert?

Update 23.08.11 18:30 Uhr: Das ULD hat nun die FAQ wie in den Kommentaren angekündigt überarbeitet. Statt der ursprünglichen Frage “Kann man Facebook Social-Plugins datenschutzkonform einbinden?”  (nachzulesen bei Kollege Dosch) lautet diese nun “Kann ein Webseitenbetreiber Facebook Social-Plugins so einbinden, dass die unkontrollierte Übertragung personenbezogener Daten verringert wird?”. Ergänzt wurde zudem die Anmerkung, dass eine Reduzierung der unkontrollierten Übertragung nichts an der Analyse zur fehlenden Einwilligung gegenüber Facebook ändert. Eine, aus meiner Sicht, zweifelhafte “Klarstellung”. Unabhängig von der rechtlichen Bewertung dieser Klarstellung konterkariert das ULD damit seine eigene Haltung:

Aus “Verboten! Sofort abschalten!” wird “Eigentlich ja nicht erlaubt, aber so ist es nicht ganz so schlimm (wir wollen doch nur spielen?)…”.

Nutzer werden oft nur unzureichend, meist gar nicht, über die Verwendung personenbezogener Daten informiert. Selbst bei sorgsamen Umgang ist es Verbrauchern daher häufig nicht möglich nachzuvollziehen welche Daten zu welchem Zweck übermittelt und verwendet werden. Die nahtlose Integration in das Mobiltelefon macht es App-Anbietern dabei besonders leicht auf personenbezogene Daten zuzugreifen. Der Zugriff auf E-Mails und Adressbuch ist nur einen Klick entfernt. Bekanntestes Beispiel dürfte hier die Facebook-App sein, die vor knapp einem Jahr die “Friend-Finder” Funktion integrierte und mit einem Klick sämtliche Kontaktdaten übermittelte und synchronisierte. Immerhin mit einer rudimentären Erklärung.

Eine weitere beliebte App, die sich umfassend im Adressbuch des Smartphone-Nutzers bedient, ist Whatsapp. Whatsapp versteht sich als kostenlose Alternative zum SMS Versand. Bevor Whatsapp genutzt werden kann, wird der Nutzer gefragt, ob er den Zugriff auf das Adressbuch erlaubt. Der Klick auf “Zustimmen” hat für den Nutzer jedoch weitreichende Folgen. Whatsapp wird alle Telefonnummern im Adressbuch an den eigenen Server übermitteln, dort dauerhaft speichern und mit dem bestehenden Datenpool abgleichen. Stimmt die Telefonnummer mit der eines anderen Whatsapp-Nutzer überein, erscheint dieser automatisch in den eigenen Favoriten. Dem Austausch von Kurzmitteilungen steht nichts mehr im Weg.

Jeder, der sein Smartphone nicht nur privat sondern auch geschäftlich nutzt, kann nur geraten werden, sich vor dem schnellen Klick beim Zugriff auf das Adressbuch innezuhalten und sich zu informieren. Doch die Information über den Datenschutz ist mitunter nicht einfach. Um bei dem Beispiel zu bleiben, die Datenschutzerklärung von Whatsapp ist wenig erhellend. Und was sagen fachkundige Newsdienste? Heise etwa geht über das hohe Datenschutzrisiko bei Whatsapp einfach hinweg. Eine Sensibilisierung der Nutzer sieht anders aus.

Verstoßen Anbieter wie Whatsapp gegen das deutsche Datenschutzrecht?

Um es kurz zu machen: Die Datenerhebung und -verarbeitung durch Whatsapp wäre, was den Abgleich und die Vorratshaltung der Daten angeht, nach deutschem Datenschutzrecht wohl problematisch. Doch ist es überhaupt anwendbar, wenn der App-Betreiber im Ausland sitzt? Nach § 1 Abs. 5 BDSG ist auch ein ausländischer Betreiber an deutsches Datenschutzrecht gebunden, wenn er Daten im Inland erhebt, verarbeitet oder nutzt. Jedenfalls für die Erhebung wird man daher deutsches Datenschutzrecht annehmen können. Datenschützer wie Peter Schaar wissen jedoch, dass trotz Anwendbarkeit eine Durchsetzung nahezu unmöglich ist.

Andererseits stellt sich die Frage, ob nicht der Smartphone-Nutzer selbst datenschutzrechtlich zur Verantwortung gezogen werden könnte. Schließlich übermittelt er mit einem Klick die personenbezogenen Daten seiner Kontakte. Verantwortliche Stelle im Sinne des BDSG kann auch eine Privatperson sein. Die Übermittlung von personenbezogenen Daten (hier der fremden Kontaktdaten im Adressbuch) ist daher nur mit Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnis zulässig.

Muss der unbescholtene deutsche Smartphone-Nutzer  seine Kontakte fragen, wenn er die Daten seines Adressbuchs für die Inanspruchnahme einer App überträgt?

Das wird wohl im Einzelfall zu prüfen sein.  Datenschutzrechtlern fallen wohl sofort die Möglichkeiten der Auftragsverarbeitung (§ 11 BDSG) oder der Verarbeitung zur Vertragsabwicklung (§ 28 Abs. 1 BDSG) ein. Doch das Problem lauert bereits an anderer Stelle. Sitzt der App-Betreiber, an den die Daten übermittelt werden im außereuropäischen Ausland, so sind die gesteigerten Erfordernisse von § 4b BDSG zu beachten. Sitzt der App-Betreiber in den USA und ist nicht dem Safe-Harbor beigetreten, so ist die Prüfung schnell beendet: Die Übermittlung der personenbezogenen Daten ist nur mit  schriftlicher Einwilligung der Betroffenen möglich. Ein unrealistisches Unterfangen, der Verstoß jedoch grundsätzlich eine Ordnungswidrigkeit.

Die Konsequenz?

Der Zugriff auf personenbezogene Daten war noch nie so leicht und unübersichtlich, wie bei Smartphones. Gerade Verbraucher können die Auswirkungen kaum abschätzen. Grund dafür ist auch die fehlende Aufklärung durch Medienangebote, die über angesagte Apps berichten ohne auf datenschutzrechtliche Konsequenzen hinzuweisen.

Markus Beckedahl ist dieser Tage für seine Äußerung kritisiert worden, dass jeder der das Internet aktiv nutzt und Medienkompetenz besitzt, Urheberrechtsverletzungen begeht. Die Aussage wäre leider im Hinblick auf den Datenschutz bei der Smartphonenutzung wohl treffender:

Jeder der sein Smartphone aktiv nutzt, verstößt gegen Datenschutzrecht.

Einfach gesagt, handelt es sich bei den Tokens um Schlüssel, die der Application Zugriff auf bestimmte Informationen geben soll. Wie dieser Schlüssel unbefugten Dritten zugänglich gemacht wird, hat Symantec  in einem langen Blogbeitrag erläutert. Viele Facebook-Apps verwenden nicht das moderne OAuth 2.0 Protokoll zur Identifizierung und Autorisierung sondern ältere Verfahren. Hierbei kann es passieren, so Symantec, dass der Access Token nicht nur dem App-Betreiber mitgeteilt wird sondern auch Dritten, die Content für die App liefern, etwa Werbung. Je nach Access Token können somit Dritte Zugriff auf vertrauliche Informationen des Nutzers (bis hin zu Chat-Protokollen) erhalten.

Glück im Unglück: Symantec geht davon aus, dass vielen Firmen nicht bewusst ist, dass sie so Zugriff auf die Informationen unzähliger Facebook-Nutzer erhalten haben. Facebook hat die Sicherheitslücke bestätigt und bereits erste Maßnahmen zur Behebung des Problems eingeleitet.

Verunsicherten Facebook Nutzern rät Symantec, das Login-Passwort zu ändern, denn damit würden alte Access Token ungültig. Vielleicht sollte man bei der Gelegenheit auch überprüfen welchen Facebook Applications man Zugriff auf seine Daten gibt und ob dies tatsächlich (noch) erforderlich ist.

Das KG Berlin hat aber in der Entscheidung noch andere bemerkenswerte Aussagen getroffen. So etwa auch zur Frage des Personenbezugs von IP-Adressen. Die Bejahung eines Personenbezugs ist bei der Einbindung des Facebook Like-Buttons relevant, denn bei der Einbindung des Like-Buttons neben der Facebook-Kennung von Mitgliedern auch Daten von allen Webseitenbesuchern an Facebook übermittelt werden, darunter die IP-Adresse. Da für die Entscheidung des Gerichts bereits ausreichend war, dass die eindeutige Nutzerkennung von Facebookmitgliedern übermittelt wird und daher die Anforderungen von § 13 TMG verletzt sind, hat sich das Kammergericht lediglich darauf beschränkt den möglichen Personenbezug der IP-Adresse anzudeuten und den aktuellen Streitstand zusammen zu fassen.

Dabei macht das Gericht eine, meiner Meinung nach richtige, aber folgenschwere Aussage:

“Über statische IP-Adressen, d.h. IP-Adressen, die dauerhaft einem bestimmten Anschluss zugeordnet sind, kann jedenfalls der Inhaber des Anschlusses, bei dem es sich regelmäßig um eine juristische Person handelt, mit Hilfe einer Adressdatenbank ermittelt werden (vgl. Spindler/Nirk, in Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl., § 11 TMG, Rn 8).”

Mit anderen Worten: Statische IP-Adressen sind in der Regel keine personenbezogenen Daten.

Die Inhaber statischer IP-Adressen lassen sich mit Hilfe von speziellen Adressdatenbanken relativ schnell feststellen. Handelt es sich dabei um eine juristische Person, liegt kein Personenbezug im Sinne von § 3 BDSG vor, da dieser sich nach der Definition nur auf natürliche Personen bezieht. Alleine die Erfassung einer statischen IP-Adresse, die nicht einer natürlichen Person zugeordnet ist, führt ohne weitere Informationen daher in der Regel nicht zu einer Bestimmbarkeit der natürlichen Person, die gerade eine Webseite besucht hat.

Dies hat letztlich eine richtige Folge: Statische IP-Adressen, die juristischen Personen zugeordnet sind unterscheiden sich daher für Seitenbetreiber nicht von dynamischen IP-Adressen und wird damit nicht mehr als ein unbestimmbares technisches Verkehrsdatum sein.

Der Inhalt dieser Guidelines kann als Anweisung an (amerikanische) Ermittlungsbehörden verstandenwerden, wie und welche Informationen über Facebook-Nutzer verlangt werden können. Eswerden unterschiedliche Auskunftsmethoden beschrieben.

Sofern das Dokument echt sein sollte, ließe sich folgendes über die Speicherung von Daten bei Facebook schließen:

• Protokolle über Logins werden in der Regel nur 2-3 Tage vorgehalten.
• IP- und Serverprotokolle werden nicht systematisch vorgehalten

Dies erscheint bei der Flut an Nutzern und Logs eher unspektakulär. Interessant aber bleibt folgende (damit im Widerspruch stehende) Aussage:

• Nutzerdaten werden in der Regel nur für 90 Tage rückwirkend herausgegeben. In Ausnahmefällen können auch ältere Daten herausgegeben werden.

Dies könnte bedeuten, dass Facebook auch bereits durch den Nutzer gelöschte Daten über den Zeitpunkt der Löschung hinaus aufbewahrt.

Ohne die eigentliche Datenschutzerklärung zu verändern arbeitet Facebook derzeit allerdings an einer detaillierteren Erklärung, welche Daten von Mitgliedern und auch Nicht-Mitgliedern gesammelt werden. Die lesens- und kommentierenswerten Ausführungen findet man in dem Entwurf der “Data Use Policy“.

Facebook stellte gestern ein überarbeitetes Datenschutz- und Privatsphärekonzept vor, welches in den kommenden Tagen weltweit umgesetzt wird. Damit reagierte das Unternehmen auf Beschwerden, dass Privatsphäreneinstellungen unverständlich und versteckt seien bzw. viele Daten nicht mehr geschützt sein. In beiden Punkten bessert facebook nun nach: Die Einstellungen sind übersichtlicher gestaltet und sind damit verständlicher und außerdem können nun wieder umfassender Daten geschützt werden.

Google wartet gleich mit zwei datenschutzrechtlichen Neuerungen auf, beide hinsichtlich des Analysetools Google Analytics. Google Analytics war im November von den deutschen Datenschutzbehörden heftig kritisiert worden, da es einerseits die IP-Adresse als personenbezogenes Datum ohne Einwilligung des Betroffenen erhob und gleichzeitig auch noch ein (“Bewegungs-”) Profil des Betroffenen erstellt. In beiden Punkten bietet Google nun eine Abhilfe an. Seitenbetreiber können nun Google Analytics ergänzt um den Code „_anonymizeIp()“ und angepasster Datenschutzerklärung wieder einsetzen. Weitere Infos dazu, hat der Datenschutzbeauftragte Online zusammen gestellt. Wer nicht möchte, dass Google überhaupt Daten im Rahmen von Google Analytics erfasst, dem bietet Google ein Opt-Out AddOn für InternetExplorer und Firefox an. Das AddOn deaktiviert den Google Analytics Schnipsel und verhindert somit die Erstellung eines Profils durch Google.

Die drei Änderungen mögen für sich genommen, keine große Änderung sein und machen aus beiden Unternehmen sicherlich noch keine Vorreiter des Datenschutz. Auch in Zukunft werden wohl beide in einem (mehr oder weniger) gesunden Spannungsverhältnis zum Datenschutz agieren. Doch die Änderungen zeigen, dass anhaltender Protest von Datenschützern und die zunehmende Sensibilisierung der Nutzer auch Platzhirsche wie Google und facebook zur Reaktion zwingt.