Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

2 Comments

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

• Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
• Anonymisierung der IP-Adressen durch das  _anonymizeIp()-Tool von Google
• Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
• Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
• Löschung von Altdaten (bestehende Google Analytics Profile).

No Comments

Nachdem soziale Netzwerke wie Google+ und Facebook Tools zur automatisierten Erkennung von Gesichtern integriert haben, kam es in den vergangenen Monaten zu massiver Kritik durch Verbraucher- und Datenschützer. Diese Tools ermöglichen die automatische Erkennung von angemeldeten Usern auf hochgeladenen Fotos und sollen dadurch unter anderem das Verlinken erleichtern. Datenschützer befürchten darüber hinaus einen flächendeckenden Einsatz dieser Technik. Denn es existieren bereits diverse Apps und Entwicklungen, die beispielsweise ein mit einem Handy geschossenes Foto einer Person mit persönlichen Informationen zu dieser Person (nach erfolgreicher Gesichtserkennung) aus dem Internet, insbesondere aus sozialen Netzwerken verknüpfen können.

Der Einsatz solcher Techniken würde dazu führen, dass jeder Smartphone-Nutzer in der Lage wäre, Fremde auf der Straße, in Bars, Diskotheken, im Kino etc. zu identifizieren – vorausgesetzt vom Fotografierten existieren Fotos und persönliche Informationen im Internet. Neben der Gefahr des Anlegens von Profilen und der Beschränkung der Privatssphäre würde der flächendeckende Einsatz dieser Techniken auch die Anonymität des Einzelnen erheblich einschränken.

Aus diesem Grunde hat die Art. 29-Datenschutzgruppe nun ein Arbeitspapier vorgelegt, in dem sie Regeln zum datenschutzkonformen Einsatz von Gesichtserkennungssoftware aufstellt. Ein wesentlicher Punkt in dem Arbeitspapier ist die Forderung, dass Betroffene zuvor der Verwendung ihrer personenbezogenen Daten für Gesichtserkennung zustimmen müssen. Anbieter von sozialen Netzwerken seien zudem gehalten, bei hochgeladenen Bilder in jedem Fall vorab eine informierte Einwilligung in entsprechende Nutzungen einzuholen, egal ob ein User eigene Fotos in ein Profil einbinde oder ob Dritte Aufnahmen von Personen in ihre Profile integrierten.

Beim Hochladen, Speichern und der Verarbeitung der verwendeten Fotos müsse der Anbieter zudem für Sicherheit sorgen, weswegen die Art. 29-Datenschutzgruppe den Einsatz von Verschlüsselungs- und Verifizierungstechniken empfiehlt. Weiter müssten Anbieter es ihren Usern ermöglichen, die über sie gespeicherten Fotos und Daten einsehen und kontrollieren zu können.
 

No Comments

User-Accounts sind inzwischen Alltag. Egal ob bei On- oder Offline Games – oder natürlich bei Social Media: Accounts bieten viele Funktionen, von der Kommunikation bis hin zur Datenspeicherung. Da war es nur eine Frage der Zeit, bis sich staatliche Ermittler für User-Accounts auf den Servern der Anbieter interessieren. Aber wann müssen sich Anbieter und natürlich auch User den staatlichen Zugriff eigentlich gefallen lassen?

Dazu betritt das Amtsgericht Reutlingen nun Neuland. Das Gericht versucht Zugriff auf Daten aus dem Facebook-Account des Angeklagten zu bekommen. In dem Verfahren wird einem 20-Jährigen vorgeworfen, Beihilfe zu einem Wohnungseinbruchsdiebstahlt begangen zu haben: Der einschlägig Vorbestrafte soll vor rund zwei Jahren in der Tatnacht die Tochter der Wohnungsinhaber ausgeführt und diese dabei mal eben über die Details der Räumlichkeiten befragt haben, die er dann per Facebook-Chat über sein Smartphone dem eigentlichen Haupttäter, der auf ein lohnendes Einbruchsprojekt aus war und später auch getrennt angeklagt wurde, weiter gegeben hat. Hätten die Chat-Inhalte vorgelegen, wäre die Sache schnell geklärt gewesen. Auf dem beschlagnahmten Smartphone des mutmaßlichen Täters war aber nichts (mehr?) zu finden. Den Ermittlern blieb nur der Versuch, direkt über Facebook an das mutmaßliche Beweismaterial zu kommen.

Der Reutlinger Jugendrichter griff deshalb zu einem unüblichen Mittel: Er erließ einen Beschluss, mit dem er die Beschlagnahme der “beim Anbieter Fa. Facebook GmbH” im Account des Angeklagten gespeicherten zahlreichen “Messages” sowie “Friends”, “Notes”, “Chats”, “E-Mails” und “sämtliche Lichtbilder” anordnete. Obwohl in den Medien vielfach anders kommentiert, handelte es sich in Wahrheit eher um den Versuch, lediglich an bestimmte Kommunikation, aber eben nicht an den Account also solche heranzukommen. Diese Methode mag für ein deutsches Gericht auf den ersten Blick ungewöhnlich erscheinen. Allerdings spricht der für die Sicherstellung maßgebliche Paragraf von “Gegenständen, die als Beweismittel … von Bedeutung sein können”. Der Gesetzgeber ging hier noch von so etwas wie dem blutverschmierten Messer aus. Trotzdem sind unter “Gegenständen” auch Daten zu verstehen, wie das Bundesverfassungsgericht schon vor einigen Jahren festgestellt hat.

Bei Social-Media-Accounts wird man unschwer erkennen, dass die dort gespeicherten Daten vielfach Teil vergangenen oder aktuellen Nachrichtenaustausches der betroffener Nutzer sind. Dieser wiederum ist verfassungsrechtlich durch das Fernmeldegeheimnis geschützt, die die Kommunikation von Bürgern frei von staatlicher Kontrolle sicherstellen soll. Deshalb können Strafverfolger auf Daten, die dem Fernmeldegeheimnis unterliegen, nur unter verschärften Bedingungen zugreifen. Aber auch in dem Zusammenhang erklärte das BVerfG schon im Jahre 2009, dass bereits gelesene private Nachrichten auf dem Server des Betreibers geschützt sind. Ein Zugriff auf die Daten sei aber unter den eher geringen Anforderungen der klassischen Postbeschlagnahme zulässig. Eben hierauf stütze sich nunmehr auch das Reutlinger Amtsgericht.

Die Beschlagnahme muss aber als staatliche Zwangsmaßnahme verhältnismäßig und ohne Zweifel über dessen Umfang erfolgen. Das Gericht darf somit nicht mehr Daten als nötig beschlagnahmen. Wohl deshalb hat das Reutlinger Gericht versucht, möglichst genau zu schreiben, was es eigentlich haben will:

„Nicht der Beschlagnahme unterliegen Nachrichten („Messages“) und Chatnachrichten, welche ersichtlich nicht an den Angeklagten gerichtet sind oder offensichtlich zu diesem Strafverfahren keinen Bezug oder erkennbar religiöse Inhalte haben, also nicht Nachrichten („Messages“) an oder über die Zeugin Z., die den getrennt verfolgten V. betreffen. Standortdaten, IP-Adressen, religiöse Ansichten oder politische Ansichten sollen nicht erhoben werden.

Damit haben die Betreiber den schwarzen Peter. Sie sind es nämlich, die herausfinden müssen, welche Daten sie genau herausgeben sollen und haben somit quasi stellvertretend für die Staatsgewalt eine Differenzierung der Daten vornehmen. Heikler Weise droht auch ausgerechnet ihnen ein ernstzunehmendes Haftungsrisiko, sollten sie hierbei daneben liegen.

In dem Reutlinger Fall war Adressatin der Beschlagnahme die Hamburger “Fa. Facebook GmbH”, die aber faktisch nicht die Anbieterin des Dienstes ist, weil sie weder die Facebook-Server betreibt, noch nach eigener Aussage auf die darauf gespeicherten Daten zugreifen kann. Das Facebook-Impressum nennt die in Irland beheimatete Facebook Ireland Ltd. als Anbieterin des Dienstes. Deshalb hat das Amtsgericht nun den Weg über das Rechtshilfeersuchen an die irischen Behörden genommen. Übrigens will nun auch der Angeklagte selbst helfen. Er hat selbst hat jetzt seine Daten aus Dublin angefordert.

Der Prozess gegen den 21-Jährigen ging erst vergangene Woche in die nächste Runde. Ergebnis: Weder der Angeklagte selbst, noch das Reutlinger Amtsgericht haben die verlangten Daten bisher erhalten: Die Facebook Irland Ltd. hat bisher den Zugriff auf die in den USA befindlichen Daten verweigert und beruft sich auf US-Gesetze und interne Richtlinien.

Als Reaktion hat das Gericht zum nächsten Verhandlungstermin am 29. März 2012 auch eine Mitarbeiterin von Facebook geladen. Zu welchem Ergebnis ihre mögliche Anwesenheit für das Verfahren führen wird, bleibt abzuwarten.

Unterm Strich bleibt vorerst für die Praxis, dass Gerichte Inhalte aus Accounts beschlagnahmen lassen können. Aber eben nur, soweit sie die strengen gesetzlichen Vorgaben beachten. Gerade die Erfüllung der Anforderungen an die Verhältnismäßigkeit könnte aber künftig die Wirksamkeit so mancher Anordnung scheitern lassen.

Wir danken unserem Mitarbeiter Istvan Fancsik für die Mitarbeit an diesem Beitrag.

1 Comment

Nachdem die vergangenen Monate schon vielfach über den zunächst geleakten und Ende November dann doch öffentlich gemachten ersten Entwurf einer Datenschutzverordnung für Europa diskutiert wurde, stellte die EU-Kommissarin Vivianne Reding am Mittwoch offiziell den überarbeiteten Entwurf für eine neue europäische Datenschutz-Verordnung vor.

Mit der Verordnung soll zum einen das Datenschutzrecht innerhalb der Europäischen Union reformiert und zum anderen europaweit vereinheitlicht werden. Der Entwurf muss nun zunächst einmal das europäische Gesetzgebungsverfahren durchlaufen. Änderungen sind daher noch durchaus möglich. Sollte die Verordnung allerdings verabschiedet werden, so wird sie ab Inkraftreten in allen EU-Mitgliedsstaaten gleichermaßen unmittelbare Rechtswirkung entfalten. EIne mühsame Umsetzung in nationales Recht ist bei einer Verordnung nicht notwendig.

Im Wesentlichen ergeben sich durch im Vergleich zum deutschen aktuellen Datenschutzrecht für in Deutschland tätige Unternehmen folgende Veränderungen:

1. Ein wichtiger Grundsatz soll „Privacy by Design“ werden. Das bedeutet, dass die Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt berücksichtigt werden sollen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht. Datenschutzprobleme sollen daher schon bei der Entwicklung neuer Technologien festgestellt, geprüft und von vorneherein in die Gesamtkonzeption der Technologie einbezogen werden.
2. Interessanterweise wird nicht erwähnt, ob oder dass die Übermittlung perso-nenbezogener Daten, beispielsweise in USA, im Rahmen des bislang etablierten Safe Harbor Programmes möglich ist. Es ist daher davon auszugehen, dass diese Option wegfallen könnte.
3. Die Verwendung von Kunden- und Interessendaten wird deutlich erschwert. Auch Verhaltensdaten können nur unter besonderen Voraussetzungen verwendet werden.
4. Datenschutzverstöße müssen bislang nur in bestimmten Fällen gemeldet werden. Diese Pflicht soll erheblich ausgedehnt werden.
5. Die möglichen Sanktionen für Datenschutzvertsöße werden verschärft; Bußgelder können bis zu 2 % des weltweiten Umsatzes des Unternehmens betragen. Bislang liegen die Bußgelder bei maximal EUR 300.000.

Im Verhältnis zu anderen EU-Ländern dürfte die Umstellung – sofern die Verordnung verabschiedet werden sollte – für deutsche Unternehmen oder solche, die sich bereits jetzt an deutsches Datenschutzrecht halten, am wenigsten einschneidend sein. Denn die EU-Kommission erwähnte ausdrücklich Deutschland als Vorbild für die neue Verordnung. Der Entwurf greift tatsächlich einige Prinzipien des deutschen Datenschutzrechts auf. Dies hat zur Folge, dass Unternehmen, die bislang im Einklang mit den deutschen Datenschutzgesetzen operieren, auf das neue Datenschutzrecht gut vorbereitet sein sollten. Umgekehrt behalten alle Anstrengungen von Unternehmen, die bis zum Inkrafttreten der Verordnung unternommen werden, um den geltenden Gesetzen gerecht zu werden, ihre Wirkung auch unter der neuen Verordnung.

1 Comment

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen,  da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

“Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.”

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

No Comments

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD - kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

No Comments

Das World Wide Web Consortium (W3C) hat gemeinsam mit Mozilla-Technikern ein Anti-Tracking-Verfahren mit dem einprägsamen Namen „DO NOT TRACK“ entwickelt, das durch Aktivierung der DO-NOT-TRACK-Funktion innerhalb der Browser-Einstellungen, dem Internetnutzer ermöglichen soll, eigenverantwortlich zu entscheiden, ob sein gesamtes Surfverhalten protokolliert werden darf. Technisch betrachtet beeinflusst die Aktivierung den netzarchitektonischen Datenverarbeitungsprozess, indem der Browser bei jedem Seitenaufruf durch einen http-Header ein Signal an die angefragte Webseite sendet, dass der Anwender nicht „getrackt“ werden möchte. Bisweilen mussten die Nutzer zur Verhinderung einer möglichen Erhebung und Speicherung ihrer Daten beispielsweise bestimmte Cookies auf den besuchten Webseiten deaktivieren, sich in Blacklists eintragen lassen oder einen Opt-out-Cookie setzen. Mit der DO-NOT-TRACK-Funktion hingegen muss der Nutzer künftig nur noch einmal tätig werden und den Browser entsprechend aktiveren. Gegenwärtig ist die Funktion in den Standardbrowsern Mozilla 4, Internet Explorer 9 sowie Safari 5.1 integriert.

Die tatsächliche Funktionalität des Verfahrens hängt jedoch maßgeblich davon ab, wie die Webseitenbetreiber und die Werbeindustrie die Vorgabe des Anwenders umsetzen. Ohne eine Partizipation der Webseitenbetreiber und der Werbeindustrie, ist die Funktion technisch wie praktisch nutzlos. Vorstellbar ist etwa, dass bestimmte Webseiten sich gegen Nutzer mit aktiviertem DO-NOT-TRACK wehren und ihrerseits die Seite nur mit der Aufforderung an den User zugänglich machen, die DO-NOT-TRACK-Funktion zu deaktivieren. Ebenfalls schutzlos steht der User einem verdeckten Tracking gegenüber, sei es mutwillig von dritter Seite oder allein deshalb, weil eine Überprüfung der Einhaltung der Aufforderung keine personalisierten Profile zu erstellen vom User kaum überprüfbar sein dürfte. Besonders Anbietern von Analysediensten, wie Google Analytics ist die Vorstellung eines flächendeckenden DO-NOT-TRACK-Einsatzes wohl ein Dorn im Auge, sind technische Auswertungen des Online-Traffics doch ihr täglich Brot. Technisch ist auch hier sicherlich eine Lösung denkbar, die eine rein statistische Erhebung von einer personalisierten Erhebung unterscheidet, jedoch bleibt hier ein (kostspieliges) Nachrüsten nicht aus. Ob das Amerika präferierte DO-NOT-TRACK-Verfahren einer gesetzlichen Verpflichtung der Anbieter zur Umsetzung dieses Anti-Tracking-Verfahrens hierzulande umsetzbar ist, bleibt vor dem Hintergrund der eingeschränkten Verantwortlichkeit der Webseitenbetreiber abzuwarten.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

No Comments

Nach den Diskussionen der vergangenen Monate über die die rechtliche (Un)Zulässigkeit des Facebook Like-Buttons (wir berichteten über die Abmahnungen, die Feststellung der Datenschutzbeauftragten und die Hintergründe), prüfe das Social Network Facebook laut dem Landesdatenschutzbeauftragten für Schleswig-Holstein – Thilo Weichert – angeblich, ob es für Schleswig-Holstein eine datenschutzrechtliche Sonderlösung einführen solle. Nach Angaben von Herrn Weichert, überlege Facebook, anhand der IP-Adresse den Standort der Nutzer zu ermitteln. Daten von Nutzern in Schleswig-Holstein sollten dann nicht zur weiteren Verarbeitung in die Konzernzentrale in den USA weitergeleitet werden. Das Schleswig-Holstein Magazin berichtete am Donnerstag, dass dies das Ergebnis eines Treffens von Herrn Weichert mit dem Europa-Repräsentanten des Internetportals, Richard Allan, in Kiel gewesen sei.

Eine solche Lösung wäre eine weltweit einmalige Ausnahme. Experten bezweifeln allerdings, dass man anhand der  IP-Adressen die Zugehörigkeit zu einem Bundesland einwandfrei festellen könne.

Das Social Network hat diese Darstellung aber bereits am heutigen Tag dementiert. Laut dem Firmensprecher von Facebook, sei Weichert durch Facebook nicht signalisiert worden, dass es eine Sonderregelung bei der Übermittlung von Nutzerdaten geben werde.

Weichert hatte in den vergangenen Monaten sowohl den Like-Button moniert als auch Webseitenbertreiber in Schleswig-Holstein unter Androhung von Bußgeldern aufgefordert, den Like-Button aus Facebook aus ihrem Angebot zu entfernen (wir berichteten dazu hier). Dieses Vorgehen des Datenschützers sorgte für zahlreiche Diskussionen und stieß teilweise auf Widerstand. Die IHK kündigte bereits an, seinen Forderungen nicht nachzugeben und es notfalls auf ein Verfahren ankommen zu lassen. Sogar den Kieler Landtag beschäftigte sich mit dem Verhalten des Landesdatenschutzbeauftragen. Ministerpräsident Peter Harry Carstensen (CDU) rügte das Vorgehen des Datenschutzbeauftragten als kontraproduktiv.

No Comments

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

No Comments