Nachdem die vergangenen Monate schon vielfach über den zunächst geleakten und Ende November dann doch öffentlich gemachten ersten Entwurf einer Datenschutzverordnung für Europa diskutiert wurde, stellte die EU-Kommissarin Vivianne Reding am Mittwoch offiziell den überarbeiteten Entwurf für eine neue europäische Datenschutz-Verordnung vor.

Mit der Verordnung soll zum einen das Datenschutzrecht innerhalb der Europäischen Union reformiert und zum anderen europaweit vereinheitlicht werden. Der Entwurf muss nun zunächst einmal das europäische Gesetzgebungsverfahren durchlaufen. Änderungen sind daher noch durchaus möglich. Sollte die Verordnung allerdings verabschiedet werden, so wird sie ab Inkraftreten in allen EU-Mitgliedsstaaten gleichermaßen unmittelbare Rechtswirkung entfalten. EIne mühsame Umsetzung in nationales Recht ist bei einer Verordnung nicht notwendig.

Im Wesentlichen ergeben sich durch im Vergleich zum deutschen aktuellen Datenschutzrecht für in Deutschland tätige Unternehmen folgende Veränderungen:

1. Ein wichtiger Grundsatz soll „Privacy by Design“ werden. Das bedeutet, dass die Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt berücksichtigt werden sollen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht. Datenschutzprobleme sollen daher schon bei der Entwicklung neuer Technologien festgestellt, geprüft und von vorneherein in die Gesamtkonzeption der Technologie einbezogen werden.
2. Interessanterweise wird nicht erwähnt, ob oder dass die Übermittlung perso-nenbezogener Daten, beispielsweise in USA, im Rahmen des bislang etablierten Safe Harbor Programmes möglich ist. Es ist daher davon auszugehen, dass diese Option wegfallen könnte.
3. Die Verwendung von Kunden- und Interessendaten wird deutlich erschwert. Auch Verhaltensdaten können nur unter besonderen Voraussetzungen verwendet werden.
4. Datenschutzverstöße müssen bislang nur in bestimmten Fällen gemeldet werden. Diese Pflicht soll erheblich ausgedehnt werden.
5. Die möglichen Sanktionen für Datenschutzvertsöße werden verschärft; Bußgelder können bis zu 2 % des weltweiten Umsatzes des Unternehmens betragen. Bislang liegen die Bußgelder bei maximal EUR 300.000.

Im Verhältnis zu anderen EU-Ländern dürfte die Umstellung – sofern die Verordnung verabschiedet werden sollte – für deutsche Unternehmen oder solche, die sich bereits jetzt an deutsches Datenschutzrecht halten, am wenigsten einschneidend sein. Denn die EU-Kommission erwähnte ausdrücklich Deutschland als Vorbild für die neue Verordnung. Der Entwurf greift tatsächlich einige Prinzipien des deutschen Datenschutzrechts auf. Dies hat zur Folge, dass Unternehmen, die bislang im Einklang mit den deutschen Datenschutzgesetzen operieren, auf das neue Datenschutzrecht gut vorbereitet sein sollten. Umgekehrt behalten alle Anstrengungen von Unternehmen, die bis zum Inkrafttreten der Verordnung unternommen werden, um den geltenden Gesetzen gerecht zu werden, ihre Wirkung auch unter der neuen Verordnung.

No Comments

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen,  da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

“Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.”

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

No Comments

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD - kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

No Comments

Das World Wide Web Consortium (W3C) hat gemeinsam mit Mozilla-Technikern ein Anti-Tracking-Verfahren mit dem einprägsamen Namen „DO NOT TRACK“ entwickelt, das durch Aktivierung der DO-NOT-TRACK-Funktion innerhalb der Browser-Einstellungen, dem Internetnutzer ermöglichen soll, eigenverantwortlich zu entscheiden, ob sein gesamtes Surfverhalten protokolliert werden darf. Technisch betrachtet beeinflusst die Aktivierung den netzarchitektonischen Datenverarbeitungsprozess, indem der Browser bei jedem Seitenaufruf durch einen http-Header ein Signal an die angefragte Webseite sendet, dass der Anwender nicht „getrackt“ werden möchte. Bisweilen mussten die Nutzer zur Verhinderung einer möglichen Erhebung und Speicherung ihrer Daten beispielsweise bestimmte Cookies auf den besuchten Webseiten deaktivieren, sich in Blacklists eintragen lassen oder einen Opt-out-Cookie setzen. Mit der DO-NOT-TRACK-Funktion hingegen muss der Nutzer künftig nur noch einmal tätig werden und den Browser entsprechend aktiveren. Gegenwärtig ist die Funktion in den Standardbrowsern Mozilla 4, Internet Explorer 9 sowie Safari 5.1 integriert.

Die tatsächliche Funktionalität des Verfahrens hängt jedoch maßgeblich davon ab, wie die Webseitenbetreiber und die Werbeindustrie die Vorgabe des Anwenders umsetzen. Ohne eine Partizipation der Webseitenbetreiber und der Werbeindustrie, ist die Funktion technisch wie praktisch nutzlos. Vorstellbar ist etwa, dass bestimmte Webseiten sich gegen Nutzer mit aktiviertem DO-NOT-TRACK wehren und ihrerseits die Seite nur mit der Aufforderung an den User zugänglich machen, die DO-NOT-TRACK-Funktion zu deaktivieren. Ebenfalls schutzlos steht der User einem verdeckten Tracking gegenüber, sei es mutwillig von dritter Seite oder allein deshalb, weil eine Überprüfung der Einhaltung der Aufforderung keine personalisierten Profile zu erstellen vom User kaum überprüfbar sein dürfte. Besonders Anbietern von Analysediensten, wie Google Analytics ist die Vorstellung eines flächendeckenden DO-NOT-TRACK-Einsatzes wohl ein Dorn im Auge, sind technische Auswertungen des Online-Traffics doch ihr täglich Brot. Technisch ist auch hier sicherlich eine Lösung denkbar, die eine rein statistische Erhebung von einer personalisierten Erhebung unterscheidet, jedoch bleibt hier ein (kostspieliges) Nachrüsten nicht aus. Ob das Amerika präferierte DO-NOT-TRACK-Verfahren einer gesetzlichen Verpflichtung der Anbieter zur Umsetzung dieses Anti-Tracking-Verfahrens hierzulande umsetzbar ist, bleibt vor dem Hintergrund der eingeschränkten Verantwortlichkeit der Webseitenbetreiber abzuwarten.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

No Comments

Nach den Diskussionen der vergangenen Monate über die die rechtliche (Un)Zulässigkeit des Facebook Like-Buttons (wir berichteten über die Abmahnungen, die Feststellung der Datenschutzbeauftragten und die Hintergründe), prüfe das Social Network Facebook laut dem Landesdatenschutzbeauftragten für Schleswig-Holstein – Thilo Weichert – angeblich, ob es für Schleswig-Holstein eine datenschutzrechtliche Sonderlösung einführen solle. Nach Angaben von Herrn Weichert, überlege Facebook, anhand der IP-Adresse den Standort der Nutzer zu ermitteln. Daten von Nutzern in Schleswig-Holstein sollten dann nicht zur weiteren Verarbeitung in die Konzernzentrale in den USA weitergeleitet werden. Das Schleswig-Holstein Magazin berichtete am Donnerstag, dass dies das Ergebnis eines Treffens von Herrn Weichert mit dem Europa-Repräsentanten des Internetportals, Richard Allan, in Kiel gewesen sei.

Eine solche Lösung wäre eine weltweit einmalige Ausnahme. Experten bezweifeln allerdings, dass man anhand der  IP-Adressen die Zugehörigkeit zu einem Bundesland einwandfrei festellen könne.

Das Social Network hat diese Darstellung aber bereits am heutigen Tag dementiert. Laut dem Firmensprecher von Facebook, sei Weichert durch Facebook nicht signalisiert worden, dass es eine Sonderregelung bei der Übermittlung von Nutzerdaten geben werde.

Weichert hatte in den vergangenen Monaten sowohl den Like-Button moniert als auch Webseitenbertreiber in Schleswig-Holstein unter Androhung von Bußgeldern aufgefordert, den Like-Button aus Facebook aus ihrem Angebot zu entfernen (wir berichteten dazu hier). Dieses Vorgehen des Datenschützers sorgte für zahlreiche Diskussionen und stieß teilweise auf Widerstand. Die IHK kündigte bereits an, seinen Forderungen nicht nachzugeben und es notfalls auf ein Verfahren ankommen zu lassen. Sogar den Kieler Landtag beschäftigte sich mit dem Verhalten des Landesdatenschutzbeauftragen. Ministerpräsident Peter Harry Carstensen (CDU) rügte das Vorgehen des Datenschutzbeauftragten als kontraproduktiv.

No Comments

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

No Comments

In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. So wird Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz  in Kiel in dem Artikel wie folgt zitiert:

„Die öffentlichen Stellen bekommen jetzt die Gelegenheit, Stellung zu nehmen und gesetzeskonforme technische Lösungen vorzuschlagen, die uns vielleicht unbekannt sind“

Als hätten nicht schon einige andere über solche Lösungen nachgedacht…

Gemeinsam mit den staatlichen Stellen hat es zehn Unternehmen in Schleswig-Holstein erwischt. Anders als den staatlichen Stellen droht den Unternehmen jedoch ein Bußgeld.

4 Comments

Die bereits zuvor in diesem Blog dargestellte Diskussion um die rechtliche Zulässigkeit von Social-Plugins geht in die nächste Runde und nun bildet sich eine einheitliche Meinung der staatlichen Datenschützer aus:

Im Rahmen der 82. Konferenz der Datenschutzbeauftragten haben die Datenschützer Ende September festgestellt, dass die Einbindung sogenannter Social-Plugins, wie von Facebook, Google+, Twitter und anderen Plattformbetreibern, in die Webseiten deutscher Anbieter ohne hinreichende Information der User und ohne Einräumung eines Wahlrechtes nicht mit deutschen und europäischen Datenschutzstandards in Einklang stehen. Nach Auffassung der Datenschutzbeauftragten ist die “aktuelle von Social-Plugin-Anbietern vorgesehene Funktionsweise [...] unzulässig, wenn bereits durch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den „Gefällt-mir“-Knopf eine Übermittlung von Nutzendendaten in die USA ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind.”

Empfehlungen für Webseitenanbieter zur rechtskonformen Nutzung von Social-Plugins geben die Datenschützer nicht. Stattdessen fordern sie lediglich Anbieter sozialer Netzwerke auf, bereits in den vergangenen Jahren formulierte Datenschutzstandards umzusetzen.

3 Comments

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Anforderungen an einen beanstandungsfreien Betrieb

Wichtig ist, dass der Dienst keinesfalls nun per se bedenkenlos eingesetzt werden kann. Vielmehr ist ein kompliziert anmutendes Procedere vorab erforderlich.

Webseitenbetreiber, die Google Analytics einsetzen wollen, müssen mit Google Inc. einen Vertrag schriftlich (also mit Unterschrift auf Papier) abschließen. Dieser Vertrag beinhaltet im Kern folgende Punkte:

• ŸWebseitenbetreiber klären Nutzer ihrer Websites in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten durch Google Analytics auf und weisen auf eine Widerspruchsmöglichkeit hin. Den Widerspruch gegen die Erfassung personenbezogener Daten kann der Nutzer durch Betätigung eines Deaktivierungs-Add-On erklären.
• Webseitenbetreiber können durch Aktivierung der IP-Masken-Funktion die nachträgliche Identifizierung des Nutzers ausschließen. Die Funktion verhindert die standardmäßige Verwendung der vollen IP-Adresse der Nutzer bei Analyseerstellung, indem sie den letzten Bestandteil der IP-Adresse des jeweiligen Besuchers vor Verwendung und Speicherung entfernt.
• Webseitenbetreiber müssen die vorformulierte Datenschutzerklärung verwenden, welche auf die Kürzung der IP-Adresse hinweist. Die Anonymisierung ist auf den Geltungsbereich der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Nur in Ausnahmefällen erfolgt die Übertragung der vollen IP-Adresse an Google in den USA.
• Webseitenbetreiber gelten beim Umgang mit den Daten der Seitenbesucher als Auftraggeber und Google als Auftragsdatenverarbeiter im Sinne des BDSG (dazu im Folgenden mehr).

Bedeutung für Webseitenbetreiber

Durch die Unterzeichnung des Vertragstextes erteilen die Webseitenbetreiber also einen Auftrag zur Datenverarbeitung nach § 11 BDSG. Aber was bedeutet das eigentlich für sie?

Wichtigste Folge ist die fortgesetzte Pflicht des Auftraggebers, also des Webseitenbetreibers, den Auftragnehmer, also Google, regelmäßig auf die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Die Ergebnisse dieser Überprüfung muss der Webseitenbetreiber auch dokumentieren.

Die Idee mutet merkwürdig an, aber tatsächlich hat sich die Google, Inc. nun von jedem Seitenbetreiber, der Google Analytics einsetzt, regelmäßig überprüfen zu lassen. Google hat sich dazu ein Verfahren ausgedacht, wonach der Webseitenbetreiber vorformulierte schriftliche Ausführungen von einem Wirtschaftsprüfer erhält.

Webseitenanbieter sichern mit Vertragsschluss Google zu, die Google Analytics Nutzungsbedingungen einzuhalten. Wie sie u.a. der Bedingung nachkommen, die aus Analytics erhobenen Daten getrennt von anderen personenbezogenen Daten bereitzuhalten, bleibt allerdings ihrem eigenen technischen Know-how überlassen. Besonders vor dem Hintergrund, dass Webseitenbetreiber durch die Vertragsunterzeichnung eine Haftungsübernahme für sämtliche Schäden durch eine vertrags- bzw. gesetzeswidrige Nutzung der Daten erklären, ist den Webseitenbetreibern daher eine gewissenhafte und erfindungsreiche Befolgung der Nutzungsbedingungen anzuraten.

Schließlich nimmt sich Google das Recht heraus, die derzeit kostenlose Nutzung des Dienstes, von „Zeit zu Zeit“ einseitig ändern zu dürfen. Ratsam ist es daher, von „Zeit zu Zeit“ auch die Webseite http://www.google.com/analytics auf eine Änderung der Zahlungsbedingungen zu checken. Ein fortgesetzter Gebrauch des Dienstes durch den Webseitenbetreiber nach einer Bekanntgabe neuer Zahlungsmodalitäten auf der Webseite gilt nämlich als Annahme der Änderungen.

Fazit

Google Analytics ist nutzbar. Irgendwie, und jedenfalls nicht einfach so, sondern mit einem irritierenden Aufwand.

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen.

Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Weder der Datenschutz, noch die Webseitenbetreiber, noch Google selbst dürften über die Lösung jubeln. Allenfalls für Datenschutzexperten ist schließlich der Weg über eine sog. Auftragsdatenverarbeitung mit einem in den USA beheimateten Unternehmen interessant. Denn zwar kann ein solcher Vertrag durchaus weltweit abgeschlossen werden. Aber die typischerweise mit dem Vertragsschluss bezweckte Regelung der Verantwortlichkeit ist nur innerhalb von EU / EWR sinnvoll.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

4 Comments

Nachdem das ULD seine Pressemitteilung mitsamt dem zugehörigen Arbeitspapier veröffentlichte, weht vom Norden her eine kühle Datenschutzbrise durch das gesamte Bundesgebiet, deren Ausläufer sogar das südliche Bayern erreichen

Reaktionen weiterer Datenschutzbeauftragter

Mittlerweile hat sich der Landesbeauftragte für den Datenschutz in Niedersachen öffentlich der Ansicht des nördlichen Nachbarn angeschlossen  Auf seiner Homepage veröffentlichte er „Informationen für Webseitenanbieter mit Sitz in Niedersachen“, in denen er auf die datenschutzrechtlichen Verstöße hinweist, die sich „allein aus der Verwendung eines Facebook Like-It-Buttons“ auf der Anbieterwebseite ergeben können. Gleichzeitig betont der niedersächsische Landesbeauftragte, dass nicht Ziel des Datenschutzes ist, Social PlugIns generell zu verbieten, jedoch appelliert er an die Beachtung des Grundsatzes der Datensparsamkeit und der Verantwortung der Webseitenbetreiber, die für eine Entfernung sprechen.

Ähnliche Töne sind auch aus den von Niedersachen eingeschlossenen Staatstaaten zu vernehmen. So äußerte sich die Datenschutzbeauftragte des Landes Bremen in einem Interview mit Radio Bremen, dass sie sich „wünschen“ würde, „dass Bremen bei sozialen Netzwerk Facebook aussteigt“ oder alternative technische Lösungen gesucht werden, die den Verbleib mit dem Datenschutz konform machen. Konkrete Handlungsanweisungen an die Webseitenbetreiber wurden aber nicht veröffentlicht, vielmehr soll das weitere Vorgehen erst nach einer Analyse mit der Bremer Finanzbehörde erfolgen und anschließend bekannt gegeben werden.

Auch Hamburgs Datenschutzbeauftragter erklärte gegenüber der “Welt”, dass er empfiehlt, von offiziellen Webseiten wie hamburg.de sowie von den Hamburger Senatswebseiten entsprechende Social-Network-PlugIns zu entfernen. „Von den öffentlichen Stellen erwartet man die Einhaltung gesetzlicher Vorschriften“, so der Datenschutzbeauftragte. Ganz anschließen will sich der Hamburger Datenschutzbeauftragte den Vorreitern aus Schleswig-Holstein, die in jedem Fall einen datenschutzrechtlichen Verstoß in der Funktion solcher Symbole sehen, scheinbar nicht. Die Herausnahme der Buttons soll erst einmal so lange andauern, wie die datenschutzrechtliche Konstellation nicht geklärt ist. Zum gegenwärtigen Zeitpunkt ist ein entsprechendes Facebook,und Twitter-PlugIn auf der Homepage des offiziellen hamburg.de Portals weiterhin vorhanden.

Auch Abseits des kühlen Nordens schließen sich weitere Landesdatenschutzbeauftragte einer Entfernung von entsprechenden Fanpages staatlicher Stellen auf Facebook sowie der Like-It-Buttons, an. Bereits kurz nach der Bekanntgabe der Ergebnisse des ULD veröffentlichte der Landesdatenschutzbeauftragte des Landes Rheinland-Pfalz eine Pressemitteilung, in der er sich der Ansicht des ULD anschließt, wonach bestimmte Funktionen von Facebook gegen geltendes Datenschutzrecht nach dem TMG und dem Bundesdatenschutzgesetz verstoßen. Zwar stellte der Datenschutzbeauftragte in einer Untersuchung fest, dass nur wenige öffentliche Stellen des Landes Rheinland-Pfalz tatsächlich eine Fanpage bei Facebook betreiben oder Social-PlugIns wie den „Gefällt mir-Button“ auf ihren Webseiten einsetzen, jedoch wird er dennoch mit den Webseitenbetreibern in Kontakt treten, um die Internetauftritte „datenschutzkonform“ zu gestalten. In Rheinland-Pfalz beschränkt sich die Debatte nicht allein auf das eigentlich zuständige Datenschutzressort. So hatte nahezu parallel auch der rheinland-pfälzische Justiz- und Verbraucherminister eingelenkt und den Bund aufgefordert, den Datenschutz in sozialen Netzwerken zu verbessern. „Eine Stärkung des Datenschutzes und der Privatsphäre von Nutzerinnen und Nutzern sozialer Netzwerke im Internet ist dringend notwendig. Es ist zwar richtig, dass zum Beispiel ein Unternehmen wie Facebook seinen Sitz in Irland hat, aber deswegen lediglich darauf zu verweisen, man habe keine rechtliche Handhabe und hoffe auf eine europäische Regelung scheint mir doch zu kurz gefasst. Selbstverständlich ist die Bundesregierung in der Bringschuld bei dieser Frage“, so der Minister.

Einem aktuellen Beitrag des Fachmagazin Werben und Verkaufen (w&v Nr. 34/2011, S. 8 ) zur Folge, soll auch der Datenschutzbeauftragte Mecklenburg-Vorpommerns in die Debatte eingelenkt haben und sich ebenfalls für die Herangehensweise des ULD ausgesprochen haben. Das Magazin führt indes auch an, dass die verbleibenden Bundesländer, wie Brandenburg, Baden Württemberg und Nordrhein-Westfalen das Thema für „relevant“ halten, vorerst aber noch die Ergebnisse des ULD überprüfen möchten. Entsprechende offizielle Mitteilungen sind den Webseiten der jeweiligen Landesdatenschutzbeauftragten allerdings nicht zu entnehmen.

Im gleichen Zuge soll auch der Bundesdatenschutzbeauftragte Peter Schaar gegenüber w&r geäußert haben, dass er den Vorstoß des ULD begrüße und Folgen der Erkenntnisse für das eigene Zuständigkeitsgebiet prüfe.

Eine zurückhaltende Stimmung ist indes aus dem Freistaat Bayern zu vernehmen. Aus einem Interview des Präsidenten des bayrischen Landesamts für Datenschutzaufsicht Thomas Kranig mit internetworld.de geht hervor, dass die bayrischen Webanbieter vorerst keine Sanktionen für das beibehalten eines Like-It-Buttons auf ihren Portalen fürchten müssen. „Wir vom Bayerischen Landesamt für Datenschutzaufsicht halten an dem Vorgehen fest, mit den anderen Aufsichtsbehörden Argumente auszutauschen und zu versuchen, zu einer gemeinsamen Lösung zu kommen. (…) Wenn wir zu dem Ergebnis kommen, dass wir den Gefällt-mir-Button für rechtswidrig halten, bedeutet das für uns auch, dass wir etwas dagegen unternehmen.“

Die übrigen Bundesländer enthalten sich bislang der Debatte. Die Ende September angesetzte Datenschutzkonferenz bleibt folglich abzuwarten.

Rechtliche Debatte

Die durch das Arbeitspapier des ULD vorgenommene Bewertung der Rechtswidrigkeit des Like-It-Buttons sieht sich seither auch rechtlicher Kritik gegenüber. Kollege Härting nahm die Stellungnahme des ULD zum Anlass, die Vorgehensweise und rechtliche Bewertung des ULD zu würdigen. Härting kommt zu dem Schluss, dass einerseits schon die Ergebnisse des Arbeitspapiers Grund zum Zweifeln geben, da sie sich der rechtlich umstrittenen Debatte um die „Personenbezogenheit der „IP-Adresse“ gänzlich entziehen. Ob durch die Übermittlung der IP-Adresse tatsächlich personenbezogene Daten bezogen werden und Rückschlüsse auf den Anwender erlauben, sei aber eine zentrale Frage bei der Überprüfung der datenschutzrechtlichen Zulässigkeit der Like-It-Buttons. Andererseits geht Härting auch mit der Art und Weise, wie das ULD mit den Ergebnissen und der Konsequenzen an die Öffentlichkeit getreten ist, streng ins Gericht und wertet die öffentliche Aufforderung an die Unternehmen den Like-It-Button zu entfernen als ungerechtfertigten Eingriffs in Art. 12 Abs. 1 GG und damit als  verfassungswidrig. Auch prangert Härting, ebenso wie der Kieler Kollege Strunk (hoffentlich trifft ihn nicht die “Rache” des ULD), die vorgenommene Bußgeldandrohung an und verweist das ULD auf § 43 BDSG als richtige Rechtsgrundlage für derartige öffentliche Androhungen. Der hingegen vom ULD verwendete § 16 TMG sei in Schleswig-Holstein gemäß § 38 Abs. 6 Medienstaatsvertrages Hamburg/Schleswig-Holstein (MedienStV) der Landesmedienanstalt vorbehalten. Angeregt durch diese Debatte, hat das ULD mittlerweile eine Stellungnahme veröffentlicht, welche die Zuständigkeitsrüge als „rechtsirrig“ abweist. Danach liege in Schleswig Holstein die Sonderkonstellation vor, dass für die Verfolgung von Ordnungswidrigkeiten nach § 16 TMG eine geteilte Zuständigkeit bestehe. Soweit es sich um Verstöße handelt, die originär dem Innenministerium zuzuordnen sind, hat das ULD gem. § 45 Abs. 1 LDSG-SH alle „der Datenschutzaufsichtsbehörde im Innenministerium obliegenden Aufgaben“ übernommen, somit auch die vorliegende Konstellation und kann Bußgelder nach § 16 TMG androhen.

Weitere interessante Beiträge, die sich mit der Richtigkeit der datenschutzrechtlichen Bedenken der „Gefällt mir“-Buttons beschäftigen und zu übereinstimmenden Ergebnissen bezüglich einer Verneinung einer pauschalen Unzulässigkeit gelangen, sind u.a. der Beitrag des Mainzer Kollegen S. Schmidt sowie die rechtliche Auseinandersetzung mit dem Thema von Dipl. Jur. Jens Ferner.

Der Rüge einer verfassungsrechtlich bedenklichen Vorgehensweise des ULD durch öffentliche die Aufforderung der Webseitenanbieter zur Entfernung der Like-It-Buttons hält, wie auch von Rechtsanwalt Stadler angeführt, der Interessenverband Digitale Gesellschaft“ provokant gegen. Danach sei, dass das ULD nicht direkt an Facebook herantreten kann, ein „Verschulden der Politik. (…) Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus“.

Erste Lösungsansätze

Es war nur eine Frage der Zeit, wann auch technische Lösungsansätze der angeblichen datenschutzrechtlichen Like-It-Button-Problematik entgegentreten. So befürwortet Jens Ferner den ZusatzPlugin. Dieser stellt eine zusätzliche Hürde dar, und „aktiviert“ den Facebook-Like-It-Button erst nach dem Klick auf eine entsprechende Einwilligung durch den Anwender. Durch die zusätzliche Einwilligung mache der Nutzer deutlich, dass er der Weiterleitung seiner personenbezogenen Daten zustimme. Eine neuerliche Aufruhr bekommt die Diskussion durch die Idee von heise-online. Das Portal entwickelte eine „2-Klicks für mehr Datenschutz“ Initiative. Danach bietet heise-online, anstelle der üblichen Like-It-Buttons, erstmals nur „deaktivierte“ Buttons an, die für sich genommen nur optische Symbole ohne Verbindung zu den ihnen zugeordneten Servern von Facebook & Co darstellen. Das sich anschließende zweistufige Klicksystem, basiert darauf, dass der Anwender diesen Button durch den ersten Klick aktiviert und damit seine Zustimmung zur Kommunikation und Datenweitergabe des hinter dem Button stehenden Servers, bspw. Facebook gibt, Anschließend kann der Anwender mit einem zweiten Klick seine „Empfehlung“ übermitteln. Die so erfolgte Zustimmung zur Datenübermittlung ist nur für die jeweilige Webseite auf der sich der Nutzer befindet bindend und nur für den angewählten Dienst. Beim Aufruf weiterer heise-online-Webseiten erscheint wieder ein deaktivierter Button. „So kann man die sozialen Netze nutzen, ohne dass diese gleich komplette Surf-Profile erstellen können“, so die Beschreibung der Funktionsweise. Heise-online weist ergänzend darauf hin, dass auch die Möglichkeit einer dauerhaften Einwilligung in die Datenübermittlung zu einem bestimmten Netzwerk besteht. Durch das Setzen eines entsprechenden Häkchens, welches sich unterhalb der Einstellungen (erkennbar an einen Zahlenradsymbol) befindet, kann die Deaktivierung des Like-It-Buttons aufgelöst werden. Der ausgewählte Button ist dann immer direkt aktiv, solange der Anwender die Aktivierung innerhalb der Einstellungen nicht wieder selbst deaktiviert.

Ob die Lösungsansätze tatsächlich eine vermeintliche Vereinbarkeit des Like-It-Buttons mit dem Datenschutz herstellen können und ob dieses überhaupt notwendig ist, bleibt folglich abzuwarten. Fakt ist, dass das 2-Klick-System bei den Verantwortlichen von Facebook zunächst auf negative Resonanz gestoßen ist. Facebook ist zunächst mit einer Beschwerde aufgrund eines angeblichen Verstoßes gegen die Plattform Polices an heise-online herangetreten. Infolgedessen hat heise-online das Design des zuerst anzuklickenden „deaktivierten“ Buttons verändert und diesen optisch vom Original des Facebook-Buttons abgehoben. Dadurch tue dieser nicht mehr, wie von Facebook gerügt, so als sei er einer, ohne tatsächlich einer zu sein.

Und wie reagiert Facebook?

Facebook veröffentlichte am Freitag eine technische Lösung, die es mit dem Browser Chrome ermöglicht, jede beliebige Website zu liken, ohne dass ein “Like-Button” auf der Website vorgesehen sein muss… Darüber hinaus weiß das Landesblog, dass Facebook eine Einladung des Innen- und Rechtsausschuss des schleswig-holsteinischen Landtages angenommen hat, um am 7. September gemeinsam mit den Parlamentariern über die aufgeworfenen Datenschutzfragen zu diskutieren.

Was bleibt ist also eine zähe Diskussion…wir bleiben dran!

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

3 Comments