Mit Beschluss vom 14. Februar 2013 hat das VG Schleswig-Holstein entschieden, dass das deutsche Datenschutzrecht für die irische Facebook-Tochter, die das soziale Netzwerk in Europa betreibt, nicht gilt (Az. 8 B 60/12, Volltext).

Der als Hardliner bekannte Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hatte die Facebook Ireland Ltd. mit Sitz in Dublin per Bescheid angewiesen, Nutzerkonten freizuschalten, die Facebook wegen der Angabe falscher oder erfundener Namen und Profildaten gesperrt hatte. Nach den Nutzungsbedingungen von Facebook dürfen Profile nur unter dem echten Namen des jeweiligen Nutzers angelegt werden. In § 13 Abs. 6 des deutschen Telemediengesetzes (TMG) ist dagegen die Pflicht für Plattformbetreiber statuiert, eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, wenn dies zumutbar ist.

Gegen den Bescheid und die darin enthaltene Zwangsgeldandrohung hat Facebook geklagt und beantragt, die aufschiebende Wirkung der Klage anzuordnen bzw. wiederherzustellen. Über diesen Antrag hatte das VG Schleswig-Holstein zu entscheiden.

Es stellt lapidar fest:

Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung.

Nach § 1 Abs. 5 S. 1 BDSG, der auch für die Datenschutzvorschriften des TMG gilt,  findet deutsches Datenschutzrecht für Unternehmen, die ihren Sitz in anderen Mitgliedsstaaten der EU haben, nur dann Anwendung, wenn sie Daten durch eine Niederlassung im Inland erheben bzw. verarbeiten. Ist dies nicht der Fall, gilt das Datenschutzrecht des Sitzlandes.

Zwar gibt es eine Facebook Germany GmbH mit Sitz in Hamburg. Diese ist aber allein im Bereich der Akquise von Anzeigenkunden tätig und betreibt selbst nicht das soziale Netzwerk.

Der Standort der Server sei im Übrigen unerheblich, maßgeblich sei nur die tatsächliche Steuerung der Gesellschaft am Standort Dublin. Die Datenerhebung und -verarbeitung der Facebook Ireland Ltd. unterliegt damit, so die Richter, allein irischem Datenschutzrecht.

Den auf §§ 38 BDSG, 13 TMG gestützten Bescheid ordnet das VG Schleswig-Holstein aufgrund dieser Überprüfung im einstweiligen Rechtsschutz schon wegen der Nichtanwendbarkeit dieser Normen als rechtswidrig ein, so dass er auch schon vor dem endgültigen Urteil in der Sache nicht mehr vollstreckt werden kann.

Mit dem Beschluss, der die Rechtsauffassung des Gerichts deutlich erkennen lässt und daher schon eine Prognose ermöglicht, wie das Gericht im Hauptsacheverfahren wohl entscheiden wird, haben die Richter in erfreulich deutlicher Weise den Anwendungsbereich des deutschen Datenschutzrechts und dessen Grenzen im Hinblick auf die nationalen, aber letztlich durch Richtlinien weitgehend harmonisierten, Datenschutzrechten der übrigen EU-Mitgliedsstaaten klargestellt.

Offen bleibt dagegen die ebenfalls spannende Frage, ob es für ein soziales Netzwerk im Sinne des § 13 Abs. 6 TMG “zumutbar” ist, die anonyme oder pseudonyme Nutzung zu ermöglichen. Wenn der Sinn des Netzwerks die Kontaktpflege und Außendarstellung tatsächlich existierender Personen ist, könnte dies durchaus zu verneinen sein, insbesondere bei eher professionell orientierten Plattformen wie LinkedIn oder Xing. Eine ähnliche Frage haben wir schon vor einiger Zeit im Blog beleuchtet.

1 Comment

Erst kürzlich berichteten wir über die immer noch kontrovers diskutierte Frage, ob Cookies nur noch nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Den Stein des Anstoßes lieferte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, mit seiner jüngst geäußerten Auffassung, wonach die in der bislang hierzulande nicht umgesetzten Richtlinie 2009/136/EC (ePrivacy Directive) festgelegten europäischen Cookie-Regeln nunmehr unmittelbar anwendbar sein sollen. Der Wortlaut der Richtlinie spricht sich weitestgehend gegen einen Einsatz von Cookies ohne ausdrückliche Einwilligung der Nutzer aus.

In der Zwischenzeit hat die Art. 29 Datenschutzgruppe in ihrer erst am 7. Juni 2012 veröffentlichten Stellungnahme einen Leitfaden zur rechtskonformen Nutzung von Cookies nach der ePrivacy Directive erstellt. Während die Gruppe in der Vergangenheit bereits in zwei ihrer Stellungnahmen (WP 171 vom 22. Juni 2010 sowie WP 188 vom 8. Dezember 2011) detailliert die Voraussetzung einer erforderlichen Zustimmung bei der Nutzung von Cookies beleuchtet hat, nimmt sie nunmehr zu den Ausnahmen dieses Zustimmungserfordernisses ausführlich Stellung und gibt somit weitere Hilfestellungen im Umgang mit Cookies.

Im Einzelfall können Cookies demnach nicht nur für die Steuerung von Multimedia-Playern, Voreinstellungen (wie Spracheinstellungen o.ä.), Eingabedaten von Usern sowie zu Authentifizierungs- und Sicherheitszwecken eingesetzt, sondern auch zur Webanalyse ohne eine erforderliche Zustimmung der Nutzer verwendet werden.

Jedoch sollten zum Zwecke der Webanalyse nur solche Cookies eingesetzt werden, die keine Daten an Drittparteien übermitteln und lediglich rein statistischen Zwecken dienen. Die Nutzer sollen auch darüber aufgeklärt werden, wie die Daten genutzt werden (beispielsweise in einer Datenschutzerklärung). Auch soll der Einbau einer “Opt-out”-Möglichkeit einen datenschutzkonformen Einsatz ermöglichen. Als besonders wichtig wurde die Verwendung von umfangreichen Anonymisierungsmaßnahmen personenbezogener Daten – wie beispielsweise IP-Adressen – angesehen. Es könnte aber auch den datenschutzrechtlichen Vorgaben genügen, wenn die Anbieter nach Möglichkeit auf die Speicherung von personenbezogenen Informationen verzichten würden.

Für die Betreiber sozialer Netzwerke gibt es dagegen auch im Falle der direkten Geltung der ePrivacy Directive zunächst Entwarnung. Wenn sie nämlich die Ein- und Auslogprozesse ihrer Migtlieder überwachen wollen und die Nutzer vorher hierüber informieren, dürfen sie Cookies auch ohne vorherige Einwilligung der Nutzer setzten. Dies gilt jedoch nicht ohne Weiteres für “Social Plug-ins” Cookies, durch die das Surfverhalten von Nutzern in sozialen Netzwerken nachverfolgt werden kann und mit deren Hilfe eine Erfassung von Daten der Mitglieder und Nicht-Mitglieder möglich ist. Die Nutzung solcher Cookies bedarf einer ausdrücklichen vorherigen Einwilligung durch den Nutzer. Problematisch ist nach dem Leitfaden zudem die Nutzung von Cookies, mittels derer die Bewegungen von Nutzern über mehrere verschiedene Homepages im Web verfolgt oder personenbezogene Daten Dritter erfasst werden können.

Wir danken unserem wissenschaftlichen Mitarbeiter István Fancsik für die Mitarbeit an diesem Artikel.

No Comments

Seit längerer Zeit sorgt die ePrivacy-Richtlinie (Richtlinie 2009/236/EG, auch unter der Bezeichnung “Cookie-Richtlinie” bekannt) in Deutschland im Hinblick auf den datenschutzkonformen Einsatz von Cookies für Rechtsunsicherheit. Nach den Vorgaben der ePrivacy-Richtlinie müssen die

Mitgliedstaaten […] sicher[stellen], dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. (Hervorhebung von uns)

Nach deutschem Recht durften Cookies ohne personenbezogene Daten bislang völlig frei eingesetzt werden und Cookies mit personenbezogenen Daten ebenfalls, solange dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wurde. Dafür genügte es aber im Allgemeinen (mit Ausnahme von Flash Cookies), dass der Nutzer durch die Änderung seiner Browsereinstellungen das Setzen von Cookies verhindern konnte und der Cookie-Setzer den Nutzer darüber vorab (zum Beispiel in seiner Datenschutzerklärung) informierte.

Eine Einwilligung – wie sie die Richtlinie verlangt – muss aber vorab, das heißt vor dem Setzen des Cookies, eingeholt werden. Zudem soll dies für alle Arten von Cookies gelten, unabhängig davon, ob diese personenbezogene oder nicht-personenbezogene Daten enthalten.

Die ePrivacy-Richtlinie hätte bis Mai 2011 durch die Mitgliedsstaaten umgesetzt werden müssen. Bislang haben nur einige Mitgliedstaaten, zum Beispiel England und Frankreich, die Richtlinie tatsächlich umgesetzt. Deutschland ist noch nicht so weit. Die konkrete künftige gesetzliche Ausgestaltung ist noch völlig unklar. Daher rückte die Diskussion um den rechtskonformen Einsatz von Cookies zuletzt wieder etwas in den Hintergrund.

Auf dem 13. Datenschutzkongress am 8. und 9. Mai in Berlin bekam die Cookie-Diskussion aber neuen Zündstoff. Denn der Bundesbeauftragte für den Datenschutz, Peter Schaar, vertrat die Auffassung, dass die europäischen Cookie-Regeln hierzulande direkt anwendbar seien. Die entsprechende Klausel in der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009 sei “hinreichend bestimmt”, was bedeute, dass sie auch ohne Umsetzung in ein deutsches Gesetz der hiesigen Aufsichtspraxis zugrunde gelegt und von den Kontrollbehörden durchgesetzt werden könnte.

Diese Auffassung lässt sich durchaus nach europäischem Recht vertreten. Jedoch gelten Bestimmungen aus Richtlinien nach erfolglosem Ablauf der Umsetzungsfrist nur dann unmittelbar in den EU-Mitgliedsstaaten, wenn sie derart hinreichend bestimmt sind, dass sie ohne weiteres angewandt werden. Dies wird jedoch bei der Cookie-Regelung der ePrivacy-Richtlinie gerade kontrovers diskutiert. Nach wie vor ist unklar, wie die Umsetzung der Einwilligung in Cookies erfolgen kann. Die Mitgliedstaaten, welche die ePrivacy Richtlinie bislang ungesetzt haben, implementierten teilweise völlig unterschiedliche Anforderungen an die Einwilligung in den nationalen Gesetzen. Es bestehen daher durchaus Zweifel, ob die Cookie-Regelung der ePrivacy-Richtlinie tatsächlich hinreichend bestimmt ist.

Nur wenn eine hinreichende Bestimmtheit vorläge, gälte die Richtlinie direkt und deutsche Webseitenbetreiber müssten den Einsatz von Cookies von einer Einwilligung abhängig machen. Tipps zum Ausgestaltung des rechtskonformen Cookie-Einsatzes gibt die Art. 29 Datenschutzgruppe in einer Empfehlung.

Fazit

Durch die von dem Bundesbeauftragten für den Datenschutz vertretene Rechtsauffassung kommt neues Leben in die Diskussion. Würde er sich mit seiner Sichtweise durchsetzen bestünde akuter Handlungsbedarf für alle Websitebetreiber. Es gilt nun, den weiteren Verlauf der Diskussion sorgfältig zu verfolgen, um vorbereitet zu sein. Wir werden weiter darüber berichten.

No Comments

Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

3 Comments

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

• Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
• Anonymisierung der IP-Adressen durch das  _anonymizeIp()-Tool von Google
• Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
• Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
• Löschung von Altdaten (bestehende Google Analytics Profile).

No Comments

Um die (Störer-)Haftung von Sharehostern wird schon seit Längerem leidenschaftlich gestritten. Wer nicht Täter oder Teilnehmer einer Rechtsverletzung ist, kann nach deutschem Recht (nur) als “Störer” auf Unterlassung in Anspruch genommen werden – allerdings setzt diese Haftung eine Verletzung von Prüfpflichten voraus.

Der Umfang dieser Pflichten, und ob Sharehoster sie manchmal oder prinzipiell verletzen, wird von den Gerichten bisher sehr unterschiedlich beurteilt. Nach § 7 Abs. 2 TMG scheiden allgemeine Prüfpflichten aus – und “spezielle” Prüfpflichten, deren Rahmen die Rechtsprechung entwicklen muss, dürfen, so der BGH, nicht so streng sein, dass ein vom Gesetz gebilligtes Geschäftsmodell undurchführbar wird.

Streiten kann man sich also insbesondere darüber, ob Sharehoster überhaupt ein “vom Gesetz gebilligtes Geschäftsmodell” darstellen. Die Oberlandesgerichte Düsseldorf und Hamburg vertreten dazu nämlich gänzlich unterschiedliche Auffassungen. Während das OLG Hamburg in diversen Rapidshare-Entscheidungen durchblicken lässt, dass es Sharehoster am liebsten ganz verbieten will, hatte das OLG Düsseldorf (Urt. v. 27.4.2010, Az. I-20 U 166/09 – Volltext) bisher ein Herz für Sharehoster. Obwohl es ausdrücklich keine konkreten Daten dazu festgestellt hat, nimmt es Sharehoster gegen einen “Generalverdacht” in Schutz:

Die Hinweise, dass die Antragsgegnerin es darauf anlege, die Raubkopierszene zur Nutzung ihres Dienstes einzuladen, entspricht einem Generalverdacht gegen Sharehoster-Dienste und ihre Nutzer, der so nicht zu rechtfertigen ist. Solange daher die illegalen Nutzungszwecke nicht überwiegen oder von der Antragsgegnerin beworben werden und sich besonders das Inkaufnehmen durch die Antragsgegnerin, wie hier, nicht nachweisen lässt, ist ein Gehilfenvorsatz nicht anzunehmen.

Genau diese fatale Nähe zur Raubkopierer-Szene wird dem Portal Megaupload vorgeworfen. Die Rede ist davon, dass Einnahmen insbesondere mit Raubkopieren bzw. ”Downloadern” solcher Inhalte gemacht wurden, und dass die Betreiber darüber sehr genau Bescheid wussten.

Nach der ziemlich filmreifen Verhaftung des exzentrischen Betreibers zeigt sich die Sharehosting-Branche im Aufruhr. Viele Dienste haben ihre Nutzbarkeit deutlich eingeschränkt. Lag das OLG Düsseldorf mit seiner Einschätzung also mindestens teilweise daneben? Ein reines Gewissen, so viel steht fest, sieht anders aus.

Gegen ein weiteres, ähnlich begründetes Urteil des OLG Düsseldorf (Urt. v. 21.12.2010, Az. I-20 U 59/10 – Volltext) ist beim BGH eine Revision anhängig (Az.: I ZR 18/11). Auf den Ausgang darf man im Lichte dieser Ereignisse mehr denn je gespannt sein.

Auch in der Literatur wird vorgeschlagen, die Einordnung des Geschäftsmodells einer konkreten Plattform danach vorzunehmen, wie intensiv sie für rechtswidrige Handlungen ge-/missbraucht wird. Das macht das Leben auch für seriöse Anbieter von Speicherdiensten indes nicht einfacher: Zwar werden ihnen womöglich weniger intensive Prüfpflichten auferlegt. Allerdings müssten sie im Streitfall ihr Geschäftsmodell verteidigen, und dazu wiederum belastbare Daten über die missbräuchliche Nutzung erheben.

Für die Vorgänge auf seiner Plattform muss sich weiterhin jeder Anbieter interessieren. Es bleibt zu hoffen, dass das Urteil des BGH ein Mehr an Rechtssicherheit bringt.

1 Comment

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen,  da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

“Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.”

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

No Comments

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD - kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

No Comments

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

No Comments

In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. So wird Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz  in Kiel in dem Artikel wie folgt zitiert:

„Die öffentlichen Stellen bekommen jetzt die Gelegenheit, Stellung zu nehmen und gesetzeskonforme technische Lösungen vorzuschlagen, die uns vielleicht unbekannt sind“

Als hätten nicht schon einige andere über solche Lösungen nachgedacht…

Gemeinsam mit den staatlichen Stellen hat es zehn Unternehmen in Schleswig-Holstein erwischt. Anders als den staatlichen Stellen droht den Unternehmen jedoch ein Bußgeld.

4 Comments