facebook, Datenschutz, Bußgelder und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein

Heute schwappt wieder eine heiße Diskussionswelle über das Internet, die sich aus einer Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein und den von dort festgestellten technischen Umsetzungen der Datenweitergabe bei facebook ergibt.

Hier ist der Link zu der Pressemitteilung:

https://www.datenschutzzentrum.de/presse/20110819-facebook.htm

Hier ist der Link zur den Ergebnissen der rund 25-seitigen Reichweitenanalyse nebst technischen Ausführungen:

https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf

Kernthema ist der Datenschutz und die Weiterleitung der Daten ohne ausreichende Datenschutzerklärung und rechtliche Grundlagen durch fb. Das Landeszentrum fordert alle Webseitenbetreiber in Schleswig Holstein auf, ihre Aktivitäten bei fb in der Form zu beenden, daß die Fanseiten bei fb entfernt und keinerlei social plugins wie der „gefällt mir“-Button mehr verwendet werden.

Gleichzeitig werden Bußgeldverfahren wegen Verstoßes der Seitenbetreiber gegen Datenschutzgesetze angekündigt.

Es wird sich zeigen, was aus derartigen Aufrufen und Verfahren wird.

Sicherlich ist richtig, daß das Procedere bei fb – wenn ich die Feststellungen des Landeszentrums als richtig unterstelle – nicht den deutschen Datenschutzgesetzen entspricht. Gleichzeitig ist richtig, daß derjenige, der seine Informationen dort einstellt und verbreitet, ggfs. gegen die Datenschutzgesetze verstoßen kann.

Allerdings kann das Problem m.E. nicht ganz so grobschlächtig betrachtet werden, wie es sich aus der  Presseerklärung ergibt. Mit meinen eigenen personenbezogenen Daten kann ich letztlich tun und lassen, was ich möchte und ich kann bewußt in Kauf nehmen, daß meine Daten krakenartig verteilt und für zwei Jahre getrackt sowie detaillierte Profile über mich erstellt werden.

Problematisch dürfte es aber sein, wenn es sich nicht nur um meine Daten handelt, sondern um Firmendaten, Mitarbeiterbilder etc. sowie unangekündigt weitergeleitete Daten, zumal die Datenschutzhinweise von fb, denen ich mich als Teilnehmer unterwerfe, soweit sie gesetzmäßig sind, das von fb tatsächlich gehandhabte Procedere nicht decken und Einwilligungserklärungen nicht ausreichend vorsehen.

Das Landeszentrum verweist darauf, daß Webseitenbetreiber, die das „gefällt mir“ plugin verwenden u.a. nach § 38 Absatz 5 BDSG belangt werden können, wenn sie jetzt nicht reagieren. § 38 Abs 5 BDSG besagt:

„(5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.“

Die Vorschrift bezieht sich also auf das Erheben, Verarbeiten und Nutzen personenbezogener Daten.

Es wird daher – sicher gerichtlich – zu klären sein, ob derjenige, der bei fb eine Fanseite betreibt, bereits belangt werden kann, denn anderenfalls wäre Ansprechpartner derartiger Verstöße nicht der Fanseitenbetreiber, sondern fb, welches die Daten erhebt und weiterverarbeitet!

Das „Erheben etc“ über den „gefällt mir“-Button wäre ebenfalls sauber zu definieren und in seine technischen Einzelheiten zu zerlegen. Dasselbe gilt für das „Nutzen“. Man wird aber aufgrund der Feststellungen des ULD davon ausgehen dürfen, daß die gesetzlichen Voraussetzungen des datenschutzes nicht eingehalten werden. Bedenkt man, welche Daten – einschließlich der IP – an facebook weitergeleitet werden, selbst wenn man den Button nicht anklickt, sondern lediglich die Seite aufruft, auf der der Button irgendwo integriert ist, könnte ein Verstoß recht einfach bejaht werden, wenn eine vorherige Einwilligung des Nutzers nicht vorliegt.

Ob das Landeszentrum wirklich gegen fb vorgehen wird, wage ich – ehrlich gesagt – zu bezweifeln. Mangels gerichtsfesten Sitzes in Deutschland wird das Landeszentrum diesen Weg vermutlich nicht beschreiten, weil er ausgesprochen mühsam ins Ausland führt.

Schade eigentlich – das wäre doch einmal die Chance einer Klärung der Anwendung deutscher Datenschutzbestimmungen durch diese Unternehmen mit Hauptsitz in den USA und gffs. auch der Frage, inwieweit das deutsche Datenschutzrecht realistischerweise auf derartige Plattformen angewendet werden wird.

Schade auch, daß für diese Streitigkeiten jetzt die Webseitenbetreiber herhalten und zu Grundsatzentscheidungen führen sollen.

Vor allem bleibt abzuwarten, ob sich andere Bundesländer den Aufrufen anschließen, oder es sich irgendwann bei Schleswig Holstein um eine fb-lose Enklave handelt. Wie verhält es sich dann mit außerhalb Schleswig-Holsteins ansässigen Seitenbetreibern, auf deren Seiten in SH zugegriffen werden kann? Datenschutzverstoß auf SH-Boden? Bußgeldverfahren?

Fragen über Fragen.

Grundsätzlich finde ich es völlig richtig, daß die Datenschutzbeauftragten derartige Sachlagen prüfen und ggfs. auch eine Reaktion zeigen, wenn gegen gesetzliche Bestimmungen verstoßen wird.

Ich selber möchte nicht, daß mit meinen Daten ohne meine Kenntnis umfangreiche Weiterverarbeitung betrieben wird, über die man mich in den Datenschutzhinweisen völlig im Unklaren läßt.

Andererseits: die Polizei Niedersachsen sucht über fb offoziell nach Straftätern und führt Zeugenaufrufe durch.

Wie verträgt sich das mit den obigen Ausführungen? Welche Daten gehen davon über den großen Teich? Welche Profile erstellt fb aus den Informationen dieser Zeugenaufrufe?

Anläßlich solch undfifferenzierter Betrachtung sollte sich der Gesetzgeber an die Arbeit machen, die Gesetze entweder anpassen oder aber dafür Soprge tragen, daß sie von Plattformbetreiber wie fb eingehalten werden und nicht der „kleine Webseitenbetreiber“ mit dem Plugin durch die Spießruten der Behörden getrieben wird.

Aber ich gebe zu: ich bin da zwiespältig.

Normalerweise verurteile ich auch den Dieb und nicht denjenigen, der versehentlich seine Haustür nicht vor Einbruch geschützt hat.

Jedenfalls kann derzeit eine Verwendung des „gefällt mir“-Buttons nicht guten Gewissens empfohlen werden.