Im sogenannten „Düsseldorfer Kreis“ kommen die obersten Aufsichtsbehörden für den Datenschutz regelmässig zusammen und besprechen bzw. beschließen gemeinsame Linien bezüglich datenschutzrechtlicher Themen.
Vom gestrigen Tag stammt ein aktueller Beschluss, der sich nicht nur mit den datenschutzrechtlichen Anforderungen für Soziale Netzwerke auseinandersetzt, sondern auch bezüglich der (Un-)zulässigkeit der Einbindung von sogenannten Social Plugins, wie dem Facebook Like Button Stellung bezieht.
I. Feststellungen des Beschlusses
Der nachfolgende Auszug aus dem Beschluss stellt dazu fest (Hervorhebungen von mir):
Betreiber von sozialen Netzwerken müssen insbesondere folgende Rechtmäßigkeitsanforderungen beachten, wenn sie in Deutschland aktiv sind:
? Es muss eine leicht zugängliche und verständliche Information darüber gegeben werden, welche Daten erhoben und für welche Zwecke verarbeitet werden. Denn nur eine größtmögliche Transparenz bei Abschluss des Vertrags über eine Mitgliedschaft bzw. informierte Einwilligungen gewährleisten die Wahrung des Rechts auf informationelle Selbstbestimmung. Die Voreinstellungen des Netzwerkes müssen auf dem Einwilligungsprinzip beruhen, jedenfalls soweit nicht der Zweck der Mitgliedschaft eine Angabe von Daten zwingend voraussetzt. Eine Datenverarbeitung zunächst zu beginnen und nur eine Widerspruchsmöglichkeit in den Voreinstellungen zu ermöglichen, ist nicht gesetzmäßig.
? Es muss eine einfache Möglichkeit für Betroffene geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung von Daten geltend zu machen. Grundvoraussetzung hierfür ist die Angabe von entsprechenden Kontaktdaten an leicht auffindbarer Stelle, damit die Betroffenen wissen, wohin sie sich wenden können.
? Die Verwertung von Fotos für Zwecke der Gesichtserkennung und das Speichern und Verwenden von biometrischen Gesichtserkennungsmerkmalen sind ohne ausdrückliche und bestätigte Einwilligung der abgebildeten Person unzulässig.
? Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. Es enthält im Hinblick auf Nutzungsdaten – soweit keine Einwilligung vorliegt – ein Verbot der personenbeziehbaren Profilbildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen.
? Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
? Die großen Mengen an teils auch sehr sensiblen Daten, die in sozialen Netzwerken anfallen, sind durch geeignete technisch-organisatorische Maßnahmen zu schützen. Anbieter müssen nachweisen können, dass sie solche Maßnahmen getroffen haben.
? Daten von Minderjährigen sind besonders zu schützen. Datenschutzfreundlichen Standardeinstellungen kommt im Zusammenhang mit dem Minderjährigenschutz besondere Bedeutung zu. Informationen über die Verarbeitung von Daten müssen auf den Empfängerhorizont von Minderjährigen Rücksicht nehmen und also auch für diese leicht verständlich sein.
? Betreiber, die außerhalb des Europäischen Wirtschaftsraumes ansässig sind, müssen gemäß § 1 Abs. 5 Satz 3 BDSG einen Inlandsvertreter bestellen, der Ansprechperson für die Datenschutzaufsicht ist.
In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.
Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.
II. Bewertung und Folgen des Beschlusses
Die Ausführungen zur Einbindung von Social Plugins sind eine konsequente Fortsetzung der Rechtsauffassung der Datenschutzbehörden aus Schleswig Holstein, die vor kurzem einigen Wirbel ausgelöst haben. Der Beschluss deutet – wie schon prognostiziert – darauf hin, dass sich die Datenschutzbehörden der anderen Länder der Einschätzung des ULD zur (Un-)zulässigkeit der Einbindung von Social Plugins anschließen.Zahlreiche Feststellungen, wie die Notwendigkeit Webseitenbesucher über die Datenverarbeitung aufzuklären und ggfls. vorher deren Zustimmung zur entsprechenden Datenverwendung einzuholen (Opt-In), ergeben sich – die Richtigkeit der Verantwortlichkeit des Webseitenbetreibers für die Datenverarbeitung durch die Plugin-Einbindung ausgelöste Datenverarbeitung vorausgesetzt – unmittelbar aus dem Gesetz.
Auch wenn Privatpersonen und Unternehmen sich nun nachhaltig über die Konformität der Einbindung von Social Plugins Gedanken machen sollten, ist wohl nicht zu befürchten, dass die Datenschutzbehörden aller Orten Bussgelder aussprechen. Vorerst wird man wohl erst einmal weiter aufklären und möglicherweise „Warnschreiben“ versenden. Vor einer nachhaltigen Durchsetzung möchten die Datenschutzbehörden der Länder – nach meinem Kenntnisstand – zunächst einmal eine gerichtliche Klärung der datenschutzrechtlichen Verantwortlichkeit für Social Plugins abwarten. Insofern wird wohl bald (wahrscheinlich in Schleswig-Holstein) ein Musterprozess geführt werden, der dann hoffentlich ein wenig mehr Rechtssicherheit bringt.
Fraglos „fahren“ die Datenschutzbehörden hier eine harte Linie. Wenn man sich aber aus technischer und/oder rechtlicher Sicht mit dem Phänomen der Social Plugins beschäftigt, so lässt sich der Hintergrund der Diskussion nicht ganz von der Hand weisen. Wer fremde Werkzeuge auf der eigenen Webseite einbindet, sollte schon wissen, was diese Werkzeuge mit den Daten der eigenen Webseitenbesucher tun. Das ist oft schon nicht der Fall. Diesbezüglich sagt der oben stehende Beschluß sehr klar: „Wenn Sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“
Es ist nach meiner Auffassung eine Frage von Transparenz gegenüber meinen Webseitenbesuchern (bzw. Kunden), dass diese wissen, wie und ob Daten von ihnen bei einem Besuch auf meiner Webseite verarbeitet bzw. vielleicht sogar weitergegeben werden. Menschen mit entsprechendem IT-Sachverstand berichten mir, dass solche Plugins – gerade auch perspektivisch – noch einiges an weiteren datenschutzrechtlich relevanten Funktionalitäten enthalten können bzw. auch werden.
Auch wenn es sich bei den Daten, die z.B. der Like Button verarbeitet und an Facebook weitergibt, (noch) um relativ triviale Daten handelt, halte ich es für nachvollziehbar, diese Diskussion nun anzustossen. Wenn die Datenschutzbehörden ihrer Aufgabe nachkommen sollen, für die Einhaltung des Datenschutzrechts in Deutschland zu sorgen, müssen diese Behörden in Ansehung der gestzlichen Grundlagen im Bundesdatenschutzgesetz (BDSG) bzw. dem Telemediengesetz (TMG) wahrscheinlich sogar aktiv werden.
Zweifellos muss das deutsche Datenschutzrecht im Hinblick auf die Chancen, aber auch die Herausforderungen des Internet dringend überarbeitet werden. Tatsächlich scheint ja auf europäischer Ebene etwas auf den Weg zu sein. Auch zukünftige gesetzliche Regelungen werden jedoch eine im Hinblick auf die nötige Transparenz richtigerweise erforderliche Aufklärung über die konkrete Datenverarbeitung als zentralen Bestandteil ansehen. Im Sinne eines „Stufensystems“ wird dann sinnvollerweise festzulegen sein, welche Daten so sensibel sind, dass der Betroffene zustimmen muss. Für andere Daten hingegen sollte eine einfacher Datenschutzhinweis ohne Zustimmungsvorbehalt ausreichen bzw. die Datenverarbeitung „einfach so“ zulässig sein.
Ein sinnvoller Ausgleich zwischen dem im Grundsatz sicher nachvollziehbaren Recht auf informationelle Selbstbestimmung und notwendigen und spannenden Anwendungsszenarien des Internet, brauchen eine interessengerechte Abwägung beider entgegenstehender Positionen. Im Hinblick darauf verbieten sich meiner Meinung nach extreme Positionen a la „Post-Privacy“, ebenso wie zu weit gehende Einschränkungen für simple Datenverarbeitungen, die dem Internet teilweise systemimmanent sind. Bis zu einer entsprechend ausgewogene rechtlichen Grundlage ist es aber wohl noch ein Stück des Weges…
Selbst wenn man natürlich diskutieren kann, ob die aktuelle Auseinandersetzung nicht besser direkt mit Facebook geführt werden sollte, statt allein die Webseitenbetreiber zu benachteiligen, ist die Wahrnehmung dieses Themas im Rahmen einer breiteren Öffentlichkeit zumindest schon einmal ein wichtiger Schritt.
Bis zur Klärung sollten betroffene Webseitenbetreiber sich Gedanken machen, wie mit dem Thema umgegangen wird. Denkbare Wege habe ich bereits in dem Beitrag „Datenschutzkonforme Nutzung von Google Analytics nun (auch nach Auffassung der Datenschutzbehörden) möglich und die Erkenntnisse für den Facebook Like Button“ aufgezeigt.
Hallo Herr Dr. Ulbricht,
ich denke, die problematischere Diskussion wird aktuell darüber geführt, ob Behörden/Unternehmen ihre Fanpages wegen der datenschutzrechlichen Bedenken abschalten müssen (auf den Like-Button kann m.E. leichter verzichten). Können Sie Ihre Bewertung des nun vorliegenden Beschlusses auf dieses Thema ausweiten? Das wäre schön…
Beste Grüße
Claus Arndt
Die Gesetzgebung hinkt der Realität hinterher und konterkariert den Sinn von Social Media.
Datenschutz muss auch realisierbar u. sinnvoll sein! Das Sicherheitsdenken wird – wie so oft in Deutschland – übertrieben. Internetnutzung geht nicht ohne Datenaustausch.
Unzumutbare Belästigung und Datenmissbrauch sollen vermieden werden. Gleichzeitig nimmt die Belästigung per Telefon, Onlineanzeigen und E-Mail-Spam durch Anbieter, die keine Einwilligung seitens der Empfänger haben, seit des angeblich verbesserten Daten- und Verbraucherschutzes eher noch zu.
Where the focus goes, the energy flows.
Einfluss auf die Gestaltung ausländischer Netzwerke haben wir nicht. Aber wir sollen die Folgen der Nutzung tragen oder auf die Nutzung verzichten?
Im aktuellen Stadium der gewerblichen Social Media Nutzung ein Schlag ins Gesicht vieler budgetknapper Kleinunternehmer und ein Riesenschritt zurück ins kommunikationstechnische Mittelalter!