Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein veröffentlichte kürzlich ein Arbeitspapier in dem es die Nutzung des „Gefällt mir“-Buttons von Facebook als rechtswidrig erklärt. politik-digital.de sprach mit dem Leiter des Landeszentrums Thilo Weichert.
Deutschen Datenschützern ist Facebook erneut ein Dorn im Auge. Nachdem Ende vergangenen Jahres bereits die Verbraucherzentrale klagte und erst kürzlich der Datenschutzbeauftragte Hamburgs Johannes Caspar das US-Unternehmen aufforderte, die automatische Gesichtserkennung einzustellen, will das ULD Schleswig-Holstein nun gegen den „Gefällt mir“ Button und Fan Pages vorgehen. Wir sprachen mit Thilo Weichert über die Argumentation der Datenschützer und gaben ihm die Möglichkeit sich zu krititschen Stimmen zu äußern.
Das kürzlich veröffentlichte Arbeitspapier des ULD Schleswig-Holstein trägt den Titel „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“. Was genau ist die Reichweitenanalyse?
Reichweitenanalysen geben Auskunft, wann welche Internetnutzer welche Webangebote wie lange genutzt haben, woher sie kamen und wohin sie weitersurften. Es geht also um eine Nutzungsanalyse für Webseitenbetreiber, mit der die eigene Seite optimiert und Werbung besser platziert werden kann.
Welche Verfahren nutzt Facebook für die Analyse des Nutzerverhaltens? Welche Rolle spielen Social-Plugins und Browser Cookies?
Nach unseren Erkenntnissen nutzt Facebook zur Reichenweitenanalyse für Webseitenbetreiber und als Grundlage zum Verkauf von Werbung Cookies. Diese werden auf dem Rechner der Nutzenden gespeichert, wenn diese sogenannte Social-Plugins anklicken, wie z. B. den “Gefällt mir”-Button, auf Facebook-Fanpages gehen oder sonst über Facebook kommunizieren. Die Cookies auf dem eigenen Rechner erlauben Facebook, diesen Rechner bei Änderung der IP-Adresse wiederzuerkennen und den Profilen von Facebook-Mitgliedern zuzuordnen. Durch Browsereinstellungen ist es möglich Cookies abzulehnen. Cookies können auch nachträglich gelöscht werden.
Warum erachten Sie die obigen Analyseverfahren als rechtswidrig im Hinblick auf sowohl deutsches als auch europäisches Datenschutzrecht?
Das europäische und das deutsche Datenschutzrecht fordern, dass beim Setzen von Cookies zur Profilbildung die Betroffenen hierüber informiert werden und ihnen eine aktive Wahlmöglichkeit gegeben wird, ja dass sie hierfür eine Einwilligung erteilen. Diese Informationen und Optionen werden von Facebook nicht angeboten.
Zu welchen rechtlichen Forderungen kommen sie auf Grund der Ergebnisse des Arbeitspapiers?
Die Webseitenbetreiber müssen sich an die gesetzlichen Vorgaben halten. Das ist praktisch äußerst schwierig, wenn man Facebook nutzen möchte, weil die wesentliche Datenverarbeitungen in den USA stattfinden, wo es praktisch keinen Datenschutz gibt und Facebook sich nicht in die Karten schauen lässt. Daher ist es ratsam, datenschutzkonforme Alternativen zu Facebook zu suchen.
Welche Absicht steckt hinter der Veröffentlichung des Papiers, was wollen Sie damit erreichen?
Unser übergeordnetes Ziel ist es, den Datenschutz bei der Internetnutzung durchzusetzen. Unser Text will hierzu verschiedene Mechanismen nutzen: Zunächst sollen die Nutzenden und die Webseitenbetreiber informiert werden. Dann wollen wir eine qualifizierte Diskussion über Facebook und Datenschutz initiieren. Hierbei wollen wir die Politik, Behörden, die Wirtschaft, die anderen Aufsichtsbehörden und natürlich auch die Medien und die öffentliche Meinung erreichen. Damit soll letztlich Druck auch auf Facebook ausgeübt werden, das sich mit seinen Adressen in den USA und in Irland bisher unserer Aufsicht entzog.
Uns geht es nicht vorrangig um die Drohung mit Sanktionen, sondern um Überzeugungsarbeit – nämlich, dass die geschäftliche und behördliche Nutzung von Facebook trotz aller vordergründigen Vorteile aus Datenschutzgründen unverantwortlich ist.
Es wurde kritisiert, dass sich ihre rechtlichen Forderungen nicht an Facebook, sondern an Webseitenbetreiber richten, obwohl diese ja gar nicht die Hauptverursacher der Datenschutzrechtsverletzungen sind. Was entgegnen Sie dieser Kritik?
Webseitenbetreiber können sich nicht herausreden, dass Facebook oder die Nutzer verantwortlich wären. Sie haben rechtlich wie tatsächlich eine eigene Verantwortung. Niemand ist gezwungen Facebook-Anwendungen zu installieren; das macht jeder aus freien Stücken und in eigener Entscheidung.
Markus Beckedahl vom Verein Digitale Gesellschaft erklärte in Hinblick auf Ihre Forderungen an Webseitenbetreiber in Schleswig-Holstein: „Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: Die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist […] kein bisschen verbessert worden.“ Stimmen Sie dem zu?
Wir können natürlich nach Irland und in die USA schreiben. Das haben wir und unser hamburgischer Kollege auch getan. Herausgekommen ist dabei leider wenig, weil wir tatsächlich wenig direkte rechtliche Druckmittel haben. Die Druckmöglichkeiten ließen sich durch politische Initiativen und gesetzliche Änderungen verbessern, doch alle unsere Vorschläge hierzu sind ohne sichtbare Resonanz geblieben.
Facebook ist ein US-amerikanisches Unternehmen mit europäischem Sitz in Irland und einem Vermarktungsbüro in Deutschland, das sich in Hamburg befindet. Wie erklären Sie die Zuständigkeit des ULD Schleswig-Holstein in diesem Sachverhalt? Gibt es eine Absprache oder Kooperation mit anderen Landesdatenschutzzentren oder dem Bundesdatenschutzbeauftragten?
Das ULD ist wie alle anderen Landesdatenschutzbeauftragten für die Betreiber im eigenen Land zuständig, auch wenn diese internationale Dienstleister wie Facebook in Anspruch nehmen. Tatsächlich sind wir personell und sachlich so schlecht ausgestattet, dass wir durch Arbeitsteilung unsere Effektivität erhöhen müssen. Die Facebook-Aktion des ULD haben wir langfristig bei unseren Kollegen angekündigt und vorab kommuniziert. In einen nächsten Schritt werden wir versuchen, auch unsere weiteren Aktionen untereinander zu koordinieren.
Sie geben den Bürgern den Ratschlag „ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen“. Darf eine staatliche Behörde so gezielt zum Boykott eines einzelnen Unternehmens auffordern?
Das ULD ruft nicht zum Boykott eines Unternehmens auf, sondern wir sagen nur was passiert, wenn jemand die Social-Plugins anklickt. Jeder Verbraucher kann selbst entscheiden; zur informationellen Selbstbestimmung gehört auch, dass jeder Facebook erlauben darf über ihn Profile zu erstellen und diese kommerziell zu nutzen. Bevor dies aber erlaubt wird, muss der Betroffene wissen, was er da erlaubt. Das teilen wir den Betroffenen mit.
Der Rechtsanwalt Niko Härting kritisiert Ihr Vorgehen in einem Beitrag für „Computer und Recht“ sehr stark. Er äußert sogar den Vorwurf, die Forderungen der ULD seien verfassungswidrig, weil sie in die im Grundgesetz festgeschriebene Berufs- und Handlungsfreiheit eingriffen. Auch hegt er Zweifel an der rechtlichen Grundlage ihrer Bußgeldforderungen. Das ULD habe zwar nach dem Bundesdatenschutzgesetz die Möglichkeit, Bußgelder zu erheben, nicht aber nach dem Telemediengesetz, auf das sich das Arbeitspapier stellenweise beziehe. Wie äußern Sie sich zu diesen beiden Vorwürfen?
Es ist das Recht von Herrn Härting, diese Meinung zu äußern, auch wenn sie falsch ist. Auf unserer Webseite haben wir das Zuständigkeitsargument widerlegt. Das Argument mit der Berufs- und Handlungsfreiheit ist – mit Verlaub – Unsinn. Jedes Unternehmen muss natürlich bei seiner Tätigkeit die Gesetze beachten – auch die Datenschutzgesetze.
Haben Sie weitere Vorstöße im Zusammenhang mit möglichen Datenschutzrechtsverletzungen durch Facebook geplant?
Nachdem wir A gesagt haben müssen wir natürlich weiter buchstabieren. Insofern sind wir völlig transparent. Erst aber im Oktober werden wir erste rechtsförmliche Maßnahmen ergreifen. Vor Beanstandungen, Untersagungsverfügungen und Bußgeldern wird es natürlich Anhörungsverfahren geben. Dabei werden wir Verhältnismäßigkeit und Augenmaß praktizieren – auch angesichts unserer begrenzten Ressourcen.
Wenn es dann zu gerichtlichen Verfahren kommen sollte, dann sehen wir diesen zuversichtlich entgegen. Uns geht es nicht um Zoff, sondern um Überzeugung.
Es ist schon irritierend, dass ein Bürger wie ich, der weiss was er bei Facebook macht, nun den ULD sich aufdrängen sieht, der ihm das schon vorhandene Wissen nochmals aufdrängen will. Dabei fragt Herr Weichert nicht, ob ich das schon weiss, sondern droht wild deutschen Webseitenbetreibern mit einer an den Haaren herbeigezogenen Auftragsdatenverarbeitung.
Kein einziger Richter und kein einziger Gesetzgeber in Deutschland hat Herrn Weicherts Meinung bestätigt. Das Drohen gegen Deutsche mit einem empfindlichen Übel, wenn man an Facebook nicht herankommt, ist für den Datenschutz abträglich.
Die Aussage, dass man nicht gegen alle sondern nur einige Bürger mit Bußgeldbescheiden überziehen wolle, die Facebook-Like-Buttons ist mit dem Rechtsstaat nicht zur Deckung zu bringen. Entweder das ist ordnungswidrig, oder nicht. Ein Polizist, der Bußgelder nur für einige erhebt, andere aber bei Rot über die Ampel lässt, gehört aus dem Dienst genommen.
Die Aussage “ULD an Webseitenbetreiber: “Facebook-Reichweitenanalyse abschalten””
https://www.datenschutzzentrum.de/presse/20110819-facebook.htm
ist in hohem Maße unsachlich. Die Webseitenbetrieber machen keine Reichweitenanalyse, wenn sie Likeit-Buttons einbauen, das macht Facebook.
Die Meinungen von Herrn Weichert sind mit anderen Behörden nicht abgestimmt. Herr Weichert macht Werbung auf der ULD-Site für ein Cookie-Produkt (Piwik), das BSI warnt vor Cookies.
Herr Weichert hält IP-Adressen für personenbezogen, der BGH nicht. Der BGH hat wegen der Personenbezogenheit der IP-Adressen extra die Störerhaftung erfunden, die der Gesetzgeber nicht kennt, damit die Abmahnverfahren der sonst womöglich arbeitslosen Berufskollegen der Anwaltschaft funktionieren.
Dieses unkoordinierte Vorgehen von Behörden ohne Rückhalt bei Richtern und Gesetzgebern ist der SuperGAU für den Datenschutz und die IT-Sicherheit in Deutschland.
Der ULD hat den Bürgern geraten, ordungswidrig zu handeln (bei Bußgeldern bis 25.000 €):
http://www.datenschutzbeauftragter-info.de/ein-halbes-jahr-elena-ein-resuemee/
Den Start von ELENA hat er nicht verhindert, beid er Verfassungsbeschwerde war er nicht dabei, die Arguemente waren absurd. Maßnahmen für falsch zu halten, die wir seit Jahrzehnten bei der Rentenversicherung machen, ist absurd. Als Behörde Bürger zu Ordnungswidrigkeiten aufrufen, ist absurd, aber offenbar ist das Missachten von Gesetzen beim ULD dauerhafte Methode. Dieses entartete Rechtsverständis ist tödlich für dne Datenschutz, es zersetzt das Vertrauen der Bürger in ihre Behörden.
“Auch Deine Behauptungen, dass dem ULD die Rechtsgrundlage für die Aktion fehlt oder das es gar rechtswidrig wäre, wurde bisher von keinem Juristen bestätigt – im Gegenteil.”
Das ist falsch und unsachlich:
Der RA Stadler hat einen Beitrag des RA Schmidt veröffentlicht, in dem die rechtlichen Grundlagen bezweifelt werden:
“Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?”
http://www.internet-law.de/2011/08/verstost-die-verwendung-des-%E2%80%9Egefallt-mir%E2%80%9C-buttons-wirklich-gegen-deutsches-datenschutzrecht.html
Nico Härting hält das Vorgehen des ULD für verfassungswidrig:
“Öffentlichkeitsarbeit einer Landesbehörde
Warum die „Facebook-Kampagne“ des ULD verfassungswidrig ist ”
http://www.computerundrecht.de/media/2011_08-22_Haerting_Oeffentlichkeitsarbeit_einer_Landesbehoerde.pdf
Zudem ist mir heute Mittag noch eine fundamentale Schwachstelle der Argumentation durch den Kopf gegangen. Zwei Fälle:
1.) Ein Facebookbenutzer drückt auf einen Likeit-Knopf. Seine Absicht ist dabei, dass andere Facebook-User erfahren, dass er den Beitrag gut findet. Auch der Seitenbetreiber erfährt den Namen des Likers. Das hat der Liker so gewollt, ist in den Datenschutzbedingungen von Facebook von allen dreien vereinbart.
2.) Ein Nicht Facebookbenutzer sieht eine Seite mit Like-Button. Facebook sieht die IP-Adresses des Lesers. Der Seitenbetreiber erfährt bei blossem Betrachten der Seite weder die IP-Adresse noch den Namen des Nutzers. Der ULD läuft herum und erzählt, dass dieses Nichterfahren von Namen und IP-Adresse eine personenbezogene Datenverarbeitung des Seitenbetreibers sei, die mit 50.000 € Bußgeld geahndet werden müsse. Das ist dummes, wirres Zeug. Wer so schrecklich Datenschutz betreibt, gehört aus dem Amt entfernt. Hier wird Schindluder gertrieben.
Der Hauptfehler, den der ULD macht, ist aus dem Rechtssystem zu entweichen (bis hin zum Rechtsbruch und der Aufforderung zum Rechtsbruch) und in tiefer Unkenntnis und Verwirrtheit durch technische System stolpert.
Was wir brauchen, sind Juristen, die Rechtsverstöße da ahnden wo sie begangen werden. Wenn Rechtsverstöße beim Likeit-Button begangen werden, ist es bei Facebook. Wenn jemand rechtswidrig massenhaft personenbezogene Daten sammelt und verarbeitet, dann muss das im Rechtssystem geahndet werden. Dass der ULD Werbung für Software macht, die auch noch gegen die Empfehlungen des BSI sich richten, andererseits aber Bürger zur Rechtsverstössen auffordert, ist völlig inakzeptabel. Diese Leute werden von Gerichten zu Law and Order gezwungen werden. Dieses Irren im rechtsfreien Raum in Kiel wird aufhören.
Deutsche Datenschützer haben eines gelernt, wenn es um die Belange des Staates geht möglichst den Mund zu halten. Ich kann mich an keine Wüste Drohung der Datenschützer erinnern wenn es um Vorratsdatenspeicherung (da ist man ironischerweise zum Kompromiss bereit), Elena, Fluggastdatenspeicherung, Bundestrojaner, SWIFT usw. geht.
Das sind Themen die die meisten Bürger auch gar nicht interessieren, die Jubeln sogar wenn aus der Schweiz SteuerCDs gekauft werden – und das ist eigentlich nicht ganz koscha. Aber wenn es einen nicht selbst trifft ist es ja alles Ok.
Es ist reine Augenwischerei wenn Datenschützer gegen Facebook und Google vorgehen, damit denkt der Ottonormalbürger “Oh die tun was ich lebe in einem sicheren Land”.
Unterm Strich bleibt der Bürger aber nicht geschützt, es handelt sich beim Internet um das World Wide Net, nicht um das GWN German Wide Net. Sprich klickt der Bürger in Frankreich auf den Like Button was passiert dann? Richtig, er könnte getrackt werden.
Nur die Datenschützer wissen nicht einmal was überhaupt genau passiert. Sie vermuten es. Ich vermute auch vieles, nur solange ich es nicht beweisen kann darf ich meine Vermutung nicht als Fakt aufstellen.
Nur muss Facebook nichts beweisen, das müssen die Datenschützer, können sie aber nicht.
Weichert mag Facebook nicht also kann er jetzt seinen Stempel aufdrücken, und wenn nebenbei noch Geld abfällt um so besser, dem Staat gehts eh schlecht.
Wären Datenschützer auch so konsequent beim Datenhunger des Staats, würde ich auch gar nicht meckern. Tun sie aber nicht, weil Datenschützer ihrem “Chef” kaum in die Hand beißen wollen.
Das macht den deutschen Datenschutz korrupt und somit untragbar.