Facebook-Fanpages und -Plugins im Visier: Datenschutz gegen Goliath

---

Bild 1 vergrößern +

Fanseite des Landes Schleswig-Holstein: Auf der Bußgeldliste?

Thilo Weichert hat gezeigt, dass er es ernst meint. Im August forderte der Landesdatenschutzbeauftragte von Schleswig-Holstein, Webseitenbetreiber im eigenen Bundesland auf, ihre Fanpages bei Facebook und Social-Plugins wie den "Gefällt mir"-Button auf ihren Webseiten zu entfernen. Nach eingehender Analyse sei das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Kiel zu dem Ergebnis gekommen, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) verstoßen. Über den Klick auf den "Gefällt-mir"-Button auf Web- und Fanseiten werden verschiedene Nutzerdaten erhoben und bis zu zwei Jahre gespeichert - ohne ausdrückliche Einwilligung der User, beklagt Weicherts Behörde. Diese Daten würden von den Betreibern der jeweiligen Fan- oder Webseiten an Facebook weitergegeben. Sie verstoßen dabei nach Kieler Interpretation gegen deutsches Recht. Bald sollen den Seitenbetreibern in Schleswig-Holstein dafür Bußgelder von bis zu 50.000 Euro blühen.

Das weitere Verfahren rund um den "Gefällt-mir"-Button ist auch Thema, wenn sich am 28. und 29. September die Datenschutzbeauftragten des Bundes und der Länder in München treffen. WDR.de fragte Thilo Weichert vorab zum Stand der Dinge.

WDR.de: Herr Weichert, was würden Sie Facebook-Entscheidern am liebsten einmal direkt sagen?

Thilo Weichert: Das Gesamtangebot muss überarbeitet werden. Transparenz, Wahlfreiheit und Rechtmäßigkeit müssen sich verbessern.

WDR.de: Sie haben kürzlich Post von Facebook erhalten. Wie zufrieden sind Sie mit der Reaktion auf Ihr Positionspapier? (Beide Papiere sind im Original unter diesem Interview verlinkt)

---

Bild 2 vergrößern +

Thilo Weichert, Landesbeauftragter für den Datenschutz Schleswig-Holstein

Weichert: Wichtig ist erst einmal, dass Facebook überhaupt reagiert und versucht, auf unsere Argumente einzugehen. Das ist etwas völlig Neues. In der Vergangenheit sind Beschwerden von Betroffenen oder Aufsichtsbehörden nicht ernsthaft bearbeitet worden. Die Argumente, die von Facebook vorgetragen wurden, sind im Prinzip bekannt: Fanpage-Betreiber seien nicht für die von ihnen ausgelöste Weitergabe der Daten verantwortlich. Facebook-Mitglieder stimmen dieser über die Nutzungsbedingungen automatisch zu, und die Daten von Nicht-Mitgliedern werden nicht weiter für die Erstellung von Personenprofilen genutzt, sondern sofort gelöscht.

WDR.de: Wie wollen Sie darauf nun reagieren?

Weichert: Wir haben dazu eine Stellungnahme erarbeitet, die wir am Freitag (30.09.2011) veröffentlichen. Unseren Kollegen haben wir diese inhaltlich bereits mitgeteilt, Facebook wird sie ebenfalls zur Kenntnis erhalten. Insgesamt haben die Argumente von Facebook nämlich keine Relevanz für unsere grundsätzliche rechtliche Bewertung: Die Verwendung von Gefällt-mir-Button und das Betreiben von Fanpages ist unzulässig.

WDR.de: Facebook argumentiert unter anderem, der für deutsche User zuständige Unternehmenssitz in Irland unterliege dem irischen und nicht dem deutschen Datenschutzrecht. Einer der Knackpunkte in der Diskussion um die geltenden rechtlichen Grundsätze?

Weichert: Ja, das ist tatsächlich die Frage, welches Recht anwendbar und wer für eine Fanpage verantwortlich ist. Wenn ausschließlich Facebook verantwortlich wäre, dann hätte Facebook allen Grund zu sagen, dass irisches Recht anzuwenden wäre. Diese Einschätzung hat aber keine rechtliche Relevanz für uns, denn natürlich muss der Betreiber einer Fanpage nach deutschem Recht auch eine eigene Verantwortung tragen. Weitere Knackpunkte sind die Frage der Einwilligung der Nutzer in die Datenverarbeitung, das genaue Vertragsverhältnis der Nutzer mit Facebook und auf der anderen Seite die technischen Gestaltung der Übermittlung von Daten.

WDR.de: Was für eine Art der Einwilligung würden Sie vorschlagen?

Weichert: Es bedarf einer konkreten Information zum Zeitpunkt der Datenverarbeitung und einer Möglichkeit des Betroffenen, ja oder nein zu sagen. Zum Beispiel, bevor User auf den Gefällt mir-Button klicken. Das ist ein Angebot, das für Mitglieder und Nicht-Mitglieder zur Verfügung gestellt wird, da muss ohnehin eine entsprechende Information gegeben werden. Deshalb kann sich das Unternehmen nicht darauf zurückziehen, dass User durch ihre Mitgliedschaft bereits eine generelle Einwilligung zur Datenverarbeitung erteilt hätten.

WDR.de: Sie sprachen auch von der technischen Gestaltung der Datenübermittlung.

Weichert: Zunächst geht es darum, dass die technischen Abläufe der Datenverarbeitung vollständig transparent gemacht werden. Und Facebook muss nachweisen, dass die Folgen der Datenverarbeitung wirklich für die konkreten Zwecke erforderlich sind. Das Unternehmen speichert auf dem Rechner der Nutzer - Mitglieder und Nicht-Mitglieder - für zwei Jahre Cookies, die angeblich für Sicherheitszwecke notwendig wären. So steht es auch in der Antwort von Facebook. Aber es ist nicht nachvollziehbar, weshalb eine derart lange Speicherung notwendig ist. Allenfalls ein zwei Tage sind notwendig, um ein Bot-Netz (ein Netzwerk aus infizierten Rechnern, die von Hackern zentral gesteuert und für Angriffe eingesetzt werden, Anm. d. Redaktion) identifizieren zu können.

Außerdem müsste Facebook die Allgemeinen Geschäftsbedingungen so umformulieren, dass sie so informativ sind, dass die Nutzer tatsächlich eine Entscheidung zu einer Datenübertragung treffen können: ja oder nein. Wenn das alles erfüllt ist, kann auch eine Facebook-Anwendung rechtmäßig sein.

WDR.de: Rechnen Sie mit entsprechenden Zugeständnissen?

Weichert: Facebook wird sich garantiert bewegen. Aber dass man sich so weit bewegt, dass mittelfristig eine gesetzeskonforme Lösung dabei herauskommt, daran habe ich meine Zweifel.

WDR.de: Wäre Selbstregulierung eine geeignete Maßnahme? Facebook-Manager Richard Allan hat dies gegenüber Innenminister Hans-Peter Friedrich kürzlich ins Gespräch gebracht.

---

Bild 3 vergrößern +

Mehr Transparenz bei der Datenübermittlung bei Facebook gefordert

Weichert: Selbstregulierung ist absoluter Unsinn. Eine unverbindliche Selbstregulierung, wie sie von Innenminister Friedrich und Allan abgesprochen wurde, ist überhaupt nicht zielführend. Selbstregulierung macht nur als regulierte Selbstregulierung nach Paragraph 38 A Bundesdatenschutzgesetz Sinn, das bedingt die Einbeziehung der Aufsichtsbehörden. Selbstregulierung kann nur etwas über das Gesetz hinaus regeln. Uns geht es aber erst einmal überhaupt um die Einhaltung der Gesetze.

WDR.de: Sie treffen auf der Landesdatenschutzkonferenz nun ihre Kollegen. Wie war der Austausch bisher?

Weichert: Es gibt einen sehr intensiven inhaltlichen Austausch. Wobei viele Kollegen noch nicht so intensiv in die Prüfung eingestiegen sind wie wir. Insofern ist die Bewertung bei vielen Kollegen noch unsicher. Wir gehen aber davon aus, dass von der Konferenz zumindest für öffentliche Stellen ein klares Signal ausgehen wird. Nämlich, dass sie Facebook nicht nutzen dürfen.

WDR.de: Haben Sie auch Kritiker aus den eigenen Reihen der Landesdatenschutzbeauftragten?

Weichert: Nein. Weder was die technische, noch was die rechtliche Analyse angeht, hat es andere Positionen gegeben. Einige Kollegen sind aber noch unsicher.

WDR.de: Was bedeutet das für die Verwender von Social Plugins wie dem Gefällt-mir-Button und die Betreiber von Fanseiten in Schleswig-Holstein?

Weichert: Unser Zeitplan steht fest. Bisher gab es keine Veranlassung, davon abzuweichen. Wir haben von Anfang an zum Ausdruck gebracht, dass wir verhältnismäßig agieren wollen und keine Betreiber von kleinen Websites mit Bußgeldern überziehen werden. Aber wir werden ab Mitte Oktober Anhörungsverfahren durchführen und Sanktionen einleiten: Wir werden dafür öffentliche und private Stellen ansprechen, die Staatskanzlei oder Kommunen und Landkreise, ebenso wie Medienanbieter und in größerem Interesse stehende Unternehmen und Website-Betreiber, aber keine Jugendorganisationen oder Privatpersonen.

Das Interview führte Insa Moog.