MMR-Blog

Tag cloud

Datenschutzrecht / Social Media
01.02.2010
13:41

Facebook und der Datenschutz: Fanseiten

Düsseldorfer Kreis und Social Media

Wie mittlerweile bekannt sein dürfte, hat der sog. "Düsseldorfer Kreis" der Datenschutzbeauftragten der Bundesländer in seinem Beschluss vom 27. November 2009 die Erhebung, Verwendung und Speicherung von vollständigen IP-Adressen zwecks Analyse des Nutzerverhaltens ohne vorherige Einwilligung der Betroffenen (also der Besucher der Website) für unzulässig erklärt. IP-Adressen werden mittlerweile fast einhellig als personenbezogene Daten angesehen.

Durch den Beschluss haben Website-Betreiber nunmehr die Wahl:

1. Entweder verwenden sie zukünftig überhaupt keine Webanalyse-Tools wie z.B. Google Analytics, Urchin oder Piwik mehr. Damit erübrigen sich m.E. weitere Massnahmen in Bezug auf umfassendes Targeting, Reichweitenoptimierung, ggf. sogar in Bezug auf Investments, die u.a. auch mit der Reichweite eines Unternehmens und der Kundenstruktur zusammen hängen.
Möglich wäre es allerdings, durch eine Umprogrammierung der Skripte der Webanalyse-Tools auf eine Speicherung der IP-Adressen zu verzichten.

2. Oder der Besucher der Website wird durch eine Vorschaltseite davor gewarnt, dass auf dieser Website ein Anaylse-Tool verwendet wird, welches u.a. die vollständige IP-Adresse speichert. Ist er hiermit einverstanden (check-box), so dürfte der Diensteanbieter, also der Betreiber der Website auf der sicheren Seite sein.

Was aber, wenn der Besucher nicht einverstanden ist?

Eine mögliche Konsequenz wäre, den Besuch der Website überhaupt nicht zu erlauben, was offensichtlich wenig sinnvoll sein dürfte.

Eine andere Möglichkeit bestünde darin, eine um z.B. Google Analytics erleichterte Version der Website vorzuhalten, was zusätzlichen Aufwand an Programmierung bedeutet.

Im Allgemeinen dürfte jedoch alleine der Anblick der Vorschaltseite mit entsprechendem Warnhinweis viele Nutzer vor einem weiteren Besuch abschrecken.

Welcher Zusammenhang besteht zwischen dem Beschluss der Datenschützer und "fanpages" auf Facebook?

Auf Facebook lassen sich Unternehmens- oder "Fanseiten" bzw. "fanpages" einrichten. Ähnlich wie man als Nutzer "Mitglied" einer Gruppe werden kann, so kann man "Fan" einer solchen Unternehmensseite werden. Auch ich habe eine eigene Fanseite angelegt und mir einmal angesehen, was man damit alles machen kann.

Neben verschiedenen Werbemöglichkeiten hat man u.a. die Möglichkeit, im .xls oder .csv - Format umfassende Informationen über seine Fans einzusehen: unter "Exportdaten" kann man bspw. eine Datenauswertung erhalten über "Fan und Interaktion", "Land" und auch "Demographie".

Für die Kategorie "Land" wäre es interessant zu wissen, woher die Daten stammen, die diese Statistik (Analyse) über die Fans ermöglichen.

Zwei Möglichkeiten der Herkunft der Daten gibt es meines Wissens:

1. Die Daten stammen aus den Nutzerprofilen und wurden von den Fans selbst eingetragen.

Die Datenschutzrichtlinien von Facebook sagen hierzu in Ziffer 3. "Informationen, die Du mit Dritten teilst":

"Einige Informationen, wie (...) Seiten, geografische Region, von denen Du Fan bist, (...) werden als öffentlich angesehen und haben daher keine Privatsphäre-Einstellungen."

Dies bedeutet jedoch lediglich, dass sowohl Informationen über die Herkunftsregion als auch darüber, welchen Seiten man als "Fan" angehört, von allen eingesehen werden können. Über die Herkunft der Daten für die Statistik innerhalb der fanpages wird an dieser Stelle nichts gesagt.

Eine Statistik auf Grundlage der Profilinformationen der Fans wäre m.E. auch nicht geeignet, für Unterehmen aussagekräftige Inhalte über die Struktur, Herkunft, etc. der Fans bereitzustellen, denn:

- nicht alle Fans / Nutzer geben Informationen über ihre Herkunft an
- teilweise sind die Angaben bewusst falsch und
- es gibt keine Möglichkeit zur Validierung der Daten

2. Wahrscheinlicher ist: die Daten werden im Rahmen von Geolokalisierung erhoben, denn diese stellt eine für Statistiken relativ verlässliche Quelle dar.

Dass Facebook Geolokalisierung nutzt, ergibt sich m.E. schon aus der Formulierung in den Datenschutzrichtlinien unter Ziffer 2.

Dort heißt es unter "Informationen über Deinen Standort":

"(...) Wenn wir einen Dienst anbieten, der diese Art der Standortermittlung unterstützt, geben wir dir die Möglichkeit, dich explizit für die Teilnahme daran zu entscheiden."

"Diese Art" der Standortermittlung kann sich m.E. nur auf den Umstand beziehen, dass der Nutzer freiwillig Informationen über seinen Standort preisgibt. Dies tut er auf dem jeweiligen Profil.

Da Facebook aber keine explizite Möglichkeit für die Teilnahme zu Fanseiten vorsieht (man klickt lediglich den Button "Werde ein Fan"), dürfte alleine durch Auslegung der Richtlinien davon auszugehen sein, dass die Herkunftsdaten für die Statistiken der fanpages nicht auf freiwillige Angaben der Nutzer zurückzuführen sind, sondern auf Geolokalisierung.

Geolokalisierung aber funktioniert IP-Adressen basiert!

Das bedeutet gemäß § 13 Telemediengesetz, dass Facebook neben der ohnehin erforderlichen ausführlichen Belehrung über die Art, den Umfang und den Zweck der Datenerhebung die wirksame Einwilligung der Fans eingeholt haben muss, um Daten an Unternehmen in Form von Statistiken weitergeben zu dürfen.

Ordnungsgemäße Belehrung und wirksame Einwilligung der Fans?

Begrüßenswert ist der Umstand, dass es bei Facebook formularmäßige Datenschutzrichtlinien überhaupt gibt, was angesichts der ehemals vorherrschenden negativen Stimmung in der Community in diesem Zusammenhang aber auch nicht weiter verwundert - es musste etwas geschehen. Dennoch scheint die Kritik an Facebook nicht enden zu wollen, wie die Beschwerde des amerikanischen Interessenverbandes EPIC oder die Aussagen den Datenschutzbeauftragten des Landes Schleswig-Holstein, Thilo Weichert, nahelegen. Vor dem Hintergrund der Einstellung des Gründers, Marc Zuckerberg, zum Datenschutz, nur allzu verständlich.

Wie bereits die Datenschutzgruppe der EU in ihrem Leitfaden schreibt, ist grundlegende Voraussetzung für eine Erhebung, Verwendung, etc. von Daten stets, dass diese "für eindeutig festgelegte und rechtmäßige Zwecke erhoben und dementsprechend weiterverarbeitet werden".

1. Der Nutzer kann wirksam nur in etwas einwilligen, worüber er hinreichend bestimmt informiert wurde.

"Voraussetzung einer informierten Einwilligung (informed consent) ist die hinreichende Bestimmtheit in Bezug auf 1. die verantwortlichen (verarbeitenden) Stellen, 2. die verarbeiteten Daten und 3. den Zweck der Verarbeitung."
(...)
"Der erforderliche Bestimmtheitsgrad einer Einwilligung hängt vom Einzelfall ab, insbesondere inwieweit der Betroffene die möglichen Verarbeitungsschritte übersehen kann."
 (Kilian/Heussen, Computerrechts-Handbuch, 27. Ergänzungslieferung 2009, Rn 47)

Bei der Anmeldung eines neuen Nutzerprofils weist Facebook darauf hin, dass man mit Klicken des Buttons "Registrieren" die Nutzungsbedingungen und die Datenschutzrichtlinien akzeptiere. Diese sind - ausgedruckt in kleiner Schrift - fünf(!) DIN A4 Seiten stark.

Unter Ziffer 5. der Datenschutzrichtlinien ist die Weitergabe der Daten von Facebook an Dritte geregelt. Dritter ist auch der Unternehmer oder Fanseiten-Inhaber, der aufgrund der Weitergabe der Daten Einsicht in das Nutzerverhalten und die Herkunft seiner Fans erhält.

Facebook nennt unter dieser Ziffer u.a. als Begründung für die Weitergabe von Daten - ohne zu sagen, an wen genau die Daten weitergegeben werden:

"Zur Bereitstellung unserer Dienstleistungen."

Facebook gibt mithin Daten an - dem Nutzer nicht bekannte - Dritte weiter, um seine Dienstleistung erbringen zu können.

Grundsätzlich ist dies zwar ein alltäglicher Vorgang, denn für den Bereich "Hosting" und "E-Mail Versand" bedarf es im Regelfall externer Dienstleister.

Es handelt sich jedoch - wie bereits erwähnt - um formularmäßige Datenschutzbestimmungen, also um Regelungen, die für eine Vielzahl von Fällen gleichermaßen gelten sollen. Das bedeutet nichts anderes, als dass man es mit Allgemeinen Geschäftsbedingungen zu tun hat, bei welchen gilt:

"Klauseln, die den schwächeren Teil unangemessen benachteiligen, nicht ausreichend hervorgehoben werden oder zu unbestimmt sind, sind nach § 307 BGB (ehem. § 9 AGBG) unwirksam (Kilian/Heussen, a.a.O. Rn 50 m. Verw. auf OLG Schleswig RDV 1998, 114; OLG Frankfurt RDV 1998, 175; OLG Karlsruhe RDV 1997, 180).

a) Es fehlt m.E. bereits an der hinreichenden Bestimmtheit der Belehrung in Bezug auf die die Daten verarbeitenden Stellen.

Weder in Ziffer 5. der Datenschutzrichtlinien noch an anderer Stelle findet sich ein expliziter Hinweis auf die Erhebung von Daten bei "Fanseiten". Auch kann man den Begriff "Fanseiten" m.E. nicht unter eine der anderen Regelungen subsumieren.

Es ist dem Nutzer, besser: dem "Fan" zwar bewusst, mit welchen Unternehmen er oder sie in Kontakt tritt - er hat den Button "Werde ein Fan" ja angeklickt. Trotz des Gütesiegels von TRUSTe weiß er jedoch nicht, dass seine Herkunft und weitere Daten Inhalte von Statistiken im Zusammenhang mit Fanseiten werden und insbesondere weiß er auch nicht, wer diese Statistiken für die Unternehmen bereit stellt - Facebook selbst oder wiederum externe Dienstleister?

Da nicht eine "Bestimmbarkeit", sondern die "Bestimmtheit" gefordert wird, wird man die namentliche Nennung zumindest derjenigen externen Dienstleister fordern dürfen, die von Facebook direkt beauftragt wurden und die einen unmittelbaren Einblick in Daten wie bspw. die Inhalte von E-Mails erhalten können, weil sie für deren Versand verantwortlich sind.

b) Auch eine hinreichende Bestimmtheit der Belehrung in Bezug auf die verarbeiteten Daten halte ich für nicht gegeben.

Regelmäßig wird in Datenschutzbelehrungen nach Bestands- und Nutzungsdaten im Sinne der §§ 14 und 15 Telemediengesetz (TMG) differenziert. Der Nutzer wird so in übersichtlicher Art und Weise darüber informiert, dass z.B. seine frewilligen Angaben gespeichert werden, ebenso die Referrer-URL oder eben seine IP-Adresse.

Bei Facebook befinden sich diese Informationen unter mehreren Überschriften im Fliesstext und sind m.E. nicht ausreichend hervorgehoben.

c) Eine hinreichende Bestimmtheit in Bezug auf die Zweckbestimmung der Datenverwendung ist m.E. ebenfalls nicht gegeben.

Facebook nennt hier lediglich - nicht abschließend - Beispiele für eine Weitergabe der Daten an Dritte ("beispielsweise Hosting-Dienste von Dritten für unsere Webseite"...).

d) Demzufolge dürfte auch davon auszugehen sein, dass der Nutzer die möglichen Verarbeitungsschritte in Bezug auf seine Daten nicht übersehen kann.

Dies könnte man auch aus der Unübersichtlichkeit und dem Umfang der Datenschutzrichtlinien von Facebook herleiten - immerhin ganze fünf DIN A4 Seiten lang. Wesentliche Informationen sind im Fliesstext verborgen.

Ich sehe es als für die Betroffenen nicht zumutbar an, eine derartige Fülle von Informationen in der konkreten Form bereitzustellen und es dem Nutzer darüber hinaus selbst zu überlassen, die Richtlinien auszulegen, bspw. für die Frage der Datennutzung bei fanpages.

Es ist Aufgabe des Portal-Betreibers, eine inhaltlich korrekte und verständliche Datenschutzerklärung leicht einsehbar auf dem Portal vorzuhalten.

2. Eine bewusste und eindeutige Einwiligung des Nutzers nach § 13 Abs. 2 Nr. 1 TMG liegt jedenfalls immer dann vor, wenn der Nutzer ein Häkchen in einer check-box setzt.

Ein solches Häkchen und eine check-box sind bei Facebook nicht vorgesehen! Der Nutzer klickt lediglich den Button "Registrieren" und erklärt sich hiermit sowohl mit den Nutzungsbedingungen als auch den Datenschutzrichtlinien einverstanden.

Generell ist die Frage der Wirksamkeit von formularmäßigen Einwilligungen eine Einzelfallentscheidung, bei der die beiderseitigen Interessen gegeneinander abgewogen werden müssen.

Eine solche Abwägung möchte ich hier nicht vornehmen, sondern lediglich auf die Problematik hinweisen.

Viel wichtiger erscheint mir noch folgender Punkt:

3. Der Betroffene ist bei jeder erneuten Erhebung, Verwendung und Speicherung der Daten über sein Recht zum Widerruf aufzuklären, § 13 Abs. 2 Nr. 4 TMG.

Die Anmeldung zu einer Fanseite ist eine erneute Verwendung der Daten des Nutzers durch Facebook zu einem anderen als dem ursprünglichen Zweck. Der Nutzer müsste demnach hierauf gesondert hingewiesen werden, weil die allgemein erteilte Einwilligung (sofern überhaupt wirksam) den Fall der "Fanseiten" gerade nicht abdeckt.

Weder bei der ersten Erhebung noch bei der weiteren Verwendung der Daten für die Fanseiten findet sich ein solcher expliziter Hinweis auf das Widerrufsrecht des betroffenen Nutzers!

Die rechtliche Konsequenz aus vorstehenden Ausführungen:

Sofern und soweit die Belehrung über die Verwendung der Daten nicht hinreichend bestimmt ist, ist sie unwirksam. Gleiches gilt für den Fall, dass in der Belehrung wesentliche Inhalte, zu denen sicherlich die Erhebung, Speicherung und Verwendung von Daten sowie auch der Hinweis auf das Widerrrufsrecht zählen, nicht ausreichend hervorgehoben sind.

In eine unwirksame Belehrung kann der Nutzer nicht wirksam einwilligen. Insofern läge in Bezug auf die Weitergabe der Daten an Dritte zwecks Auswertung in fanpages eine Einwilligung der Fans schon gar nicht vor.

Wollte man die Belehrung als hinreichend bestimmt ansehen, dürften angesichts der technischen Umsetzung der Einwilligung weitere Zweifel bezgüglich der Wirksamkeit anzumelden sein.

Es spricht demnach einiges dafür, die Fanseiten, wie sie derzeit von Facebook angeboten werden, unter Berücksichtigung der aktuellen Entwicklung im Deutschen wie auch im Europäischen Datenschutzrecht als nicht zulässig zu erachten. Der o.g. Datenschützer Thilo Weichert erwägt nicht ohne Grund eine Überprüfung der Vereinbarkeit der datenschutzrechtlichen Praxis von Facebook mit den sog. "Safe-Harbour" Richtlinien der EU.

Technisch wie auch inhaltlich dürfte es nicht allzu viel erfordern, die Datenschutzbestimmungen gesetzteskonform zu ändern. Insbesondere könnte man - ungeachtet meiner obigen Auführungen hierzu - bei der "Anmeldung" generell, bei der weiteren Anmeldung als Fan sowie auch auf jeder Facebook-Seite, bei der Daten der Nutzer ausgewertet werden, eine entsprechende Infoseite vorschalten und den Nutzer zur Bestätigung mittels eines Häkchens in einer check-box auffordern.

Ich habe Facebook um Stellungnahme gebeten und bin sehr gespannt auf die Antwort.

PermalinkTrackback link
  •  
  • 0 Kommentare
  •  

Mein Kommentar

Ich möchte über jeden weiteren Kommentar in diesem Post benachrichtigt werden.

Zurück

<< Februar 2010 >>
S M T W T F S
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28            

Kategorien

  • Allgemein(2)
  • [-]Marketing(9)
  • Medien(7)
  • [-]Recht(10)

Archiv

  • [-]2010(2)
    • [-]März(1)
    • [-]Februar(1)
  • [-]2009(16)

Kopieren Sie diesen Link in Ihren RSS Reader

RSS 0.91Posts
Comments
RSS 2.0Posts
Comments

Social Bookmarking

Bookmark bei: Mr. Wong Bookmark bei: Webnews Bookmark bei: Icio Bookmark bei: Oneview Bookmark bei: Linkarena Bookmark bei: Favoriten Bookmark bei: Seekxl Bookmark bei: Favit Bookmark bei: Social Bookmarking Tool Bookmark bei: Power Oldie Bookmark bei: Bookmarks.cc Bookmark bei: Newskick Bookmark bei: Newsider Bookmark bei: Linksilo Bookmark bei: Readster Bookmark bei: Folkd Bookmark bei: Yigg Bookmark bei: Digg Bookmark bei: Del.icio.us Bookmark bei: Reddit Bookmark bei: Simpy Bookmark bei: StumbleUpon Bookmark bei: Slashdot Bookmark bei: Netscape Bookmark bei: Furl Bookmark bei: Yahoo Bookmark bei: Spurl Bookmark bei: Google Bookmark bei: Blinklist Bookmark bei: Blogmarks Bookmark bei: Diigo Bookmark bei: Technorati Bookmark bei: Newsvine Bookmark bei: Blinkbits Bookmark bei: Ma.Gnolia Bookmark bei: Smarking Bookmark bei: Netvouz Information