Jetzt reicht es, Herr Weichert! Der Hausmeister des staatlichen Datenschutzes droht mit Rundumschlägen wegen Social-Plugins


So langsam brennen bei den staatlichen Datenschutz-Hausmeistern die Sicherungen durch. Wieder einmal inszeniert sich der Aufseher Thilo Weichert als Rächer Retter der Enterbten, Witwen und Waisen:

Das „Unabhängige Landeszentrum für Datenschutz (ULD)“ fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse komme das ULD zu dem Ergebnis, dass derartige Angebote angeblich gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der müsse davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen. Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

Thilo Weichert, Leiter des ULD: „Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können. Unser aktueller Appell ist nur der Anfang einer weitergehenden datenschutzrechtlichen Analyse von Facebook-Anwendungen. Das ULD wird diese in Kooperation mit den anderen deutschen Datenschutzaufsichtsbehörden vornehmen. Eine umfassende Analyse ist einer kleinen Datenschutzbehörde wie dem ULD mit einem Wurf nicht möglich; zudem ändert Facebook kontinuierlich seine technischen Abläufe und Nutzungsbedingungen. Niemand sollte behaupten, es stünden keine Alternativen zur Verfügung; es gibt europäische und andere Social Media, die den Schutz der Persönlichkeitsrechte der Internet-Nutzenden ernster nehmen. Dass es auch dort problematische Anwendungen gibt, darf kein Grund für Untätigkeit hinsichtlich Facebook sein, sondern muss uns Datenschutzaufsichtsbehörden dazu veranlassen, auch diesen Verstößen nachzugehen. Die Nutzenden können ihren Beitrag dazu leisten, indem sie versuchen datenschutzwidrige Angebote zu vermeiden.“ Den Nutzerinnen und Nutzern im Internet könne das ULD nur den Ratschlag geben, ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen. Die Profile seien personenbezogen; Facebook fordere von seinen Mitgliedern, dass diese sich mit ihrem Klarnamen anmelden.

Nun empfiehlt Markus Beckedahl, die Mitarbeiter vom ULD nicht verbal lynchen zu wollen: „Die Gesetze werden von anderen gemacht. Die Datenschützer kümmern sich um die Einhaltung“. Das ist falsch. Die staatlichen Datenschützer tragen eine Mitverantwortung: Fragwürdige Interpretationen von unbestimmten Rechtsbegriffen, antizipierte Verwaltungspraxis im Hinterzimmer, Bussgeldandrohungen, selbstherrliches Auftreten, Profilierungsneurosen und Anmaßung durchziehen die Politik der Datenschützer von Bund und Ländern.

Einen unrühmlichen Höhepunkt dokumentierte Spiegel Online: „Keine Google-Anzeigen, weg mit dem Zählpixel: Niedersachsens Datenschützer rüttelt an den Grundfesten der Online-Wirtschaft – und will die Weitergabe von IP-Adressen erschweren. Sollte er sich durchsetzen, wäre es mit Internetwerbung erst mal vorbei.“ Das Vorgehen der Datenschützer, vor allem in den norddeutschen Bundesländern, sei nur die Spitze des Eisberges, sagt Dr. Michael Wüllrich von der Bonner Kanzlei Schmitz Knoth Rechtsanwälte im Interview mit dem Düsseldorfer Fachdienst MarketingIT. Das Ganze habe eine erhebliche ökonomische Bedeutung für Firmen wie Facebook oder Google. Ob die Rechtsauffassung des so genannten Düsseldorfer Kreises, einem informellen Zusammenschluss von Datenschützern aus Bund und Ländern, richtig sei oder nicht, müsste höchstrichterlich entschieden werden. „Die Auslegung der Gesetze ist Sache der Gerichte. Es fehlt allerdings eine einheitliche Linie. Wir haben eine unklare Rechtslage und unterschiedliche Entscheidungen von Gerichten“, moniert Wüllrich, Fachanwalt für gewerblichen Rechtschutz.

Dann sollten doch die Datenschützer mit ihren Bussgeldandrohungen weitermachen. Eine endgültige Klärung bekomme man nur vom BGH oder Bundesverwaltungsgericht. Für die digitale Wirtschaft wäre es ratsam, es auf Klagen ankommen zu lassen. „Gegen die Verfügungen der Datenschützer sollten in jedem Fall Rechtsmittel eingelegt werden. Hier muss die Internet-Branche einheitlich vorgehen und verhindern, dass es zu bestandskräftigen Entscheidungen kommt“, rät Wüllrich.

Die Komplexität der heutigen Medienlandschaft, vor allem der digitalen, erfordert nach Auffassung des Bundesverbandes Digitale Wirtschaft (BVDW) ein tiefergehendes Verständnis für technische Prozesse und die Mediennutzungsanforderungen der Anwender. „Hier wünschen wir uns einen intensiveren Dialog, so dass ein beiderseitiges Verständnis besser möglich ist. Womit wir aber nicht einverstanden sind, ist, dass ein grundsätzliches Misstrauen gesät und eine staatliche Regelungsbedürftigkeit gegenüber grundlegenden Themen der Entwicklung des Internets gefordert wird. Industrie und Internetnutzer haben ein Recht auf ein innovatives Internet“, sagt Thomas Schauf, Projektleiter Selbstkontrolle Online-Datenschutz beim BVDW. Ein moderner Datenschutz müsse anerkennen, dass sich durch digitale Medien soziale Strukturen und Ordnungen verschoben haben und weiter verschieben: „So hat das Internet ein neues Verständnis zwischen privat und öffentlich entwickelt – diese Diskussion muss in der gesamten Gesellschaft geführt werden. Ein international agierendes soziales Netzwerk lässt sich schwerlich mit nationalen Rechtsnormen gestalten. Auch lässt sich die gelernte Rolle des Nationalstaats als klar definierter Rechtsraum in der globalen digitalen Welt nur schwer anwenden. Viel wichtiger sind internationale Spielregeln: Wir brauchen ein international harmonisiertes Verständnis für Fragen des Datenschutzes; darunter fallen auch einheitliche Definitionen für personenbezogene Daten oder eine einheitliche Definition des öffentlichen Raums“, erläutert Schauf gegenüber MarketingIT. Das Internet sei in seiner Grundeinstellung ein öffentlicher Raum und kein privater. Sonst würden viele Anwendungsszenarien gar nicht mehr funktionieren.

Die antizipierte Verwaltungspraxis der Datenschützer sollte stärker hinterfragt werden: „Die gegenwärtigen Diskussionen sind meines Erachtens eher ein klares Zeichen dafür, dass wir Gesprächsbedarf und einen noch zu gestaltenden und definierenden öffentlichen Raum haben. Dazu müssen aber alle beteiligten Gruppen sprechen – die Anbieter, die Nutzer, die Politik und die Datenschützer: Die Deutungshoheit sollte niemand in diesem neuen Umfeld für sich allein reklamieren“, sagt Schauf. Lynchen sollte man die Datenschützer deswegen nicht. Aber so langsam wäre es angebracht, juristisch gegen die Selbstherrlichkeit des Düsseldorfer Kreises vorzugehen.

Gehet hin und teilt den Datenschützer!

Siehe auch:
Mentale Kernschmelze eines Datenschützers und die Angst vor der dunklen Computerwolke.

Die Offline-Philosophie des deutschen Datenschutz-Rechtes

Fachanwalt Thomas Stadler hat es auf den Punkt gebracht: „Das heutige Datenschutzrecht fußt, trotz zahlreicher Änderungen, letztlich auf Vorstellungen aus den 70′er und 80′er Jahren, die von Großrechnern in Rechenzentren geprägt sind. Heute geht es allerdings um die zeitgemäße Nutzung des Internets, die u.a. durch Social Media, durch Affiliate-Programme und Cloud-Computing bestimmt wird“, schreibt Stadler.

Darauf seien die Vorschriften des BDSG nicht ausgerichtet, weshalb sie auch keine Antworten auf die hieraus resultierenden Fragen bieten. Würde man das geltende Datenschutzrecht tatsächlich eng und konsequent anwenden, dann müsste Deutschland offline gehen. Würde man das Massenhosting den Anforderungen der Auftragsdatenverarbeitung nach § 11 BDSG unterwerfen, wie einige Datenschutzbehörden meinen, und jede Datenübermittlung an die USA tendenziell als Rechtsverstoß betrachten, wie der Düsseldorfer Kreis meint, dann würde es in Deutschland keine Websites mehr geben und Google und Facebook wären nicht verfügbar.

„Wenn die Vertreterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) Ninja Marnau auf die Frage, ob Sie denn eine datenschutzkonforme Lösung für das Cloud Computing darstellen könne, ernsthaft antwortet, man würde daran arbeiten, was allerdings noch ca. drei Jahre dauert, dann ist damit eigentlich alles gesagt. Die Datenschützer haben keine Antwort auf die Frage, wie man das Internet tatsächlich zeitgemäß und datenschutzkonform nutzen kann. Sie scheitern zudem an ihren eigenen hohen Maßstäben, was die Inkonsequenz ihrer eigenen Positionen unterstreicht“, so Stadler.

Vielleicht sollte die Online-Wirtschaft jetzt mal in die Offensive gehen! Siehe dazu meinen Beitrag für den Fachdienst MarketingIT:

Aktuell könne man mit gutem Gewissen die Wertung vornehmen, dass IP-Adressen keine personenbezogenen Daten sind – auch wenn der Düsseldorfer Kreis das Gegenteil behauptet. Dann sollten doch die Datenschützer Wahlbrink oder Kasper mit ihren Bußgeldandrohungen weitermachen. Eine endgültige Klärung bekomme man nur vom BGH oder Bundesverwaltungsgericht. Für die digitale Wirtschaft wäre es ratsam, es auf Klagen ankommen zu lassen. „Gegen die Verfügungen der Datenschützer sollten in jedem Fall Rechtsmittel eingelegt werden. Hier muss die Internet-Branche einheitlich vorgehen und verhindern, dass es zu bestandskräftigen Entscheidungen kommt“, rät der Bonner Rechtsanwalt Wüllrich. Den ersten richtig guten Fall, wie in Niedersachsen, dürfe die digitale Wirtschaft nicht lapidar begleiten. Hier müssten die Interessen aller Unternehmen gebündelt werden. Die Nutzer der IP-Adressen sollten einen Gegenpol zum Düsseldorf Kreis organisieren.

Siehe auch meine Kolumne „FACEBOOK-PARANOIA DER DATENSCHÜTZER“.

Und aktuell die personalisierte Werbung als „Sündenfall“.