Facebook/Benutzer gegen Facebook/Rechtsverantwortung
Datenschutzrechtliche Verantwortung für Facebook-Fanpages und Social-Plugins
Diese Seite basiert auf dem Dokument
Wer ist datenschutzrechtlich verantwortlich für Facebook-Fanpages und Social-Plugins?
des Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).
Alle anderen Datenschutzbeauftragten der anderen Bundesländer haben sich dieser Rechtsauffassung mitlerweile angeschlossen!
Vorlage:Box VarioVorlage:Clear
Vorbemerkung
Der Beitrag befasst sich mit Fragestellung, wie weit Betreiber von Facebook-Fanpages und Webseitenbetreber für die Nutzung von sog. Social-Plugins wie des „Gefällt mir“-Buttons zur Verantwortung gezogen werden können, wenn dabei nationales bzw. europäischem Datenschutzrecht zur Anwendung kommt. Diese Überprüfung hatte ein positives Ergebnis.
Rechtliche Grundlagen
Die angegebenen Gesetzestexte sind nur in Auszügen hier wiedergegeben.
Für die Gesetze im Volltext bitte die übergeordnete Verlinkung benutzen.
- (1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.
- (2) Diese Rechte finden ihre Schranken in den Vorschriften der allgemeinen Gesetze, den gesetzlichen Bestimmungen zum Schutze der Jugend und in dem Recht der persönlichen Ehre.
- (1) Diensteanbieter sind für eigene Informationen, die sie zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich.
- (2) Diensteanbieter im Sinne der §§ 8 bis 10 sind nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben auch im Falle der Nichtverantwortlichkeit des Diensteanbieters nach den §§ 8 bis 10 unberührt. Das Fernmeldegeheimnis nach § 88 des Telekommunikationsgesetzes ist zu wahren.
- (1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
- (2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
- (3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.
- (1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
- (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
- (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
- (2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
- 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
- 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
- b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
- (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
- Artikel 2
- Begriffsbestimmungen
- d) "für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;
Daten Like Button
Der Webseitenbetreiber übernimmt ein Javascript von Facebook und baut es in seine Webseite ein. Der Browser des Besuchers führt das Skript beim Aufrufen der Seite aus. Dadurch findet selbstständig die Kommunikation zwischen Besucher und Facebook-Server statt. Dadurch veranlasst, der Webseitenbetreiber, die Kommunikation zwischen Facebook und dem Seitenbesucher. Damit ist er “Diensteanbieter”, hat also Pflichten hinsichtlich des Kommunikationsvorgangs.
Wenn man davon ausgeht:
- * das keine Datenverarbeitung stattfindet, muß jedoch der Diensteanbieter insbesondere der Pflicht zur Belehrung nach §13 TMG nachkommen. Diese Pflicht sollte vor Eintritt der Datenübermittlung stattfinden. Auch diese Pflicht wird in der allgemein üblichen Form des Button's nicht erfüllt. In so fern liegt ein geringerer Datenschutzverstoß vor. Nur die vorherige Einwilligung des User kann entfallen, weil keine eigener Verarbeitung vorliegt.
Wenn man davon ausgeht:
- * das durch Übermittlung der IP, der von Facebook erhobenen Daten und des Datums das Recht auf informelle Selbstbestimmung verletzt wird, liegt ein Datenschutzverstoß vor.
Den das ULD wie folgt darlegt: Vorlage:Hervorheben Zitat
Daten Fanpage
Wer eine Facebook-Fanpage betreibt, geht einen zivilrechtlichen Nutzungsvertrag ein.
Hierbei wird durch Facebook die unentgeltliche und umfassende Nutzung der Facebook eigenen Software und Hardware einräumt bzw. zur Verfügung gestellt.
Technisch-organisatorische Rahmenbedingungen
Gemäß den Angaben von Facebook, ist eine technisch-organisatorische Struktur geschaffen worden, mit der explizit sichergestellt werden soll, „dass Administratoren von Facebook-Seiten keinen Zugriff auf die personenbezogenen Daten von Facebook-Nutzern haben“
Damit besteht kaum ein Unterschied im Sachverhalt, zum Betreiben einer eigenen Webseite, bei der einem beauftragter Administrator die Verwaltung der Seite übertragen wird.
Deshalb wird Rechtlich § 11 BDSG, also eine Auftragsdatenverarbeitung angenommen, wobei die rechtliche Verantwortung beim Webseitenbetreiber verbleibt. Anders als Webseiten besteht aber nach Darstellung von Facebook „zwischen Facebook und den Seiten-Administratoren kein dahin gehender Vertrag, dass Facebook Nutzerdaten im Namen der Administratoren verarbeitet“.
Hier nutzt ein Fanpage-Betreiber die vorgefertigte technische und organisatorische Infrastruktur von Facebook, ohne dass die datenschutzrechtlichen Anforderungen und Absicherungen des § 11 BDSG eingehalten würden. Nach Darstellung von Facebook kann der Fanpage-Betreiber „lediglich beherrschend betreffend derjenigen Informationen angesehen werden, die diese auf ihrer Seiten posten“.
Dabei ist allerdings nicht berücksichtigt, dass personenbezogene Daten von Facebook-Mitgliedern und auch von Micht-Mitgliedern bei Facebook gesammelt und weiter genutzt werden. Die Anfertigung von personenbezogenen Profilen und pseudonymen Profilen erfolgt nicht vom Fanpagebetreiber sondern durch Facebook.
Vorlage:Hervorheben Zitat
Ungeachtet der Tatsache, dass der Betreiber die Einrichtung und Gestaltung der Fanpage durchführt, wird im Impressum Facebook Irland als Verantwortlicher benannt. Dazu ist als Ergänzung folgender Hinweis eingefügt:
Vorlage:Hervorheben Zitat
Neben der Bereitstellung der technischen Infrastruktur generiert Facebook für den Fanpage Betreiber, mit den gewonnenen Nutzungsdaten, eine Auswertung. Dieser Report wird durch Facebook, bei Mitgliedern des Netzwerks, mit Angaben zu Alter, Geschlecht und Herkunft ergänzt und als anonymer Nutzungsreport den Fanpage-Betreibern zur Verfügung gestellt. Damit wird bei Erstellung der Fanpage ein Auftrag zur Nutzungsanalyse, wie in §15 Abs. 3 geregelt, fest vereinbart, worin eine Auftragsdatenverarbeitung zu sehen ist.
Rechtliche Bewertung
Das ULD geht davon aus, dass ein Auftragsverhältnis nach § 11 BDSG, zwischen Facebook und Fanpage-Betreiber, eingegangen wird. Dem wird von Facebook widersprochen. Wenn Facebook hier kein Vertragverhältnis sieht, bleibt nur eine eigenverantwortliche Datenerhebung seitens Facebook anzunehmen.
Dabei ist die Frage, ob dem Betreiber eine Teilverantwortung zufällt oder die Daten direkt beim Besucher erhoben werden, noch Gegenstand des Streites.
Dabei berücksichtigt das ULD in der Bewertung auch das Urteil gegen EBAY (EuGH U.v. 12.07.2011 – C-324/09). Darin hat der Europäische Gerichtshof klar herausgearbeitet, dass bei aktiver Mitwirkung auch eine Verantwortung gegeben ist, wenn nur durch die aktive Mitwirkung die Daten beschafft werden können.
Selbst wenn man das Grundgesetz Art. 5 (Freie Meinungsäußerung) zur Prüfung heranzieht, ergibt sich keine andere Bewertung. Dieses Grundrecht schützt nicht nur die Meinungen, sondern auch die Wahl der Mittel oder die Form der Meinungsäußerung. Wird aber durch GG Art. 5 Abs. 2 GG: „Schranken in den Vorschriften der allgemeinen Gesetze“ eingeschränkt. Zu den "Leitplanken" gehört das Datenschutzgesetz. Die Beachtung des Datenschutzrechts, führt das ULD an, beschränkt eine Person in keiner Weise in die Wahrnehmung ihres Grundrechts nach Art. 5 GG. Auch die Verbreitung über das Internet ist hier nicht ausgenommen, sofern die Verwendung der Nutzungsdaten im Rahmen des Datenschutzgesetzes erfolgt und rechtmäßig ist.
Ergebnis der rechtliche Prüfung
Fazit
Vorlage:Box VariabelVorlage:Clear
Da es Grundsätzlich ein großes Anliegen und ein Kernthema der Piratenpartei ist, dass die über ihre Fanpage ausgelöste Kommunikation datenschutzkonform erfolgt, die Beurteilung durch das ULD so nicht erwartet werden konnte, werden hier sicher kurzfristig die entsprechenden Anpassungen vorgenommen. Erste Maßnahmen - siehe hier - wurden eingeleitet .....
Bundesparteitag 2012.1/Antragsfabrik/Sonstiger Antrag 013
Antragstext
Es wird beantragt, den Betrieb der Facebook Fanpage der Piratenpartei Deutschland einzustellen, da dieser nicht mit den Wertmaßstäben der Partei zu vereinbaren ist und möglicherweise gegen Bundesdatenschutzgesetz und Telemediengesetz verstößt.
Antragsbegründung
Das Unabhängige Landeszentrum für Datenschutz (ULD) kommt nach einer technischen und rechtlichen Analyse der Facebook Dienste zu dem Ergebnis, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) verstoßen. Darüber hinaus führe Facebook eine datenschutzrechtlich unzulässige Reichweitenanalyse (Webtracking & Webanalyse) sowohl auf der eigenen Plattform als auch plattformübergreifend über Social Plugins durch. Zudem finde eine umfassende, persönliche Profilbildung statt.