1.1.
Social Plugins und Online Marketing ^
Facebook bietet mittlerweile eine ganze Reihe solcher Social Plugins an1. Der «like»-Button gibt Besuchern von Webseiten, auf denen er eingebunden ist, die Möglichkeit, ihre Wertschätzung für diese Webseite mit einem Klick auf den Button auf ihrem Facebook-Profil zu veröffentlichen. Anderen eingeloggten Besuchern derselben Seite kann dann angezeigt werden, welche ihrer Freunde diese Seite mögen.
Auch die Firma Google versucht ihre Möglichkeiten des Online Marketings zu erweitern, indem sie auf den Zug der Social Plugins aufsprang. Ihr +1-Button ist die neueste, wenige Wochen alte Entwicklung der Social Plugins. Er funktioniert wie der «like»-Button von Facebook. Um ihn zu benutzen, benötigt man ein Google-Profil. Dann lassen sich über den Button eigene Vorlieben für bestimmte Webinhalte zum Ausdruck bringen. Anderen Nutzern wird dann, sofern sie eingeloggt sind, bei einer Google-Suche angezeigt, dass man einen bestimmten Inhalt mit +1 versehen hat. Google´s Wettbewerbsvorteil der hohen Nutzung der Google-Suchmaschine könnte Facebook´s «like»-Button in Bedrängnis bringen2.
Auch der Tweet-Button der Firma Twitter Inc. lässt sich einfach in die eigene Webseite implementieren. Auch hier ist dasselbe Procedere wie bei Facebook und Google zu erkennen. Der Code wird von der Tweet-Button-Seite3 frei zur Verfügung gestellt. Der Google+-Button hat den Tweed-Button von Twitter bereits in seiner Ausbreitung überholt4.
1.2.
Aktuelle Entwicklungen ^
Der am weitesten verbreitete unter den Social Plugins ist immer noch unangefochten der «like»-Button von Facebook5. Er findet sich gegenüber 50.000 Webseiten im April 2010 mittlerweile auf über 2,5 Millionen Webseiten wieder6, auf welchen die Webseitenbesucher täglich durchschnittlich 50 Millionen Mal den «like»-Button klicken7. Laut einer Studie des Wall Street Journals8 ist der Facebook «like»-Button im Sammeln von Daten noch fleißiger als ein herkömmlicher Cookie, funktioniert also «wie ein kleines Tracking-Tool»9. Diese Verbindung führt zu einer großen Anzahl der datenschutzrechtlich potentiell Betroffenen und ist daher äußerst bedenklich.
Wegen dieser Bedenklichkeit hat jüngst die Hamburger Stadtverwaltung entschieden, Social Plugins von ihrem Webauftritt zu nehmen10. Wenige Wochen später erklärte das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutz-Aufsichtsbehörde für Unternehmen in Schleswig Holstein, es halte den Einsatz des Facebook «like»-Buttons für rechtswidrig und forderte Seitenbetreiber auf, diesen zu entfernen11. Das ULD hat seine datenschutzrechtliche Bewertung der «Reichweitenanalyse durch Facebook» im Internet veröffentlicht12. Insbesondere durch diesen Bericht hat das ULD eine Lawine an Reaktionen, vor allem auf Seite der Behörden, losgetreten.
Inzwischen heben sich die Aufsichtsbehörden Rheinland-Pfalz13, Mecklenburg-Vorpommern14 und Niedersachsen15 der Rechtsauffassung des ULD angeschlossen. Die bayerische Datenschutz-Aufsichtsbehörde riet dagegen zur Besonnenheit und setzte auf eine deutschlandweite Einigung16. Wie das ULD berichtet17, wurde diese nationale Einigung erreicht. Es haben sich der Grundhaltung des ULD die Datenschutzaufsichtsbehörden der übrigen Bundesländer bei ihrem Zusammentreffen im sogenannten «Düsseldorfer Kreis»18 angeschlossen. Sie gehen im Ergebnis übereinstimmend von der datenschutzrechtlichen Unzulässigkeit einer Nutzung eingebundener Social Plugins aus. Der Düsseldorfer Kreis begründet dies damit, dass de facto bereits gar keine Möglichkeit für (deutsche) Webseitenbetreiber existiere, eine einwillligungstaugliche Informationsgrundlage für Nutzer der Website bzw. des Buttons bereitzustellen.
2.1.1.
XFBML-Technik ^
Durch verschiedene Befehle innerhalb der Java-Script-Datei wird der «like»-Button in der richtigen Sprache eingebunden, die entsprechende Facebook-Library vom Facebook-Server abgefragt, diese geladen und der Login-Status des jeweiligen Nutzers der Webseite, auf der sich dieser gerade befindet, überprüft. In nahezu jeder Java-Script-Datei, die beim Aufruf eines Social-Plugins übertragen wird, wird zu Beginn eine Protokollierung durchgeführt (Logging).
2.1.2.
iFraming ^
Bei dieser Lösung wird der «like»-Button über ein sogenanntes iFrame in die Webseite eingebunden. Das bedeutet, dass ein rechteckiger Platz auf der Webseite mit Inhalten gefüllt wird, die nicht vom Server des jeweiligen Webseitenbetreibers stammen, sondern von Facebook-Servern selbst. Die Einbindung erfolgt dabei anhand einer Anleitung von Facebook19. Das bedeutet, dass der gesamte Inhalt des iFrame-Fensters von Facebook geliefert wird. Der Webseitenbetreiber kann anhand dieser Anleitung nur das Aussehen des «like»-Buttons bestimmen und die URL der Seite angeben, auf der der «like»-Button erscheinen soll. Ruft ein Nutzer die Webseite mit dem «like»-Button auf, so schickt der Browser des Nutzers, nachdem die Webseite geladen wurde, eine Anfrage an Facebook, um das fehlende iFrame-Fenster zu füllen.
2.2.
Google´s +1-Button ^
Der Google +1 Button wird wie der Facebook «Like»-Button auch mittels eines kurzen Codes in die Webseite eingebunden. Auch hier kommt Java-Script zur Anwendung.
Im Gegensatz zu Facebook hält Google für seinen +1-Button spezielle Datenschutzbestimmungen bereit20. Aus diesen geht hervor, welche Daten bei der Benutzung des Buttons gespeichert und wie diese verwendet werden. Demnach speichert Google «sowohl die Information, dass Sie für einen Inhalt +1 gegeben haben, als auch Informationen über die Seite, die Sie beim Klicken auf +1 angesehen haben». Die vergebenen +1 «können als Hinweise zusammen mit Ihrem Profilnamen und Ihrem Foto in Google-Diensten, wie etwa in Suchergebnissen oder in Ihrem Google-Profil, oder an anderen Stellen auf Websites und Anzeigen im Internet eingeblendet werden». Zudem werden Informationen über die +1-Aktivitäten aufgezeichnet. Google behält sich außerdem vor, zusammengefasste Statistiken über die +1-Aktivitäten der Nutzer an die Öffentlichkeit, Nutzer und Partner (z.B. Publisher, Inserenten, verbundene Websites) weiterzugeben (als Beispiel wird genannt: «10 Prozent der Nutzer, die dieser Seite +1 gegeben haben, befinden sich in Tacoma im US-Bundesstaat Washington.»).
Im Google Hilfebereich21 ist zu lesen, dass beim Betätigen des +1 Buttons Informationen über das Google-Profil des Nutzers, die empfohlene URL, seine IP-Adresse und andere browserbezogene Informationen an Google gesendet werden. Nimmt man das +1 zurück, würden diese jedoch wieder gelöscht. In diesem Text bestätigt Google, dass auch dann Daten erhoben werden, wenn der Button nicht aktiv betätigt wird, also bereits beim bloßen Aufruf der Seite, die den Button enthält. Diese würden zur «ordnungsgemäßen Verarbeitung der Anforderung durch die Google-Server» benötigt und dienten außerdem zur Fehlerbehebung. Sie würden nicht nach individuellen Profilen, Nutzernamen oder URLs strukturiert und normalerweise kürzer als zwei Wochen gespeichert.
2.3.
Twitter´s Tweet-Button ^
Allerdings sind die Datenschutzbestimmungen22 von Twitter nicht aufschlussreich, was die Art der durch den Tweet-Button übertragenen Daten anbelangt.
3.1.
Anwendbarkeit des deutschen Datenschutzrechts ^
Das deutsche Datenschutzrecht findet nach § 1 Abs. 5 Satz 2 BDSG nur dann «Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gelegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.» Das gilt auch für die in § 11 ff. TMG enthaltenen Datenschutzbestimmungen23.
Entscheidend ist nach dem sogenannten Sitzlandprinzip regelmässig, in welchem Land die «verantwortliche Stelle» ihren Sitz hat. Nach § 1 Abs. 5 BDSG findet das deutsche Datenschutzrecht aber auch Anwendung, wenn – wie Facebook, Google und Twitter – ein Unternehmen mit einem Sitz außerhalb der EU (sogenanntes Drittland) und dort auch die Datenverarbeitung vornimmt, aber eine verantwortliche Niederlassung in Deutschland hat. Facebook hat zwar eine Niederlassung in Deutschland24, diese ist aber nicht verantwortlich für die Datenverarbeitung.
Entscheidend für «im Inland erheben» ist dann, ob hierbei auch auf Mittel zurückgegriffen wird, die im Hoheitsgebiet Deutschlands gelegen sind, Art. 4 (1) c der EU-Datenschutzrichtlinie 95/46/EG (EU-DSRL). Insoweit ist zu ermitteln, welcher Ort ausschlaggebend für die Erhebung von personenbezogenen Daten ist.
Es sind drei mögliche Anknüpfungspunkte zu unterscheiden: Einerseits der Standort des Servers, da die personenbezogenen Daten am Server endgültig anfallen, andererseits unabhängig von den Standorten der Hardware und des Besuches der Webseite durch den Nutzer der Erhebungswille der verantwortlichen Stelle. Eine dritte Anknüpfungsmöglichkeit besteht im Standort des Rechners des Webseitenbesuchers, da dieser seine personenbezogenen Daten an diesem Standort zur Verfügung stellt.
Die Social Plugins liegen auf Servern in den USA und werden durch den deutschen Webseitenbetreiber mittels iFrame oder Java-Script eingebunden. Die Webseitenbetreiber ermöglichen durch den Einbau der Plugins dem jeweiligen SNS, personenbezogene Daten zu erheben. Viele der Server, auf denen diese Webseiten gespeichert sind, befinden sich in Deutschland. Diese könnten dann ebenso «Mittel» im Sinne der Norm sein wie der Rechner eines deutschen Nutzers, der auf deutschem Territorium gelegen ist. Das BDSG erfasst allerdings keine Fälle, wenn die Datenträger – wie hier – nur zum Zweck des Transits durch das Inland eingesetzt werden (§ 1 Absatz 5 Satz 4 BDSG).
Es ließe sich hinsichtlich des Erhebungswillens der verantwortlichen Stelle argumentieren, dass das Angebot sich nicht explizit an deutsche Webseitenbetreiber richtet, da die Social Plugins generell weltweit in diversen Sprachen angeboten werden. Die deutsche Sprache könnte sich somit auch an das Nicht-EU-Land Schweiz richten. Auch steht einem Websitebetreiber grundsätzlich frei, ein solches Plugin in seiner Seite einzubinden oder nicht. Im Fall von Facebook werden die Plugins nur via einer englischsprachigen Website angeboten25 – eine deutschsprachige Angebotswebsite steht nicht zur Verfügung.
Allerdings könnte der Rückgriff auf den Rechner des Nutzers die Anwendbarkeit auslösen. Fraglich ist, «welchen Grad an Einfluss der Verantwortliche bei der Datenerhebung auf den PC des Nutzers ausüben muss, damit er auf diesen «zurückgreift». Bereits der Wortsinn von «zurückgreifen» deutet darauf hin, dass sich der Verantwortliche hierzu die Mittel nutzbar machen muss»26. Auf dem Rechner des Webseitenbesuchers befindet sich ein Cookie. Dieser ist ein Mittel, mit deren Hilfe der Verantwortliche Daten über das Verhalten des Nutzers sammelt. Besucht ein Nicht-Teilnehmer an einem SNS die betreffende Webseite, ist jedoch kein derartiger Cookie vorhanden. Dennoch könnte man dann argumentieren, dass die lokale Anwendung des Java-Scripts, welches die direkte Verbindung zum Server der SNS herstellt, für eine Bejahung des Inlandsbezuges ausreicht. Dies geschieht z.B. beim Musikdownloadservice iTunes von Apple. Bei technischer Betrachtung greift der Anbieter so auf die Rechner der Nutzer zurück, wenn er sich personenbezogene Daten mit Hilfe von Java-Script verschafft27.
Im Ergebnis überwiegt wohl folgende Argumentation: Durch den Besuch der Webseite, die den Button mit entsprechend angepasstem Code eingebunden hat, werden die personenbezogenen Daten des Betroffenen unmittelbar vom Betroffenen an den SNS übermittelt. Damit findet eine Datenerhebung unmittelbar mit Hilfe des Computers des Betroffenen statt, welcher sich in Deutschland befindet28.
3.2.
Abgrenzung zwischen BDSG und TMG ^
Soziale Netzwerke sind zusammengesetzte Dienste, die sowohl Telekommunikations- wie auch Mediendienstleistungen erhalten. Bei diesen Dienstleistungen werden Daten verarbeitet. Welches Gesetz auf die Erhebung und Verarbeitung dieser Daten anwendbar ist, bestimmt sich nach der Art der Daten, sogenanntes Schichtenmodell29:
Soweit es um die Übertragung der Information geht, dass ein Nutzer einen bestimmten Inhalt durch Betätigen des Buttons «mag» bzw. «gut findet», wird vertreten, dass diese Information zur Nutzung der Seite nicht erforderlich ist im Sinne des § 15 Abs. 1 TMG und es sich insofern um Inhaltsdaten handelt, deren Erhebung und Verarbeitung sich ausschließlich nach dem BDSG beurteilt30.
3.3.
Art der Daten ^
Die oben31 beschriebenen technischen Abläufe dienen dem Webtracking und einer Webanalyse (Reichweitenanalyse). Letztere umfasst das Sammeln, Analysieren und Rapportieren der Nutzung einer oder mehrerer Webseiten und des Verhaltens ihrer Besucher32. Dabei werden folgende Daten des Webseitenbesuchers – hier am Beispiel Facebook – abhängig vom Status des Webseitenbesuchers verwendet:
A | B | ||
Nur Aufruf der Webseite mit Social Plugin | Aufruf der Webseite mit Social Plugin und Benutzung des Social Plugins | ||
1 | Kein Teilnehmer im SNS | IP-AdresseBrowserstring | Zusätzlich zu 1A: Adresse der Webseite, eindeutige ID der Webseite, Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins |
2 | Teilnehmer im SNS und dort während des Webseitenbesuchs NICHT angemeldet | IP-AdresseBrowserstringInhalte des bereits lokal gespeicherten «datr»-Cookie (eine zwei Jahre gültige, eindeutige ID der Browserinstanz, gleich einer Nutzer-ID) | Zusätzlich zu 2A: Adresse der Webseite, eindeutige ID der Webseite, Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins |
3 | Teilnehmer im SNS und dort während des Webseitenbesuchs angemeldet | IP-AdresseBrowserstringInhalte des bereits lokal gespeicherten «datr»-Cookie (eine zwei Jahre gültige, eindeutige ID der Browserinstanz, gleich einer Nutzer-ID)Inhalte der Cookies «s», «sct», «xs» (Session Cookie) und «c_user» (zur Authentifizierung)Facebook Insights wird aktiv | Zusätzlich zu 3A: Adresse der Webseite, eindeutige ID der Webseite, Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins |
Facebook versichert zwar, man speichere diese Daten nur «für einen Zeitraum von 90 Tagen». Danach kombiniere Facebook diese Daten mit den Daten anderer Personen in einer Art und Weise, die keinen Rückschluss auf den einzelnen Nutzer persönlich zulasse33. Auch behauptet das Unternehmen, dass ein «übliches Impressionsprotokoll» inklusive «Daten über Zeit, URL, Art des Browsers, Land und eine allgemeine (!) IP-Adresse» gespeichert werden, weist aber gleich darauf hin: «Facebook sammelt keinerlei persönliche Informationen von Nicht-Nutzern oder Facebook-Nutzern, die nicht bei Facebook eingeloggt sind»34.
Nach einer Analyse der technischen Einbindung sieht die datenschutzrechtliche Wirklichkeit allerdings anders aus:
Facebook ermittelt generell bei jedem Aufruf eines in einer Webseite eingebundenen Social Plugins die IP-Adresse und den Browserstring. Eine IP-Adresse ist eine dem Anschluss während einer Sitzung zugewiesene Nummer, mit Hilfe derer die Kommunikation zwischen dem Anbieter der Information und Nutzer durchgeführt wird. Die IP-Adresse ist somit eine grundsätzlich bei der Teilnahme am Internet anfallende Information, sie kann auch ohne einen Cookie übermittelt werden. Dies gilt auch dann, wenn der Nutzer im Zeitpunkt des Aufrufs der Webseite Nicht-Teilnehmer (also nicht registriert oder nicht eingeloggt) bei Facebook ist.
Die Prüfung des Login-Status geschieht anhand eines sogenannten Cookies35. Ein Cookie ist eine Textdatei mit einer Identifikationsnummer (ID), die auf dem Rechner des Nutzers abgelegt wird und die der Anbieter beschreiben und wieder auslesen kann. Er kann prinzipiell alle Informationen aufnehmen, unter anderem auch besuchte Webseite und Nutzerkennung. Diese Speicherung erfolgt im Hintergrund und ist für den technisch nicht versierten Nutzer nicht sichtbar.
Loggt sich ein Nutzer bei Facebook ein (Authentifizierung), so setzt (die Möglichkeit bestimmter Nutzerseitiger Browser-Erweiterungen einmal außer Acht gelassen) Facebook mehrere Cookies (datr, s, sct, xs, c_user) auf dessen Rechner. Diese sind zumindest für einen Monat gültig.
Wenn der Nutzer anschließend eine Webseite besucht, die den «like»-Button integriert hat, wird über den vom Webseitenbetreiber eingebundenen Code eine direkte Verbindung zwischen dem Browser des Nutzers und Facebook hergestellt und es werden die genannten Cookies übertragen. Anhand dieser kann Facebook erkennen, ob der Besucher eingeloggt war oder ist, um wen es sich handelt und welche Webseiten dieser in der Zwischenzeit aufgerufen hat36. Ist der Nutzer gleichzeitig bei Facebook angemeldet, werden weitere Cookie-Inhalte an Facebook übersandt. Dazu zählen besondere Session Cookies.
Auch können aus dem Cookie weitere Daten ausgelesen werden, je nachdem wie der jeweilige SNS den Cookie-Inhalt gestaltet hat, insbesondere welchen Inhalt das «Value»-Feld des Cookies hat. Denn dieses Feld ist das einzige Feld, in dem der Anbieter beliebige Daten eintragen kann. Alle anderen Felder sind dem Standard RFC 210937 unterworfen und somit vorgegeben. Die unternehmens-abhängige Gestaltung des Value-Feldes entzieht sich aber leider regelmäßig der Kenntnis.
Facebook stellt mit Hilfe seines Werkzeugs «Insights» detaillierte Statistikinformationen über Teilnehmerinnen und Teilnehmer zur Verfügung, die von Webseitenbetreibern, die den Social Plugin implementiert haben, abrufbar sind. Diese Statistiken beziehen sich auf angemeldete Teilnehmer und die ihnen (durch Cookies) zugeordneten Facebook-Seiten.
Wird der «like»-Button benutzt, werden Informationen über weitere Komponenten des Rechners des Webseitenbesuchers verarbeitet. Schon auf Basis solcher Informationen über die installierten Komponenten eines Computers kann man den Rechner des Besuchers sehr gut von anderen Rechnern unterscheiden38.
3.4.1.
Gesetzeswortlaut ^
Wann ein personenbezogenes Datum vorliegt, richtet sich wegen des Verweises in § 12 Abs. 4 TMG nach § 3 Abs. 1 BDSG. Personenbezogene Daten sind danach «Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person», 3 Abs. 1 BDSG. Diese Definition stimmt mit der in Art. 2 a) der Datenschutzrichtlinie 95/46/EGERR überein40.
Wann ein personenbezogenes Datum vorliegt, richtet sich wegen des Verweises in § 12 Abs. 4 TMG nach § 3 Abs. 1 BDSG. Personenbezogene Daten sind danach «Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person», 3 Abs. 1 BDSG. Diese Definition stimmt mit der in Art. 2 a) der Datenschutzrichtlinie 95/46/EG40 überein41.
3.4.2.1.1.
Teilnehmer ^
3.4.2.1.2.
Nicht-Teilnehmer ^
3.4.2.1.2.1.
Statische IP-Adresse ^
Bei statischen IP-Adressen wird dem Nutzer bei jeder Anmeldung zur Internetnutzung beim ASP die gleiche IP-Adresse zugewiesen. Eine statische IP-Adresse wird nach allgemeiner Meinung als personenbezogenes Datum angesehen42, da grundsätzlich für jedes Angebot im Internet, bei denen Identifizierungspflicht besteht, die Zuordnung der statischen IP-Adresse zu ihrem Inhaber möglich, das Risiko einer Wiedererkennung des Nutzers insofern hoch ist.
3.4.2.1.2.2.
Dynamische IP-Adresse ^
Es ist weiterhin zu unterscheiden, ob ein ASP oder andere privatwirtschaftliche Unternehmen Daten erhebt. Ersterer kann durch Verknüpfung der IP-Adresse mit den bereits erhobenen Vertragsdaten seines Kunden eindeutig dessen Person feststellen, solange er Zugriff auf die Log-Dateien hat. Dementsprechend muss unstreitig sein, dass in diesem Fall auch eine dynamische IP-Adresse ein personenbezogenes Datum ist43.
3.4.2.2.
Relative und objektive Bestimmung des Personenbezugs ^
Fraglich ist, welche Anforderungen an die Bestimmbarkeit zu stellen sind. Es werden zwei verschiedene Auslegungsmöglichkeiten des § 3 Abs. 1 BDSG vertreten. Weder aus dem Wortlaut des § 3 Abs. 1 BDSG noch aus dem des Art. 2 a) der EG-Datenschutzrichtlinie ergeben sich für oder gegen eine der beiden Theorien zur Bestimmbarkeit Anhaltspunkte.
3.4.2.2.1.
Objektive (absolute) Bestimmbarkeit ^
Nach einer Ansicht44 genügt bereits die theoretische Möglichkeit einer Identifizierung des Betroffenen anhand seiner IP-Adresse.
Auch das AG Berlin-Mitte stellte fest45: Bei einer dynamischen IP-Adresse handelt es sich um personenbezogene Daten im Sinne des Telemediengesetzes, da es sich um Einzelangaben über eine bestimmbare natürliche Person handelt. Darauf, ob diese Bestimmbarkeit dabei nur mit illegalen Mitteln möglich ist, kommt es in diesem Zusammenhang nicht an. Ansonsten bestünde die Gefahr, «dass diese Daten ohne Restriktionen an Dritte, z.B. den Access-Provider, übermittelt werden können, die ihrerseits die Möglichkeiten haben, den Nutzer aufgrund der IP-Adresse zu identifizieren».
Jedoch ist selbst nach dieser Ansicht kein Personenbezug gegeben, wenn die IP-Adresse an eine juristische Person46 (auch hier muss dann aber die Ausnahme des Ein-Mann-Unternehmens gelten) vergeben oder wegen der Vielzahl der Nutzer einer IP-Adresse47 nicht feststellbar ist, welche Person den Anschluss letztlich genutzt hat. Es ist also auch am Nutzerseitigen Ende der direkten Verbindung eine Unterscheidung zu treffen. Bezüglich des Anschlussinhabers könnte man einen Personenbezug noch vertreten (einmal die Tatsache, dass ein normaler Webseitenbetreiber nicht an den Inhaber gelangt, außer Acht gelassen), nicht aber mehr betreffend der Person, die den PC gerade nutzt, denn diese muss nicht der Anschlussinhaber sein.
3.4.2.2.2.
Relative Bestimmbarkeit ^
Die wohl (noch) herrschende Meinung48 möchte die Frage der Bestimmbarkeit nach den Möglichkeiten des jeweiligen Dienstanbieters ermitteln (relative Bestimmbarkeit). Das gleiche Datum könne danach für den einen Dienstanbieter Personenbezug haben, weil dieser aus dem Informationsgehalt des Datums eine Person bestimmen kann, während für andere Dienstanbieter dieses Datum keinen Gehalt hat, da sie mit diesem keine dahinter stehende Person identifizieren können. Nicht erforderlich ist die Vornahme einer solchen Zuordnung. Vielmehr reicht die tatsächliche Möglichkeit mit den ihm konkret zur Verfügung stehenden Mitteln für den Dateninhaber aus, die Zuordnung muss ihm unter vertretbarem Aufwand möglich sein49.
Dem entspricht auch ein Urteil des AG München50. Nach dessen Auffassung «stellen die IP-Adressen deswegen keine personenbezogenen Daten dar, weil ihnen die notwendige Bestimmbarkeit fehlt. Bestimmbarkeit ist dann gegeben, wenn die datenspeichernde Stelle die hinter der Einzelangabe stehende Person mit den ihr normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand identifizieren kann» 51. Damit stellen nach Auffassung des Münchener Gerichts dynamische IP-Adressen für den Webseitenbetreiber keine personenbezogenen Daten dar. Denn die nur «theoretisch denkbare» Möglichkeit einer Identifizierung der Nutzer setze eine Herausgabe der Daten des ASP an den jeweiligen Webseitenbetreiber voraus. Da eine solche Herausgabe aber gerade illegal sei, könne eine solche Handlung für die Frage des Personenbezugs nicht berücksichtigt werden.
Zu einem anderen Ergebnis kann aber führen, wenn andere kombinierbare Informationen hinzukommen. Wird etwa innerhalb eines Angebots eines Dienstleisters im Internet eine «Zuordnung zu in Cookies gespeicherten Login-Daten vorgenommen oder kann ein Tracking-Dienstleister aus den gespeicherten Daten auf eine bestimmte Person schließen, ist Personenbezug gegeben»52. Nach Schirmbacher liegt dies insbesondere dann nahe, wenn der Betroffene auch einen Google Account hat. «Diese Bestimmbarkeit durch den Dienstleister muss sich der Website-Betreiber zurechnen lassen. In diesen Fällen ist die erhobene IP-Adresse auch für den Website-Betreiber personenbezogen»53.
3.4.2.2.3.1.
Deutsche Aufsichtsbehörden ^
«dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes. […] «Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.»
Mit diesem Beschluss schien die Diskussion um die Bewertung von IP-Adressen als personenbezogenes Datum für die Praxis beendet. Das ULD hat am 19. August 2011 in seinem Arbeitspapier54 festgestellt, dass es sich auch bei dynamischen IP-Adressen generell um personenbezogene Daten handelt. Diese pauschale Feststellung wurde zu Recht von Härting55 kritisiert.
3.4.2.2.3.2.
Rechtsprechung ^
Eine Entscheidung des OLG Hamburg vom 3. November 2010 zur Ermittlung von IP-Adressen in «File-Sharing-Fällen» hat sich gegen einen Personenbezug entschieden. Das OLG stellt darin darauf ab, dass mit normalen Mitteln ein Personenbezug der IP-Adresse nicht hergestellt werden kann. Vielmehr sei ein weiterer Schritt von dritter Seite – der Staatsanwaltschaft (Auskunftsanfrage an den Provider über §§ 161 Abs. 1 Satz 1 i.V.m. 163 StPO oder §§ 101 Abs. 9 UrhG) – notwendig.
3.4.2.2.3.3.
Zwischenergebnis ^
3.4.2.2.4.
Kritik und Zusammenfassung ^
Es ist unklar, ob und wo die Vertreter der objektiven Theorie die Grenze ziehen wollen, welches Wissen Dritter noch relevant für eine Personenbestimmung sein soll. Konsequenz der objektiven Theorie wäre, wie Spindler/Nink richtig feststellen, dass «jedes Datum, bei dem auch nur irgendein beliebiger Dritter die dahinter stehende Person durch Zusatzwissen oder Schlüsseldaten56 bestimmen könnte, für jede speichernde Stelle ein personenbezogenes Datum darstellen würde, das regelmäßig – mangels Erlaubnistatbestand – rechtswidrig erhoben und gespeichert würde»57. Die absolute Theorie hätte daher täglich einen millionenfachen Verstoß gegen das Datenschutzrecht zur Folge, der Personenbezug wäre für die Exekutive faktisch unkontrollierbar.
Auch liefe der Betroffene Gefahr, dass die Bestimmbarkeit seiner Daten von der Beurteilung dieser Schlüsseldaten abhängt, derjenige, der die Schlüsseldaten besitzt, hätte es in der Hand, schon den Personenbezug entfallen zu lassen, indem er die Schlüsseldaten löscht. Zugestimmt werden kann Spindler/Nink, die anführen: «Ob und wie viele Schlüsseldatenbesitzer existieren, ist für Daten verarbeitende Stelle meist gar nicht ersichtlich und somit auch nicht, ob sie die Daten erheben und speichern dürfen oder nicht. Letztlich führt die objektive Auslegung des Personenbezugs für die Daten verarbeitende Stelle zu großen Rechtsunsicherheiten» 58.
Diesen Streit zusammenfassend stellt Meyerdierks fest: «Die Ansicht, die die Personenbeziehbarkeit von IP-Adressen in den Serverlogs des Webseitenbetreibers bejaht, bezieht – dem objektiven Begriff der Personenbeziehbarkeit entsprechend – diese Schlüsseldaten des Access-Providers bei der Beurteilung der IP-Adressen mit ein. Die Gegenmeinung legt den relativen Personenbezug zu Grunde. Sie bezieht die Schlüsseldaten nicht mit ein und verneint daher die Personenbeziehbarkeit»59.
Zusätzlich zur relativen Theorie und zur Auflösung der verschiedenen konträren Standpunkte ließe sich das Argument der Schutzbedürftigkeit verwenden. Ein Schutz im datenschutzrechtlichen Sinn entsteht erst, wenn der Personenbezug tatsächlich hergestellt wird und nicht schon bei einer abstrakten Gefährdung. Mit Recht stellt Voigt fest: «Sinn und Zweck des Datenschutzrechts würde ad absurdum geführt, wenn letztendlich das «Weltwissen» dem Dateninhaber «zugerechnet» werden würde. Eine Bedrohung, der das aus dem Allgemeinen Persönlichkeitsrecht hervorgehende Datenschutzrecht vorbeugen soll, ist in solchen absoluten Fällen regelmäßig nicht gegeben»60.
Facebook räumt sogar ein, solche Informationen auch beim Aufruf von Partnerseiten mit Plugins zu sammeln. Facebook erhalte «weitere technische Informationen über die IP-Adresse, den Browser und das verwendete Betriebssystem»61. Enthalten sei auch die Nutzerkennnummer, wenn der Besucher bei Facebook angemeldet sei.
3.5.1.
BDSG ^
3.5.1.1.1.
Erheben ^
Problematisch ist an dieser Stelle der Prüfung die Informationspolitik jedes SNS. Insbesondere Facebook und Twitter klären nicht umfassend und abschließend darüber auf, welche Daten genau erhoben werden. Lediglich Google gibt hierzu wenige Informationen heraus. Sicher ist, dass zumindest die IP-Adresse der Webseiten-Besucher erhoben wird, um das Social Plugin technisch überhaupt nutzbar zu machen, s.o.
3.5.1.1.2.
Verarbeiten ^
Dennoch kann auch der Webseitenbetreiber «verantwortliche Stelle» sein. Eine Verantwortung des Webseitenbetreibers kann schon dann begründet sein, wenn er nach Würdigung aller Gesamtumstände aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuert62. Dies gilt umso mehr, wenn der Webseitenbetreiber in seinem Webauftritt Dienste Dritter zumindest auch zu eigenen Zwecken nutzt. Dazu gehören hier Dienste zur Reichweitenanalyse (Facebook Insights) oder der verhaltensbasierten Online-Werbung63. Erstere sind untrennbar mit der Nutzung eines Social Plugins verbunden.
3.5.1.2.
Zulässigkeit ^
3.5.1.2.1.
Verbotsprinzip ^
3.5.1.2.2.
Einwilligung des Betroffenen ^
- der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat,
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.»
Gegebenenfalls ließe sich bezüglich solcher Webseitenbesucher, die gleichzeitig SNS-Teilnehmer sind, eine Sonderregelung finden, wenn etwa Regelungen in den Allgemeinen Geschäftsbedingungen des SNS bzw. dessen zunehmend komplexer werdenden64 Datenschutzrichtlinien einbezogen werden.
Als Beispiel dienen hier die Facebook-Datenschutzrichtlinien, in denen insbesondere unklar bleibt, welche konkreten Zwecke Facebook mit der Analyse der Verwendung der Daten von registrierten Teilnehmern verfolgt. Unter Ziffer 5 der Richtlinien65 werden die Zwecke der Nutzung nur vage beschrieben. («Verwaltung des Dienstleistungsangebots» und «um potenziell rechtswidrige Handlungen zu unterbinden»). Unter Ziffer 966 heisst es: «Zustimmung zur Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika. Durch die Verwendung von Facebook stimmst du der Übertragung und Verarbeitung deiner persönlichen Daten in die bzw. in den USA zu.»
Ein etwaiger späteres Anklicken des Like-it-Buttons durch einen Nutzer könnte anders zu beurteilen sein: Denn dieses Anklicken und die damit verbundene Information, dass dem Nutzer die Seite, auf der der Button gesetzt ist, gefällt, stellt genau genommen kein Nutzungsdatum mehr dar, sondern ein Inhaltsdatum. Die Übermittlung könnte dann möglicherweise zulässig sein. Für ein Inhaltsdatum gilt nämlich nicht das TMG, sondern das BDSG, und § 4a Abs. 1 BDSG schreibt keine explizite Einwilligung vor, auch eine konkludente Einwilligung wäre möglich. Dann aber greift die seit 1. September 2009 neue Norm des § 28 Abs. 3a BDSG: Danach muss eine nicht-schriftliche Einwilligung schriftlich (!) bestätigt werden, wenn sie nicht in elektronischer Form erklärt wird. Eine solche schriftliche Bestätigung scheidet aus praktischen (und Kosten-)Gründen aus.
Es wäre denkbar, den Prozess einer wirksamen Einwilligung über die technische Seite zu lösen, indem die Social Plugins modifiziert eingebunden werden67.
3.5.1.2.3.
Erlaubnistatbestände ^
- Zum einen für die Weitergabe an sich (1. Stufe)
- Zum anderen für die Weitergabe an ein Unternehmen außerhalb der EU / des EWR (2. Stufe)
3.5.1.2.3.1.
Weitergabe als solche ^
3.5.1.2.3.2.
Weitergabe an eine Stelle außerhalb der EU / des EWR ^
3.5.2.
TMG ^
3.5.2.1.1.
Ausdrücklich ^
3.5.2.1.2.1.
Betätigung des Social Plugin ^
Sofern ein Teilnehmer an einem SNS den Social Plugin betätigt bzw. auslöst, wird vertreten, dass der Teilnehmer dann gerade eine Weiterempfehlung der das Social Plugin verwendenen Webseite wünscht und auch weiß, dass diese Empfehlung mit seiner Nutzeroberfläche im jeweiligen SNS verknüpft wird68. Dem muss man jedoch entgegenhalten, dass zweifelsohne mehr Daten erhoben werden, als dem einzelnen Teilnehmer bekannt sein wird, die volle Tragweite seiner konkludenten Einwilligung ihm also nicht bewusst sein kann69 . Zudem ist zu beachten, dass § 4a Abs. 1 S. 3 BDSG nur ausnahmsweise unter «besonderen Umständen» von der Schriftform der Einwilligung absieht, stets jedoch weiterhin eine «andere Form» der Einwilligung gefordert wird. Selbst wenn man argumentiert, es läge hier ein Fall des § 13 abs. 2 TMG vor, so lässt sich diese «elektronische Einwilligung» nicht auf den vorliegenden Fall übertragen. Denn allein die Betätigung des Social Plugins kann unmöglich selbiger genügen.
Verschärft werden diese Feststellungen noch, wenn das Social Plugin durch einen Nicht-Teilnehmer eines SNS betätigt wird. Dann scheitert eine konkludente Einwilligung schon an der mangelnden Kenntnis der oder des Betroffenen über die Reichweite seiner Handlung. Gerade dann muss eine konkludente Einwilligung abgelehnt werden.
3.5.2.1.2.2.
Nicht-Betätigung des Social Plugin ^
Noch klarer wird die Diskussion für den Autor dieses Beitrages, wenn der Betroffene das Social Plugin nicht betätigt, sondern die das Social Plugin enthaltene Webseite lediglich aufruft. Eine konkludente Einwilligung liegt dann sicherlich nicht vor.
3.5.2.2.
Erlaubnistatsbestand § 15 Abs. 1 TMG ^
Auch würde diese Interpretation gegen die gesetzlichen Vorgaben und den Grundsatz der restriktiven Auslegung der gesetzlichen Erlaubnisse im Datenschutzrecht verstoßen. Denn selbst wenn § 15 Abs. 1 TMG ausreichen mag für Webseitenbesucher, die den like-Button aktivieren und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (erst recht nicht von den Webseitenbesuchern, die nicht bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher als zu umfangreich ansehen und daher ablehnen.
Zudem ist an die personenbezogenen Daten Dritter zu denken. In dem Moment, wenn das Social Plugin betätigt wird, werden auch Daten von Nicht-Teilnehmern an einem SNS erhoben und verarbeitet. Die Erhebung solcher Daten ist sicherlich nicht erforderlich.
4.
Handlungsempfehlungen für Webseitenbetreiber ^
4.1.
Technische Lösungen ^
Grundlage der ersten technischen Lösung ist die Überlegung, dass Social Plugins meist als iFrame in eine Website eingebunden werden. Um nun vor der Anzeige des Plugins die Einwilligung des Besuchers einzuholen, könnte ein weitere iFrame vorgeschaltet werden. In diese Datei, die beispielsweise einwilligung.html genannt werden kann, könnte dann eine Einwilligungserklärung aufgenommen werden. Die Datei einwilligung.html kann nun an der gewünschten Stelle, an der auch der Social Plugin erscheinen soll, mit folgendem Code eingebunden werden :
Auch Grimme70 bietet eine Lösung an – hier am Beispiel Facebook: Danach würde die Internetseite zuerst ohne das Plugin und damit ohne eine Datenübermittlung an den SNS aufgerufen. Stattdessen ist ein Link sichtbar, über den der Button eingeblendet werden kann. Es wird darauf hingewiesen, dass dann Daten an Facebook übermittelt werden. Der Nutzer muss den Link bewusst anklicken. Um dies technisch umzusetzen, binden Sie den nachfolgenden Code in die Webseite ein. Tauschen Sie das Wort PLATZHALTER durch die individuelle Facebook-URL aus (achten Sie darauf, dass Anführungszeichen und Semikolon um die URL herum stehen bleiben). Die Facebook-URL erhalten Sie, wenn Sie den Code-Generator von Facebook71 ausführen. Suchen Sie in dem für Sie individuell erstellten Code nach der Stelle, an der Ihre Webadresse auftaucht, kopieren Sie diese komplett (das heißt, alles nach "?href=" und vor dem ersten Leerzeichen) und fügen Sie sie in den nachfolgenden Code anstelle von PLATZHALTER ein.
Auch könnte ein «vorgeschalteter Button» programmiert werden. Zur Demonstration hat Dorian Roy72 einen Opt-In-Button entwickelt, den man vor den Facebook-Button schalten kann. Erst wenn dieser Button durch Anklicken aktiviert wird, bekommt Facebook das Cookie mit den Daten eines bei Facebook eingeloggten Besuchers zugesandt.
Rechtsanwalt Christian Solmecke73 rät Webseitenbetreibern, den like-Button zunächst ohne Funktionalität als reines Bild auf einer Webseite einzubinden. Erst mit dem Klick auf dieses Bild soll dann der eigentliche like-Button mit seiner vollen Funktionalität durch Laden der Facebook Libraries aktiviert werden. In diesem Fall aktiviere der Nutzer die Übertragung dann bewusst selbst. Er habe dann auch vorher die Möglichkeit, eine entsprechende Datenschutzbestimmung zur Kenntnis zu nehmen und sich genau zu überlegen, ob er den Button aktivieren wolle oder nicht.
Für diese Lösung wurde schon ein Tool zum Download bereitgestellt, welches die datenschutzrechtlich einwandfreie Einbindung von Social Plugins gewährleisten soll. Das von Jens Ferner74 entwickelte und schon seit einiger Zeit im Einsatz befindliche Zusatz-Plugin wurde auch von der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein für im Grundsatz zulässig erachtet. Dieses Tool «aktiviert» den Facebook Like-Button erst nach dem Klick auf eine entsprechende Einwilligung.
4.2.
Bedeutung für die elektronische Einwilligung ^
4.3.
Datenschutzerklärung ^
4.3.1.
Hinweispflichten des Diensteanbieters ^
Die Gefahr einer Abmahnung durch Wettbewerber dürfte dagegen insbesondere seit Mai 2011 gering sein, da die fehlende Abmahnfähigkeit eines unterbliebenen Datenschutzhinweises zum Facebook like-Button nun auch das Land- und Kammergericht Berlin bestätigt hat75 mit dem Hinweis, dass es sich bei § 13 TMG um eine Vorschrift handelt, deren Verstoß nicht wettbewerbswidrig ist.
4.3.2.
Beispiel einer Datenschutzerklärung ^
Die Hinweispflicht des Webseitenbetreibers könnte durch folgende Formulierung76 erfüllt werden, die die jüngsten Entwicklungen miteinbeziehen:
Verwendung von Social Plugins
1) Der Webseiten-Auftritt der XXX verwendet «Social Plugins» des
a) Sozialen Netzwerkes «Facebook», aufrufbar unter facebook.com, das von der Firma Facebook Inc., 1601 S. California Ave., Palo Alto, CA 94304, USA angeboten und betrieben wird. Das Plugin ist mit einem Facebook Logo gekennzeichnet.
b) Sozialen Netzwerkes «Google +», aufrufbar unter plus.google.com, das von der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA angeboten und betrieben wird. Das Plugin ist mit einem Google + Logo gekennzeichnet.
c) Sozialen Netzwerkes «Twitter», aufrufbar unter twitter.com, das von der Firma Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA angeboten und betrieben wird. Das Plugin ist mit einem Twitter Logo gekennzeichnet.
2) Die Inhalte dieser Plugins werden von diesen Firmen direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden. Wenn Sie eine unserer Webseiten aufrufen, die eines oder mehrere dieser Social Plugins enthält, stellt ihr Browser eine direkte Verbindung mit einem oder mehreren Servern einer oder mehrerer der oben genannten Firmen her. Wir haben auf diese Verbindung keinen Einfluss.
3) Bei dieser Verbindung können Ihre personenbezogenen Daten betroffen sein.
a) Sind Sie zum Zeitpunkt oder waren Sie vor dem Zeitpunkt des Aufrufs unseres Webseiten-Auftritts bei einem oder mehreren dieser Sozialen Netzwerke nicht angemeldet, so erhalten diese Firmen dennoch diese personenbezogenen Daten über Sie:
- die IP-Adresse Ihres Rechners
b) Sind Sie zum Zeitpunkt oder waren Sie vor dem Zeitpunkt des Aufrufs unseres Webseiten-Auftritts bei einem oder mehren dieser Sozialen Netzwerke angemeldet, so erhalten diese Firmen diese personenbezogenen Daten über Sie:
- die IP-Adresse Ihres Rechners
- Informationen über das Profil des Nutzers im Social Network (Nutzer-ID)
- andere durch die Sozialen Netzwerke nicht näher benannte browserbezogene Informationen
4) Die Sozialen Netzwerke können Ihr Nutzerverhalten im Internet dann Ihrem Nutzer-Konto im entsprechenden Sozialen Netzwerk zuordnen, und die entsprechende Information in Ihrem Profil angezeigen. Es ist den Sozialen Netzwerken dann möglich, ein individuelles Profil über Ihr Nutzerverhalten im Internet zu erstellen.
5) Wenn Sie eine solche Datenübermittlung unterbinden möchten, müssen Sie sich vor dem Besuch unseres Internetauftritts unter Ihrem Facebook-Account ausloggen. Sofern Sie sich vor Ihrem Besuch auf unserem Webseiten-Auftritt bei Facebook ausgeloggt haben und die entsprechenden Cookies in Ihrem Browser gelöscht wurden oder Sie Cookie-blockende bzw. -entfernende Erweiterungen Ihres Browser verwenden, ist eine solche Zuordnung nicht mehr möglich.
6) Die über Sie erhobenen Informationen werden an einen oder mehrere Server dieser Firmen am entsprechenden Standort in den USA übermittelt und dort gespeichert.
7) Als Betreiber von http://www.XXX.XX haben wir keinen Einfluss auf die technische und inhaltliche Ausgestaltung der Social Plugins. Auch werden in diesem Zusammenhang von uns keine personenbezogenen Daten erhoben, verarbeitet oder genutzt. Die Übermittlung Ihrer personenbezogenen Daten geschieht, ohne dass wir auf diesen Übermittlungsvorgang technischen Einfluss haben.
8) Sie können unsere Seite besuchen, ohne Angaben zu Ihrer Person zu machen. Personenbezogene Daten werden nur erhoben, wenn Sie uns diese im Rahmen Ihres Besuchs unseres Internetauftritts freiwillig mitteilen.
9) Zweck und Umfang der Datenerhebung durch die Sozialen Netzwerke sowie die dortige weitere Verarbeitung und Nutzung Ihrer Daten wie auch Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatssphäre entnehmen Sie bitte den Datenschutzhinweisen von
Facebook: https://www.facebook.com/policy.php
Google: http://www.google.com/privacy/privacy-policy.html
Twitter: https://twitter.com/privacy
10) Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten sowie bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten wenden Sie sich bitte an:
(Name, Anschrift des Ansprechpartners für Datenschutz, ggf. Datenschutzbeauftragter)
5.
Ergebnis und Aussicht ^
Die datenschutzrechtliche Zulässigkeit ist nach wie vor umstritten. Es ist daher die weitere rechtliche Entwicklung zu beobachten. Bis dahin muss aus datenschutzrechtlicher Sicht von einer Nutzung der Social Plugins abgeraten werden, will man nicht bei den zwei Kernfragen gegen datenschutzrechtliche Normen verstoßen. Letztlich hängt dies aber auch von der genauen Ausgestaltung der technischen Lösung auf der Webseite ab. Gerade Webseiten-Betreiber in Schleswig-Holstein und Niedersachsen sollten eine Anpassung der Social Plugins, insbesondere des like-Buttons von Facebook, dringend in Erwägung ziehen. Neben der Möglichkeit einer Auseinandersetzung mit der Datenschutzaufsichtsbehörde sollten Webseitenbetreiber auch die wettbewerbsrechtliche Seite (Abmahnrisiko) in ihre Entscheidung über den Einsatz von Social Plugins mit einfließen lassen.
Philipp E. Fischer, LL.M. (London/Dresden)
Wirtschaftsjurist; Geistiges Eigentum und Datenschutzrecht
Datenschutzbeauftragter und -auditor (TÜV)
Herr Philipp E. Fischer, Wirtschaftsjurist mit Sitz in München, absolvierte den Master of Laws (LL.M.) im Schwerpunkt Geistiges Eigentum an der Queen Mary School of Law London und der Technischen Universität Dresden. Neben seiner Teilnahme an Kursen im Computer Law, Cyberspace Law, E-Commerce Law und Privacy and Information Law an den Lehrstühlen von Prof. Ian Walden und Prof. Christopher Millard schrieb Herr Fischer dort eine Abschlussarbeit zum Thema «Will Privacy Law in the 21st Century Be American, European or International?». Seitdem widmet er sich der Entwicklung des Internationalen Datenschutzrechts auch in wissenschaftlichen Beiträgen und Konferenzvorträgen.
Nach seiner Tätigkeit für die Firma Amazon.de GmbH (2005) sowie die Anwaltskanzlei mmm&m in Madrid (2006-2007) gründete Herr Fischer eine Beratungsfirma im Sektor E-Commerce- und Datenschutzberatung. Im Jahr 2010 war Herr Fischer als Datenschutzreferent am Max-Planck-Institut für Immaterialgüter- und Wettbewerbsrecht in München im Rahmen des CLIP-Projektes beschäftigt und erhielt ein Stipendium von der Deutschen Gesellschaft für Recht und Informatik (DGRI). 2011 übernahm Herr Fischer den Aufgabenbereich des Datenschutzauditors in der Kanzlei S-S-H Rechtsanwälte in München. Herr Fischer ist offiziell zertifiziert als interner und externer Datenschutzbeauftragter, Datenschutzmanager und Datenschutzauditor (TÜV).
- 1 http://developers.facebook.com/docs/plugins/ [abgefragt: 31. Mai 2012].
- 2 Focus Online, Soziale Netzwerke – Google startet Facebook-Rivalen, http://www.focus.de/digital/internet/google/soziale-netzwerke-google-startet-facebook-rivalen_aid_641136.html [abgefragt: 31. Mai 2012].
- 3 http://twitter.com/goodies/tweetbutton [abgefragt: 31. Mai 2012].
- 4 Bright Edge Social Share-Analysis vom 1. September 2011, http://www.brightedge.com/socialshare [abgefragt: 31.09.2011].
- 5 Bright Edge Social Share-Analysis vom 1. September 2011, http://www.brightedge.com/socialshare [abgefragt: 31.09.2011].
- 6 Tantau, Björn, Facebook Like Button auf 2,5 Millionen Websites, http://fbwatchblog.de/facebook-like-button-auf-25-millionen-websites-08052011 [abgefragt: 31. Mai 2012].
- 7 Tantau, Björn, Facebook Nutzer klicken 50 Millionen Mal täglich auf «Gefällt Mir», http://fbwatchblog.de/facebook-nutzer-klicken-50-mio-mal-taeglich-auf-gefaellt-mir-25052011 [abgefragt: 31. Mai 2012].
- 8 Efrati, Amir, «Like» Button Follows Web Users, http://professional.wsj.com/article/SB10001424052748704281504576329441432995616.html?mod=rss_Technology&mg=reno-secaucus-wsj [abgefragt: 31. Mai 2012].
- 9 Tantau, Björn, Diese Daten überträgt und speichert der Facebook Like Button, http://fbwatchblog.de/diese-daten-uebertraegt-und-speichert-der-facebook-like-button-25052011 [abgefragt: 31. Mai 2012].
- 10 Konjovic, Georg, Wieso wir den Facebook «Like-Button» wieder entfernten, http://intern.hamburg.de/2010/06/22/wieso-wir-den-facebook-like-button-wieder-entfernten [abgefragt: 31. Mai 2012].
- 11 Unabhängiges Landeszentrum für Datenschutz (ULD), Pressemitteilung, ULD an Webseitenbetreiber: «Facebook-Reichweitenanalyse abschalten», https://www.datenschutzzentrum.de/presse/20110819-facebook.htm [abgefragt: 31. Mai 2012].
- 12 Unabhängiges Landeszentrum für Datenschutz (ULD), Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf [abgefragt: 31. Mai 2012].
- 13 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Neue Probleme mit Facebook, http://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2011081901 [abgefragt: 31. Mai 2012].
- 14 Schneider, R., Facebook «Like»-Button, https://www.datenschutz.de/feature/detail/?featid=100 [abgefragt: 31. Mai 2012].
- 15 Der Landesbeauftragte für den Datenschutz Niedersachsen, Information für Webseitenbetreiber mit Sitz in Niedersachsen, http://www.lfd.niedersachsen.de/live/live.php?navigation_id=28288&article_id=98353&_psmand=48, [abgefragt: 31. Mai 2012].
- 16 Internet Worl Business, «Erst abstimmen, dann reden», http://www.internetworld.de/Nachrichten/Medien/Social-Media/Bayerns-Landesdatenschutzbeauftragter-zur-Diskussion-ueber-den-Gefaellt-mir-Button-Erst-abstimmen-dann-reden, [abgefragt: 31. Mai 2012].
- 17 Unabhängiges Landeszentrum für Datenschutz (ULD), Pressemitteilung vom 9. Dezember 2011, https://www.datenschutzzentrum.de/presse/20111209-facebook-duesseldorfer-kreis.htm [abgefragt: 31. Mai 2012].
- 18 Oberste Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis), Beschluss vom 8. Dezember 2011, https://www.datenschutzzentrum.de/internet/20111208-DK-B-Soziale-Netzwerke.pdf [abgefragt: 31. Mai 2012].
- 19 http://developers.facebook.com/docs/reference/plugins/like [abgefragt: 31. Mai 2012].
- 20 http://www.google.de/intl/de/privacy/plusone [abgefragt: 31. Mai 2012].
- 21 https://www.google.com/support/profiles/bin/static.py?hl=de&page=guide.cs&guide=1207011&rd=1 [abgefragt: 31. Mai 2012].
- 22 https://twitter.com/privacy [abgefragt: 31. Mai 2012].
- 23 Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232 (234).
- 24 Heise online, Facebook eröffnet erste deutsche Niederlassung, http://www.heise.de/newsticker/meldung/Facebook-eroeffnet-erste-deutsche-Niederlassung-928403.html, [abgefragt: 31. Mai 2012].
- 25 https://developers.facebook.com [abgefragt: 31. Mai 2012].
- 26 Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232 (236).
- 27 Artikel 29-Datenschutzgruppe, Arbeitspapier über die internationale Anwendbarkeit des EU-Datenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU (2002), WP 56, 30. Mai 2001, S. 8 f.
- 28 Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232 (235ff.): «Sie erheben Daten im Inland, wenn sie normativ betrachtet hierzu auf im Inland belegene Computer der Nutzer zurückgreifen.».
- 29 Schaar, Peter, Datenschutz im Internet, 2002, Rn. 247 ff.
- 30 Ernst, Stefan, Social Plugins: Der «Like-Button» als datenschutzrechtliches Problem, NJOZ 2010, S. 1917 (1918).
- 31 Teil 2.
- 32 Hassler, Marco / Oostlander, Adrian, Web Analytics – Zielorientierte Nutzung zur Erfolgssteigerung, März 2007, S. 7.
- 33 https://www.facebook.com/about/privacy/your-info#inforeceived [abgefragt: 31. Mai 2012].
- 34 Tantau, Björn, Diese Daten überträgt und speichert der Facebook Like Button, http://fbwatchblog.de/diese-daten-uebertraegt-und-speichert-der-facebook-like-button-25052011 [abgefragt: 31. Mai 2012].
- 35 Siehe die Facebook-Datenschutzrichtlinien unter «Cookie-Informationen»: «Wir verwenden «Cookies» (kleine Dateneinheiten, die wir für eine längere Zeitspanne auf deinem Computer, Handy oder anderen Geräten speichern)»; https://www.facebook.com/note.php?note_id=10150367530590301&id=69178204322 [abgefragt: 31. Mai 2012].
- 36 Siehe die Facebook-Datenschutzrichtlinien unter «Cookie-Informationen»: «und um zu wissen, wann du mit Anwendungen und Webseiten der Facebook-Plattform, unseren Widgets und «Teilen»-Schaltflächen sowie unseren Werbeanzeigen interagierst»; https://www.facebook.com/note.php?note_id=10150367530590301&id=69178204322 [abgefragt: 31. Mai 2012].
- 37 http://tools.ietf.org/html/rfc2109 [abgefragt: 31. Mai 2012].
- 38 Bei einem Experiment mit bisher 470.000 Datensätzen demonstrierte die US-Organisation EFF (Electronic Frontier Foundation) 2010, wie gut dieser Browser-Fingerabdruck Rechner auseinanderhält: 83,6 Prozent der aufrufenden Computer hatten ein eindeutiges Profil; siehe: https://www.eff.org/press/archives/2010/05/13 [abgefragt: 31. Mai 2012].
- 39 Erwägungsgrund 26 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG Nr. L 281 vom 23. 11. 1995, S. 31 ff.
- 40 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995, Amtsblatt Nr. L 281 vom 23. November 1995 S. 31–50.
- 41 Erwägungsgrund 26 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG Nr. L 281 vom 23. November 1995, S. 31 ff.
- 42 Regierungsentwurf zum EGG, BT-Drucksache 14/6098, S. 18; Erwägungsgrund 23 der E-Commerce-Richtlinie 2000/31/EG; Weichert, Thilo, in: Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter, BDSG, Kommentar, 2010, § 3 Rn. 14; Freund, Bernhard / Schnabel, Christoph, Bedeutet IPv6 das Ende der Anonymität im Internet? Technische Grundlagen und rechtliche Beurteilung des neuen Internet-Protokolls, MMR 2011, S. 495 (496); Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), FAQ IP-Adressen und andere Nutzungsdaten, https://www.datenschutzzentrum.de/ip-adressen [abgefragt: 31. Mai 2012].
- 43 siehe auch Meyerdierks, Per, Sind IP-Adressen personenbezogene Daten?, MMR 2009, S. 8 (9); Freund, Bernhard / Schnabel, Christoph, Bedeutet IPv6 das Ende der Anonymität im Internet? Technische Grundlagen und rechtliche Beurteilung des neuen Internet-Protokolls, MMR 2011, S. 495 (497).
- 44 Schaar, Peter, Datenschutz im Internet, 2002, Rn. 175; Weichert, Thilo, in: : Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter / Weichert, Thilo, Kompaktkommentar zum BDSG, 3. Auflage 2010, § 3 BDSG, Rn. 13; Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2004, S. 152; Europäischer Datenschutzbeauftragter, Stellungnahme zum IMCO-Report, http://tinyurl.com/b89vcb [abgefragt: 31. Mai 2012]; Datenschutzbeauftragte der Freien Universität Berlin, K&R 2008, S. 288.
- 45 AG Berlin Mitte, Urteil vom 27. März 2007, Az. 5 C 314/06.
- 46 Härting, Peter, Datenschutz im Internet – Wo bleibt der Personenbezug?, CR 2008, S. 743 (745).
- 47 Bizer, Johann, Web-Cookies – datenschutzrechtlich, DuD 1998, S. 277 (278).
- 48 Gola, Peter / Schomerus, Rudolf, Kommentar zum BDSG, 10. Auflage 2010, § 3 Rn. 10; Spindler, Gerald / Nink, Judith, in: Spindler, Gerald / Schuster, Fabian, Recht der elektronischen Medien, 2011, § 11 TMG Rn. 5b; Dammann, Ulrich, in: Simitis, Spiros, BDSG, Kommentar, 2011, § 3 BDSG, Rn. 32.
- 49 Köcher, Jan, LG Berlin: Speicherung von IP-Adressen bei Nutzung des Portals bmj.bund.de, MMR 2007, S. 800 (801); Schramm, Marc, Staatsanwaltschaftliche Auskunft über dynamische IP-Adressen, DuD 2006, S. 785 (787); Gola, Peter / Schomerus, Rudolf, BDSG, Kommentar, § 3 Rn. 10 und 44.
- 50 AG München, Urteil vom 30. September 2008, Az. 133 C 5677/08, K&R 2008, S. 767 f.
- 51 AG München, Urteil vom 30. September 2008, Az. 133 C 5677/08, K&R 2008, S. 767 f.
- 52 Schirmbacher, Online-Marketing und Recht, 2011, Seite 181.
- 53 Schirmbacher, Online-Marketing und Recht, 2011, Seite 181.
- 54 Unabhängiges Landeszentrum für Datenschutz (ULD), Facebook und Reichweitenanalyse, S. 25, https://www.datenschutzzentrum.de/presse/20110819-facebook.htm [abgefragt: 31. Mai 2012].
- 55 Härting, Niko, CR 2011, S. 585 (586).
- 56 Anmerkung: Diese sind Daten, mit deren Hilfe letztendlich Personenbezug hergestellt werden kann, beispielsweise dadurch, dass ein Eintrag in einem Serverlog eines Webseitenbetreibers einem bestimmten Anschlussinhaber zugeordnet wird.
- 57 Spindler, Gerald / Nink, Judith, in: Spindler, Gerald / Schuster, Fabian, Recht der elektronischen Medien, 2011, § 11 TMG, Rn. 5b.
- 58 Spindler, Gerald / Nink, Judith, in: Spindler, Gerald / Schuster, Fabian, Recht der elektronischen Medien, 2011, § 11 TMG, Rn. 5b.
- 59 Meyerdierks, Per, Sind IP-Adressen personenbezogene Daten?, MMR 2009, S. 8 (10).
- 60 Voigt, Paul, Datenschutz bei Google, MMR 2009, S. 377 (379).
- 61 https://www.facebook.com/about/privacy/your-info#inforeceived [abgefragt: 31. Mai 2012].
- 62 Dammann, Ulrich, in: Simitis, Spiros, BDSG, Kommentar, 2011, § 3 Rn. 225.
- 63 Artikel-29-Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, 22. Juni 2010, WP 171, S. 13–14, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_de.pdf [abgefragt: 31. Mai 2012].
- 64 Für Facebook siehe hier: https://www.nytimes.com/interactive/2010/05/12/business/facebook-privacy.html?ref=personaltech [abgefragt: 31. Mai 2012].
- 65 https://www.facebook.com/note.php?note_id=10150163898150301 [abgefragt: 31. Mai 2012].
- 66 https://www.facebook.com/note.php?note_id=10150163898150301 [abgefragt: 31. Mai 2012].
- 67 Teil 4, A.
- 68 Maisch, Michael Marc, Nutzertracking im Internet, ITRB 2011, S. 13 (15).
- 69 Spindler, Gerald / Nink, Judith, in: Spindler, Gerald / Schuster, Fabian, Recht der elektronischen Medien, 2011, § 4a BDSG, Rn. 6.
- 70 Grimme, Soziale Netzwerke: Schutz für Ihre persönlichen Daten, in: Kongehl (Hrsg.) / Greß / Weck / Federrath, Datenschutz-Management, wrs Verlag, Stand Juni 2011.
- 71 http://developers.facebook.com/docs/plugins/ [abgefragt: 31. Mai 2012].
- 72 http://dorianroy.com/blog/ [abgefragt: 31. Mai 2012].
- 73 http://www.wbs-law.de/internetrecht/muster-datenschutzerklaerung-facebook-like-button-5712/ [abgefragt: 31. Mai 2012].
- 74 http://www.ferner-alsdorf.de/2011/08/rechtssichere-einbindung-des-facebook-buttons/wettbewerbsrecht/strafrecht/rechtsanwalt/verkehrsrecht/ [abgefragt: 31. Mai 2012].
- 75 Landgericht Berlin, Beschluss vom 14. März 2011, Az.: 91 O 25/11 sowie KG Berlin, Beschluss vom 29. April 2011 – 5 W 88/11.
- 76 Hinweis: Dieser Text ist kein Muster, sondern ein Beispiel und bietet deshalb keine Gewähr für Vollständigkeit, Richtigkeit und Aktualität. Datenschutzhinweise müssen für den jeweiligen Internetauftritt individuell erstellt werden.