Bussgelder: Kommt das Facebook-Verbot?
21. August 2011 eingestellt von Rechtsreferendar Jens Ferner (Diplom-Jurist, hier bei Google+ und XING)
Kurz-Links: http://www.ferner-alsdorf.de/?p=5740
Teilen: Auf XING | Auf Facebook | Bei Twitter
Grosse Wellen schlägt seit einigen Tagen die Ankündigung von Dr. Thilo Weichert – dem Datenschutzbeauftragten für das Bundesland Schleswig-Holstein – demnächst rigoros gegen Facebook vorzugehen (dazu Heise und Golem). Dabei soll man nageblich nicht nur mit Bussgeldern rechnen, wenn man den Facebook-Like-Button auf der eigenen Webseite einbindet: Nein, gar das Betreiben einer Facebook-Fanpage soll schon zu Problemen führen. Nun liest sich bei Heise das ganze am Ende doch wieder etwas entspannter, wenn eben nicht jeder Webseitenbetreiber laut Weichert Angst haben soll. Nina Dierks verweist dazu auf ein Interview mit Dr. Karg, der bestätigt, dass es “um Facebook selbst” und nicht die Webseitenbeteiber gehen soll. Laurent Meister verweist punktgenau darauf, warum die ganze Geschichte schon im Ansatz wenig überzeugend ist. Ebenso führen RA Schmidt und RA Härting heftige Kritik.
Ich möchte an dieser Stelle kurz (!) untersuchen, warum meines Erachtens aus juristischer Sicht eine breite Front gegen die Webseiten-Betreiber ohnehin verfehlt wäre.
Die Problematik: Facebook-Like-Button einsetzen
Kurzfassung (Zur Langfassung siehe hier): Wenn man den Like-Button einbindet, bindet man ein Javascript von einem Facebook-Server in den eigenen Webseiten-Quelltext ein. Dadurch wird – ohne dass man selbst als Webseitenbetreiber eine Kontrollmöglichkeit hat – vom Browser des Webseitenbesuchers (Client), der den Quelltext der eigenen Webseite abruft und durcharbeitet, das Javascript des Facebook-Servers ebenfalls abgerufen und ausgeführt. Alleine durch das Laden des Javascripts durch den Client wird zumindest – ohne dass der Webseitenbetreiber es verhindern kann – die IP-Adresse des Clients an den Facebook-Server gesendet. Wer der Meinung ist, dass IP-Adressen personenbezogene Daten sind (Zum Meinungsstreit siehe hier von mir), der hat schon jetzt einen datenschutzrelevanten Vorgang, der eine Einwilligung verlangt. Wer das anders sieht, untersucht die Daten, die das Javascript erhebt, darauf, ob hier irgendwelche Daten fliessen. Jedenfalls bei eingeloggten Usern werde dabei zwingend Username und Datum/Zeit (“Timestamp”) übermittelt werden müssen, damit Facebook z.B. anzeigen kann, ob man bereits auf “Gefällt mir” geklickt hat oder nicht.
Wenn man sich das nun so ansieht, muss eines sofort auffallen: Der Webseitenbetreiber macht eigentlich gar nichts selber. Insbesondere erhebt er selber keine Daten, sondern er baut nur einen Verweis auf eine externe Datei (das Javascript) ein, die der Nutzer (der Client) selbstständig herunterlädt und ausführt. Umgangssprachlich: Der “Webseitenbetreiber macht doch nichts”. Ich hatte dieses Problem in vergangenen Artikeln schon angedeutet, Adrian Schneider hat es nun erstmals ausformuliert (m.E. ohne die Konsequenzen bis zum Schluss zu ziehen). Ich möchte das Thema nun noch einmal angehen.
Hinweis: Bitte nicht verwechseln! Es geht hierbei um zwei Fragen, die gerne verwechselt werden – einmal um die Frage, ob eine Abmahngefahr bestehen kann. Das ist hochkompliziert und berührt neben der Datenschutzrechtlichen Frage das wettbewerbsrechtliche Problem, ob in einem Datenschutzverstoss ein Wettbewerbsverstoss zu sehen ist. Noch davor kommt die Frage, ob eben überhaupt ein Datenschutzverstoss vorliegt – was die Aufsichtsbehörde auf den Plan rufen kann, die Bussgelder verhängen kann. Übrigens: Die 50.000 Euro, mit denen aktuell Angst gemacht wird, sind der maximale Satz die nicht bei einem einfachen Verstoss mit erstem Bussgeld zu erwarten sind.
Frage: Liegt nun ein Datenschutzverstoss vor
Noch einmal an obiges Konstrukt denken: Der Webseitenbetreiber baut das Javascript nur ein seine Webseite ein, weswegen der Browser des Clients das Skript “holt”. Danach findet selbstständig die Kommunikation zwischen Client und Facebook-Server statt. Nun steht in §12 I TMG:
Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
Ist bei diesem Vorgang denn nun der Webseitenbetreiber überhaupt “Diensteanbieter” – oder nicht vielmehr Facebook? Es erscheint naheliegend, schon die Stellung als Diensteanbieter zu verneinen, allerdings stellt §2 Nr.1 klar, dass “Diensteanbieter jede natürliche oder juristische Person ist, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt”. Man achte auf das Ende: “Vermittlung eines Zugangs”. Um es kurz zu machen liegt hier auf der Hand, dass die Nutzung zwischen Client und Facebook durch das Einbinden des JS “vermittelt” wird. Der Webseitenbetreiber – auch wenn es am Ende ein fremder Dienst ist, der genutzt wird vom Client – wird in seiner Rolle als Mittler durchaus als Diensteanbieter zu charakterisieren sein, in diesem “Nutzungs-Dreieck”.
Wir kommen also zum nächsten Tatbestandsmerkmal: Der Diensteanbieter muss personenbezogene Daten “erheben” oder “verwenden”. Tut er das in diesem Fall?
Personenbezogene Daten?
Es ist etwas schwer, genau festzustellen, welche Daten fliessen. Gleich wie man es sieht, ergeben sich aber Probleme:
- Bei jedem Client werden, durch das externe Javascript das geladen wird, die IP-Adressen der Clients an die Facebook-Server übermittelt. Sofern man die IP-Adresse als personenbezogenes Datum ansieht (Zum Meinungsstreit siehe hier von mir), liegt bereits darin eine Übertragung personenbezogener Daten. Das aber ist hoch umstritten und gerade die Rechtsprechung folgt in weiten Teilen der Lehre vom relativen Personenbezug, verneint also den Personenbezug. So selbstverständlich wie vom ULD dargestellt, ist an dieser Stelle der Personenbezug des Datums nicht. Meines Erachtens konzentriert sich bei anonymen Usern die Fragestellung auf diesen Punkt.
- Wenn User eingeloggt sind, können zumindest weitere Daten fliessen, die bei anonymen Usern nicht vorhanden sind: Login-Daten (bzw. die Daten aus den Cookies) und damit Rückschlüsse auf bei Fcebook vorgehaltenen Daten wie Alter, Geschlecht, Wohnort. Aber: Das betrifft nur eingeloggte, also registrierte User. An der Stelle wird man fragen und untersuchen müssen, inwiefern diese Nutzer dem konkreten Datenverkehr bereits während de Login-Vorgangs bei Facebook (über die Facebook-AGB) zugestimmt haben. Bei eingeloggten Usern kann also vielleicht bereits eine Einwilligung vorliegen.
Erheben oder Verwenden von Daten?
Der Blick in das vorliegende “Kommunikationsdreieck” macht klar, dass die wirkliche Kommunikation nur zwischen Facebook und dem Client stattfindet. Der Webseitenbetreiber bleibt aussen vor – er weiss ja gerade nicht, was an Daten fliesst. Schneider nennt das in seinem Artikel ein “Dilemma”, ich nenne es “Sicherheit”. Man stelle sich nur vor, jeder Webseitenbetreiber hätte Kontrolle – oder auch nur Einblick – in die Daten, die bei jedem extern eingebundenen Dienst fliessen. Und genauso stelle man sich ein Internet vor, das zwar zunehmend wächst, aber gleichzeitig keine Möglichkeit der interaktiven Vernetzung (hier kommt das blödsinnige Schlagwort “Web 2.0″) bietet.
Also: Erhebt der Webseitenbetreiber in diesem Dreieck Daten? “Erheben” bedeutet “zielgerichtetes Beschaffen”, also eine zumindest theoretische Zugriffsgewalt auf diese Daten, wenn auch nur kurzzeitig (dazu nur Gola/Schomerus, §3, Rn.23ff.). Diese Möglichkeit gibt es aber gerade nicht. Auch ein Verwenden setzt schon begrifflich voraus, dass man die Daten wenigstens kurzzeitig einmal “in der Hand hat”, also mit Ihnen “etwas machen kann”. Auch das ist gerade nicht der Fall.
Was macht der Webseitenbetreiber denn?
Der Webseitebetreiber macht bei diesem Kommunikations-Dreieck genau genommen gar nichts mit irgendwelchen Datendes Clients. Er veranlasst alleine die Kommunikation zwischen Facebook und dem Client. Damit ist er “Diensteanbieter”, hat also gewisse Pflichten hinsichtlich des Kommunikationsvorgangs (insbesondere die Pflicht zur Belehrung nach §13 TMG). Aber er muss – mangels eigener Verarbeitung – keine Einwilligung des Users abrufen. Eine datenschutzrechtliche Einwilligung verlangt schliesslich immer auch irgendeine Tätigkeit, in die einzuwilligen ist. Die reine “Vermittlung” ist keine solche Tätigkeit (wie schon der §13 V TMG klar macht, der ja gerade nur eine Belehrung im Falle der Vermittlung verlangt!).
An dieser Stelle ist sauberes Arbeiten verlangt: Das deutsche Datenschutzrecht kennt keine “Störerhaftung”, wie es die öffentlichen Gesetze zur Gefahrenabwehr vorsehen. Je nachdem, was man tut, also selber Daten erheben, verarbeiten oder nur den Zugang vermitteln, hat man verschiedene Pflichten. Es ginge für meinen Geschmack erheblich zu weit – und wäre meines Erachtens sogar falsch – einen Zugangsvermittler wie einen Datenverarbeiter zu behandeln. Das deutsche Datenschutzrecht unterscheidet zwischen beiden ganz bewusst und mitunter sehr penibel.
Man wird sich somit fragen müssen, welche Pflichten den Veranlasser einer solchen Kommunikation, die der Client am Ende selbstständig – und nach meinem Dafürhalten in eigener Verantwortung – treffen sollen und müssen. §13 TMG verlangt z.B. eine “Belehrung”, die allerdings “zu Beginn” der Nutzung stattfinden muss. Wird dieses “zu Beginn” wirklich durch eine (irgendwo) auf der Webseite hinterlegte Erklärung beachtet? Und selbst wenn ja: Was soll man da rein schreiben – man weiss ja gerade nicht, was der Kommunikationspartner so alles erhebt. Zumal z.B. Facebook jederzeit die erhobenen Daten erweitern oder eingrenzen kann, ohne dass man es merkt. Wenn man den §13 I TMG so extensiv versteht, dass man auch bei einer Weitervermittlung über alle (durch den Vermittelten) erhobenen Daten unterrichten muss, wird man keine brauchbare Datenschutzerklärung bieten können.
Das TMG, das bei Weitem kein Glücksgriff ist, kann die Antwort derzeit nicht geben. Man merkt es spätestens wenn man in §13 V TMG liest: “Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.” Eine solche Weitervermittlung haben wir hier, der Gesetzgeber dachte also an den vorliegenden Fall. Er hat ihn nur niemals zu Ende gedacht.
Vielleicht aber auch kann man, unter Berücksichtigung des §13 V TMG, die Belehrungspflicht des §13 I TMG restriktiv handhaben und feststellen, dass man als Webseitenbetreiber nur über die selbst verarbeiteten Daten zu belehren hat und ansonsten die Weitervermittlung dem Nutzer nur noch anzeigen muss. Dabei wird man erklären müssen, in welcher Form die Weitervermittlung stattfindet und warum man dies tut.
Wer es anders sieht, begeht den Pfad, den Johannes Gräbig in der MMR 8/2011 (ab Seite.504) sehr gut beschrieben hat: Wir haben die zunehmende Tendenz, bei mittelbaren Rechtsverletzungen den Störer als Täter in Anspruch zu nehmen. Diese Gefahr besteht auch zunehmend im Datenschutz, speziell im Internet, weil uns offensichtlich die Vorstellung nicht behagt, dass etwas stattfindet, ohne dass jemand “in Anspruch” genommen werden kann. Der Weg ist praktisch aus Sicht derjenigen, die Vertöße ahnden wollen, birgt aber die ausufernde Gefahr, dass das Medium in seiner jetzigen Form nicht mehr genutzt werden kann.
Ergebnis: Was ist zu tun?
Damit komme ich zu folgendem Ergebnis:
- Mangels eigener Datenverarbeitung sehe ich im Einbinden des Facebook-Buttons keinen datenschutzrelevanten (einwilligungspflichtigen) Vorgang seitens des Webseitenbetreibers. Es bleiben aber Belehrungspflichten, die im Rahmen der Datenschutzerklärung nach §13 TMG zu erfüllen sind.
- Unklar ist, wie weit diese Belehrungspflichten gehen. Man kann es extensiv sehen und verlangen, dass der Webseitenbetreiber in seiner Datenschutzerklärung sämtliche Vorgänge auflistet, die der vermittelte Dienst (hier: Facebook) durchführt.
- Man kann aber auch restriktiv vorgehen und, vor allem unter Berücksichtigung der eindeutigen Wortwahl des §13 V TMG, bei lediglich vermittelten Diensten zu dem Ergebnis kommen, dass in der Datenschutzerklärung nur die Vermittlung als solche mit Nennung des vermittelten Dienstes und Zweck der Vermittlung genannt werden muss. Dabei sollte beachtet werden, dass der §13 V TMG keine Nennung “zu Beginn” der Vermittlung verlangt, was die Anforderungen erneut senkt.
Wer meiner Argumentation folgt, wird also Bussgelder alleine wegen der Verwendung von “Facebook-Like-Buttons” auf ganz dünnem Eis sehen. Allerdings: Auch im Rahmen falscher Datenschutzerklärungen droht ein Bussgeld “bis 50.000 Euro” – das übrigens verhängt werden kann, nicht muss.
Keiner der von mir aufgezeigten Wege ist zwingend, das unglückselige TMG ist letztlich dem – von den Nutzern verlangten! – Alltag nicht mehr gewachsen. Allerdings kann man, und das habe ich hoffentlich aufgezeigt, das Thema mit entsprechender Auslegung in den Griff bekommen. Keineswegs ist der Datenschutzverstoss seitens des Webseitenbetreibers zwingend, sondern nur eine Möglichkeit. Dass die Datenschutzbehörde nur diese eine Sichtweise auf Basis eines unfertigen Gesetzes zwingend einnehmen will, finde ich persönlich wenig überzeugend. Dies auch mit Blick auf den Gedanken des Datenschutzrechtes: Dieses will den mündigen, selbstständigen Nutzer “schaffen”. Nirgendwo wird man den derart gleichberechtigt schaffen können, wie im Netz, wo man jederzeit Herr seiner eigenen Kommunikation ist. Und nirgendwo ist es so leicht, Kommunikation zu unterbinden, wenn man weiss, wie es geht. Niemandem ist geholfen, nun ein allgemein gewünschtes Kommunikationsmittel mittelbar auf nationaler Ebene (oder gar nur auf Ebene eines Bundeslandes) einzugrenzen, das ansonsten auf fast allen anderen Webseiten zum Einsatz kommt. Der Grundgedanke, Selbstbestimmt zu handeln, wird an dieser Stelle konterkariert. Es wäre zu begrüßen, wenn nicht nur das ULD vor diesem Hintergrund zumindest in Erwägung zieht, das TMG auch anders auszulegen.
Kurze Anmerkung: Ja, hier wird derzeit der Facebook-Button eingesetzt
Ich bin im Datenschutz sehr aktiv und auch kein großer Freund von konzentrierten (Nutzungs-)Datensammlungen bei einzelnen Konzernen. Insofern verstehe ich es gut, wenn man ausgerechnet unsere Seite hier als Beweis anführt, wie verbreitet der Facebook-Like-Button ist. Aber man muss auf die Details achten!
Aktuell ist unter jedem Artikel eine Leiste mit Facebook-Like-Button, G+1-Button und Tweetme-Button zu sehen. Wer nun in unsere Datenschutzerklärung blickt, wird feststellen, dass dort nachzulesen ist, dass diese Leiste kein dauerhaftes Angebot ist, sondern nur testweise zum Einsatz kommt. Der Grund ist einfach: Wer heute mit seiner Webseite dauerhaft Bestand haben möchte und von Lesern auch gefunden werden möchte, darf seine Augen vor Entwicklungen in Kommunikation und Marketing nicht verschliessen. Wer etwa ein Angebot bereit hält, aber die Suchmaschine Google boykottiert, weil das ja eine böse Datenkrake ist, der wird keine Leser finden und damit niemanden mit seinen Texten erreichen. Das ist vielleicht unschön, aber eine harte Realität, der man sich als Marktteilnehmer zu stellen hat. Die testweise Einbindung dieser Leiste soll mir u.a. helfen, zu erkennen, wie wichtig solche Funktionen für uns sind und ob wir es uns leisten können, weiter darauf zu verzichten. Einen solchen Test nicht zu fahren währe wirtschaftspolitischer Wahnsinn. Dazu kommt, dass das Suchmaschinenmarketing zunehmend von Faktoren aus sozialen Netzen beeinflusst wird (siehe dazu nur hier), weswegen man als Webseitenbeteiber wie als Marktteilnehmer zwingend sein Marketing regelmässig prüfen und ggfs. erweitern muss.
Ganz am Ende der Artikel (unter der testweise eingebundenen Leiste) findet sich die m.E. einzige rechtssichere Möglichkeit zum Einsatz solcher Buttons: Der User wird um Erlaubnis gebeten, diese Buttons anzuzeigen, nach dem Klick wird ein Cookie gesetzt, danach erscheinen die Buttons dauerhaft (hier ist die von mir umgesetzte Lösung umfassend beschrieben). Alles andere sind Placebo-Maßnahmen. Insbesondere möchte ich deutlich sagen, dass ich es schlichtweg leid bin, zu lesen, dass man angeblich mit einer ausreichenden Datenschutzerklärung solche Buttons einbinden kann. Das ist falsch und wird nicht richtig dadurch, dass Juristen es dauernd wiederholen! Wenn man im Einbinden eines solchen Buttons überhaupt einen datenschutzrelevanten Vorfall erkennt, hilft eine Datenschutzerklärung nicht, da zumindest vor dem entscheidenden Ereignis belehrt werden muss. Wenn der User nicht ohnehin ausdrücklich zustimmen muss. In beiden Fällen reicht eine Datenschutzerklärung für sich alleine nicht.
(Tags: Datenschutz, datenschutzbeauftragter, facebook, social media recht, soziale netze)