Ja was denn nun, Herr Weichert?

Vergangene Woche veröffentlichte das Unabhängige Landeszentrum für den Datenschutz in Schleswig-Holstein (ULD) eine „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook (pdf)“. Fazit des ULD: Facebook Fanseiten und die Einbindung der Social Plugins von Facebook sind nicht datenschutzkonform realisierbar und daher von Diensteanbietern ab Ende September abzuschalten, ansonsten drohen Bußgelder in Höhe von 50.000,- Euro.

In seinem Arbeitspapier schreibt das ULD zur Möglichkeit einer datenschutzkonformen Umsetzung mittels Einwilligung auf Seite 22:

„Aus dem oben Gesagten ergibt sich, dass die personenbezogen Datenverarbeitung bei Faceook  in keinem Fall durch eine nach deutschem bzw. europäischen Recht wirksame Einwilligung legitimiert werden kann.“

Und auf Seite23 stellt das ULD fest, dass aufgrund der Reichenweitenanalyse von Facebook Insights sowohl Fanpages als auch Social Plugins nicht datenschutzkonform sind:

„Wegen der Missachtung des in § 15 Abs. 3 TMG festgelegten Trennungsgebotes ist das Einbinden von Social-Plugins von Facebook in deutschen Webseiten und das Betreiben von „Facebook Insights“ auf Fanpages innerhalb von Facebook unzulässig.“

Nach der anhaltenden Kritik hat das ULD nun Fragen und Antworten zu Facebook veröffentlicht. Darin liest der erstaunte Leser:

„Eine datenschutzkonforme Einbindung erfordert zurzeit, dass die Social-Plugins nur dann geladen werden dürfen, wenn die Nutzerin oder der Nutzer der mit der Einbindung von Social-Plugins verbundenen Übertragung personenbezogener Daten eingewilligt haben, § 13 Abs. 2 TMG. Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden.“

Noch bunter wird es schließlich zu den Ausführungen hinsichtlich der Fanpages. Diese sind nach der neuen Auffassung des ULDs auch weiterhin nicht datenschutzkonform nutzbar, da hier die datenschutzrechtlichen Anforderungen an die Reichenweitenanalyse durch Facebook Insights nicht realisiert werden können:

“ Dem ULD ist momentan keine Möglichkeit bekannt, Fanpages datenschutzkonform zu nutzen. Hierzu sind weitgehende Änderungen seitens Facebook notwendig. Insbesondere muss Facebook den Betreibern von Fanpages die Möglichkeit geben, die Erhebung von personenbezogenen Daten für die Erstellung der Reichweitenanalyse (Facebook Insights) abzuschalten. Weiterhin muss Facebook eine Funktion zur nutzerbezogenen Einwilligung in die Reichweitenanalyse schaffen bzw. Maßnahmen zur Umsetzung der Vorgaben des § 15 Abs. 3 TMG ergreifen.“

Der Verstoß gegen § 15 Abs. 3 TMG hindert den Einsatz von Fanpages. Trotz des gleichen Verstoßes bei Social Plugins (laut Arbeitspapier) können diese dennoch datenschutzkonform eingebunden werden. Ja was denn nun, Herr Weichert?

 

Update 23.08.11 18:30 Uhr: Das ULD hat nun die FAQ wie in den Kommentaren angekündigt überarbeitet. Statt der ursprünglichen Frage „Kann man Facebook Social-Plugins datenschutzkonform einbinden?“  (nachzulesen bei Kollege Dosch) lautet diese nun „Kann ein Webseitenbetreiber Facebook Social-Plugins so einbinden, dass die unkontrollierte Übertragung personenbezogener Daten verringert wird?“. Ergänzt wurde zudem die Anmerkung, dass eine Reduzierung der unkontrollierten Übertragung nichts an der Analyse zur fehlenden Einwilligung gegenüber Facebook ändert. Eine, aus meiner Sicht, zweifelhafte „Klarstellung“. Unabhängig von der rechtlichen Bewertung dieser Klarstellung konterkariert das ULD damit seine eigene Haltung:

Aus „Verboten! Sofort abschalten!“ wird „Eigentlich ja nicht erlaubt, aber so ist es nicht ganz so schlimm (wir wollen doch nur spielen?)…“.

Deutschland auf dem Weg in die Popup-Hölle

Die Kollegen Stadler und Ferner weisen (wiederholt) auf die geplante Umsetzung der Cookie-Richtlinie hin. Der Gesetzesentwurf (PDF) wurde vom Bundesrat beschlossen und der Bundesregierung für eine Stellungnahme zugeleitet. Hauptanliegen des Gesetzesentwurfs ist die Verschärfung des Datenschutzes bei sozialen Netzwerken.  Gegenstand der Änderung ist daher insbesondere § 13 TMG.

In einem neuen Absatz 8 wird fast Wort gleich die Passage der Richtlinie übernommen. Die Gesetzesbegründung verweist lediglich auf die Umsetzung der Richtlinie. Im Gegensatz zu den anderen Änderungen ist das ein Hinweis, dass sich mit dem Inhalt dieser Vorschrift keiner wirklich auseinandergesetzt hat. Es muss ja schließlich umgesetzt werden. Die Folge: Das Internet wird in Deutschland (und Europa) zur Popup-Hölle, denn anders wird der Einsatz von Cookies kaum noch möglich sein. § 13 Abs. 8 TMG-E verlangt, dass der Nutzer vor jedem Speichern von Daten auf einem Endgerät des Nutzers hierüber informiert werden muss und nur mit Einwilligung erfolgen darf. Das gleiche gilt natürlich auch bei dem Zugriff auf gespeicherte Daten.

Dies betrifft insbesondere die derzeit weit verbreiteten Cookies, aber wie Kollege Ferner zu Recht darauf hinweist, letztlich sämtlichen Datenzugriff eines Telemediendienstes auf das jeweilige Gerät. Wie die Richtlinie sieht auch § 13 Abs. 8 TMG-E eine Ausnahme von der Hinweis- und Einwilligungspflicht. Dies betrifft zum einen den Empfang von Nachrichten. Zum anderen soll eine Generalklausel unerlässliche Speicher- und Lesezugriffe erlauben.

Doch gerade diese Klausel ist nicht nur für Nichtjuristen kaum verständlich. Die Ausnahme ist an eine Reihe von Voraussetzungen geknüpft: Der Speicher-/Lesezugriff muss a) einen vom Nutzer ausdrücklich gewollten Telemediendienst betreffen und b) zu dessen Erbringung unbedingt erforderlich sein. In der Praxis ist das nicht umsetzbar. Beim Aufruf einer Homepage werden regelmäßig eine Vielzahl von Cookies abgefragt: Session-Cookies, Logindaten, Tracking-Cookies, Werbe/AdWords-Cookies, Social-Media-Cookies. Streng genommen handelt es sich hierbei um jeweils eigene Dienste die auf einer Homepage gebündelt werden. Nicht nur, dass die ausdrückliche Zustimmung hierfür kaum eingeholt werden kann, so scheitert jedenfalls die zweite Hürde. Die Erforderlichkeit.

Unglücklich ist in diesem Zusammenhang auch der Verweis auf die Informationspflicht „entsprechend“ Abs. 1. Nach Abs.1 hat der Anbieter den Nutzer „zu Beginn eines Nutzungsvorgangs in allgemein verständlicher Form, leicht erkennbar und unmittelbar erreichbar“ zu informieren.  Es stellt sich dabei zunächst die Frage, ist der Hinweis zu Beginn des Nutzungsvorgangs oder zu Beginn jeden Schreib-/Lesezugriffs erforderlich. Streng genommen handelt es sich hier nicht um einen Nutzungsvorgang, so dass eine entsprechende Anwendung des Abs. 1 auf den jeweiligen Zugriff auf das Endgerät abstellt. Hier besteht dringend Klärungsbedarf.

Ein schwacher Trost ist es, dass gerade die Änderungen in § 13 Abs. 1 TMG ansonsten begrüßenswert sind.

Google „Me on the web“ – Kontrolle der eigenen Datenspur mit Hindernissen

Google bietet Kunden ein neues Tool an. Es heißt „Me on the web“ und soll Kunden die Möglichkeit geben zu beeinflussen, welche Seiten und Informationen über einen selbst in der Google-Suche auftauchen.  Me on the Web findet man auf dem Dashboard des eigenen Google-Accounts.

Datenschützer dürften über diese neuesten Entwicklungen im Hause Google entzückt sein, denn was kommt am ehesten einem Internet-Radiergummi nahe, als die Möglichkeit sich selbst aus der meistgenutzten Suchmaschine zu tilgen?

Doch das ganze hat einen Haken. Google hat zwar viele Informationen über mich, aber weiß letztlich nicht, dass der aktuelle Nutzer an diesem Rechner tatsächlich ich bin. Wer also, ähnlich wie bei Google StreetView, nicht will, dass eigene Daten bei Google auftauchen, muss Google erstmal mitteilen wer man eigentlich ist. Und das geht am besten (bzw. bei Me on the web nur) mit einem „Public Profile“:

Aus der „About Profiles“ Seite entnimmt man den sachdienlichen Hinweis:

At a minimum, your first name, last name, and photo will be public on the Internet.

Um zu kontrollieren und einzuschränken welche informationen über mich im Netz erscheinen, muss ich bei Google zu erst ein öffentliches, für jeden sicht- und suchbares Profil anlegen. Da fallen mir spontan die gleichen Worte ein, wie einer Kollegin (in anderem Zusammenhang):

Ngggggggggggggg!!!!1!!elf!

Datenschutz? There’s no App for that

Der Datenschutz hat es schwer. Manche unken, dass der Schutz persönlicher Daten mit der Einführung von iPhone & Co. endgültig zum hoffnungslosen Unterfangen geworden ist. Smartphones zeichnen sich dadurch aus, dass sie neben den klassischen Telefonfunkionen und einem Zugriff auf das Internet, die Möglichkeit bieten vielfältige Dienste und Vernetzungsmöglichkeiten mobil zu nutzen. Der Bundesdatenschutzbeauftragte Peter Schaar mahnt Smartphone-Nutzer seit längerem sorgsam mit Smartphones umzugehen und kritisiert den unzureichenden Datenschutz bei Smartphones. Gemeint sind dabei nicht nur die vor kurzem für Aufregung sorgenden vermeintlichen Bewegungsprofile, die die Smartphone-Anbieter wie Apple oder Google anlegen, sondern viel mehr die Vielzahl an Apps, die Smartphone-Nutzer täglich verwenden.

Nutzer werden oft nur unzureichend, meist gar nicht, über die Verwendung personenbezogener Daten informiert. Selbst bei sorgsamen Umgang ist es Verbrauchern daher häufig nicht möglich nachzuvollziehen welche Daten zu welchem Zweck übermittelt und verwendet werden. Die nahtlose Integration in das Mobiltelefon macht es App-Anbietern dabei besonders leicht auf personenbezogene Daten zuzugreifen. Der Zugriff auf E-Mails und Adressbuch ist nur einen Klick entfernt. Bekanntestes Beispiel dürfte hier die Facebook-App sein, die vor knapp einem Jahr die „Friend-Finder“ Funktion integrierte und mit einem Klick sämtliche Kontaktdaten übermittelte und synchronisierte. Immerhin mit einer rudimentären Erklärung.

Eine weitere beliebte App, die sich umfassend im Adressbuch des Smartphone-Nutzers bedient, ist Whatsapp. Whatsapp versteht sich als kostenlose Alternative zum SMS Versand. Bevor Whatsapp genutzt werden kann, wird der Nutzer gefragt, ob er den Zugriff auf das Adressbuch erlaubt. Der Klick auf „Zustimmen“ hat für den Nutzer jedoch weitreichende Folgen. Whatsapp wird alle Telefonnummern im Adressbuch an den eigenen Server übermitteln, dort dauerhaft speichern und mit dem bestehenden Datenpool abgleichen. Stimmt die Telefonnummer mit der eines anderen Whatsapp-Nutzer überein, erscheint dieser automatisch in den eigenen Favoriten. Dem Austausch von Kurzmitteilungen steht nichts mehr im Weg.

Jeder, der sein Smartphone nicht nur privat sondern auch geschäftlich nutzt, kann nur geraten werden, sich vor dem schnellen Klick beim Zugriff auf das Adressbuch innezuhalten und sich zu informieren. Doch die Information über den Datenschutz ist mitunter nicht einfach. Um bei dem Beispiel zu bleiben, die Datenschutzerklärung von Whatsapp ist wenig erhellend. Und was sagen fachkundige Newsdienste? Heise etwa geht über das hohe Datenschutzrisiko bei Whatsapp einfach hinweg. Eine Sensibilisierung der Nutzer sieht anders aus.

Verstoßen Anbieter wie Whatsapp gegen das deutsche Datenschutzrecht?

Um es kurz zu machen: Die Datenerhebung und -verarbeitung durch Whatsapp wäre, was den Abgleich und die Vorratshaltung der Daten angeht, nach deutschem Datenschutzrecht wohl problematisch. Doch ist es überhaupt anwendbar, wenn der App-Betreiber im Ausland sitzt? Nach § 1 Abs. 5 BDSG ist auch ein ausländischer Betreiber an deutsches Datenschutzrecht gebunden, wenn er Daten im Inland erhebt, verarbeitet oder nutzt. Jedenfalls für die Erhebung wird man daher deutsches Datenschutzrecht annehmen können. Datenschützer wie Peter Schaar wissen jedoch, dass trotz Anwendbarkeit eine Durchsetzung nahezu unmöglich ist.

Andererseits stellt sich die Frage, ob nicht der Smartphone-Nutzer selbst datenschutzrechtlich zur Verantwortung gezogen werden könnte. Schließlich übermittelt er mit einem Klick die personenbezogenen Daten seiner Kontakte. Verantwortliche Stelle im Sinne des BDSG kann auch eine Privatperson sein. Die Übermittlung von personenbezogenen Daten (hier der fremden Kontaktdaten im Adressbuch) ist daher nur mit Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnis zulässig.

Muss der unbescholtene deutsche Smartphone-Nutzer  seine Kontakte fragen, wenn er die Daten seines Adressbuchs für die Inanspruchnahme einer App überträgt?

Das wird wohl im Einzelfall zu prüfen sein.  Datenschutzrechtlern fallen wohl sofort die Möglichkeiten der Auftragsverarbeitung (§ 11 BDSG) oder der Verarbeitung zur Vertragsabwicklung (§ 28 Abs. 1 BDSG) ein. Doch das Problem lauert bereits an anderer Stelle. Sitzt der App-Betreiber, an den die Daten übermittelt werden im außereuropäischen Ausland, so sind die gesteigerten Erfordernisse von § 4b BDSG zu beachten. Sitzt der App-Betreiber in den USA und ist nicht dem Safe-Harbor beigetreten, so ist die Prüfung schnell beendet: Die Übermittlung der personenbezogenen Daten ist nur mit  schriftlicher Einwilligung der Betroffenen möglich. Ein unrealistisches Unterfangen, der Verstoß jedoch grundsätzlich eine Ordnungswidrigkeit.

Die Konsequenz?

Der Zugriff auf personenbezogene Daten war noch nie so leicht und unübersichtlich, wie bei Smartphones. Gerade Verbraucher können die Auswirkungen kaum abschätzen. Grund dafür ist auch die fehlende Aufklärung durch Medienangebote, die über angesagte Apps berichten ohne auf datenschutzrechtliche Konsequenzen hinzuweisen.

Markus Beckedahl ist dieser Tage für seine Äußerung kritisiert worden, dass jeder der das Internet aktiv nutzt und Medienkompetenz besitzt, Urheberrechtsverletzungen begeht. Die Aussage wäre leider im Hinblick auf den Datenschutz bei der Smartphonenutzung wohl treffender:

Jeder der sein Smartphone aktiv nutzt, verstößt gegen Datenschutzrecht.

Dürfen Geodaten künftig nur noch mit Einwilligung erhoben werden?

Die Artikel 29 Datenschutzgruppe der EU hat vergangene Woche eine Empfehlung über den datenschutzrechtlichen Umgang mit Daten aus der Geolokalisation  veröffentlicht. Nach Auffassung der unabhängigen Gruppe handelt es sich insbesondere bei Geodaten, die von einem Smartphone gesammelt und an Gerätehersteller, Dienstleister und Accessprovider übermittelt werden um personenbezogene Daten, da Smartphones nur höchstpersönlich verwendet werden und das Geoprofil eines Smartphones somit 1:1 dem des jeweiligen Nutzers entspricht.

Nachdem die Artikel 29 Datenschutzgruppe diese Hürde genommen hat, ist das Ergebnis der datenschutzrechtlichen Prüfung kaum verwunderlich:

  • Da die Geodaten von Smartphones höchstpersönliche Details aus dem Privatleben des Besitzers offenbart, ist die einzige abwendbare Grundlage die (vorherige und informierte) Einwilligung.
  • Die Einwilligung kann nicht wirksam über AGB eingeholt werden.
  • Die Einwilligung muss sich auf die kronketen Verarbeitungen beziehen, auch bei der Erstellung von Profilen oder Verhaltensmustern. Ändert sich der Zweck der Verarbeitung muss die verantwortliche Stelle erneut die Einwilligung des Betroffenen einholen.

Interessant ist allerdings, dass die Artikel 29 Datenschutzgruppe ein berechtigtes Interesse der Anbieter von Geodatendiensten sieht, die MAC-Adresse von WLAN-Zugängen zu erheben. Dies müsste jedoch im Rahmen einer Abwägung mit den schutzwürdigen Interessen des Betroffenen erfolgen.

Das Gutachten stellt zunächst nur eine unverbindliche Empfehlung eines Datenschutzgremiums dar, es bleibt daher abzuwarten, ob die Empfehlungen nun auf europäischer Ebene durch eine neue Richtlinie bzw. auf nationaler Ebene durch Gesetzesänderungen übernommen wird. Für die Anbieter von Geodatendiensten und Smartphone-Betriebssystemen wäre dies eine deutliche Erschwerung.