Warum iFrames keine Auftragsdatenverarbeitung sind…

Im Streit um die datenschutzrechtliche Zulässigkeit des Facebook Like-Buttons macht der Unterausschuss „Neue Medien“ des Bundestags heute ein Expertengespräch zu diesem Thema ab. Im Vorfeld wurden den eingeladenen Experten, zu denen auch der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert gehört, vorbereitende Fragen gestellt. Thilo Weichert hat diese Fragen auch bereits beantwortet und seine Antworten veröffentlicht (pdf).

Unter den Fragen findet man den Einwand, dass die kritisierte Einbindung des Like-Buttons, nicht nur diesen betrifft sondern eine Reihe von Diensten (etwa Youtube).  Die Antwort von Herrn Weichert: Die in diesen Fällen verwendete iFrames Technologie stelle ein Fall der Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Diese Auffassung ist meines Erachtens nicht nur gewagt, sondern auch nicht mit dem rechtlichen Gedanken der Auftragsdatenverarbeitung vereinbar. Warum?

Zunächst muss man sich klar machen, was ein iFrame überhaupt ist? Letztlich handelt es sich um eine Weiterentwicklung der seit den Anfangstagen des Internets bekannten (und rechtlich viel diskutierten) Frame-Technolgie. Der Einzige Unterschied besteht darin, dass der fremde Seiteninhalt nicht als Teil einer Tabelle geladen wird, sondern als Objekt. Vergleichbar mit einem Bild. Darüberhinaus besteht die Möglichkeit ganz präzise bestimmte Inhalte (statt ganze Webseiten) einzubinden. Insoweit ist der iFrame kein „Novum“ sondern kann auch im Hinblick auf die juristische Bewertung, als Fortentwicklung von Frames (mit allen Vor- und Nachteilen) gesehen werden.

Was bedeutet das für die datenschutzrechtliche Beurteilung? Frames standen aus juristischer Sicht insbesondere wegen der Zueigenmachung fremder Inhalte in der Diskussion. Datenschutzrecht spielte dabei keine oder nur eine äußerst untergeordnete Rolle. Eine Auftragsdatenverarbeitung findet jedoch bei einem klassischen Frame nicht statt, allein weil im Zweifel der Betreiber der per Frame eingebundenen Webseite davon keine Kenntnis hat und damit auch keine Daten im „Auftrag“ verarbeitet. Das mag bei Social Plugins etwas anders sein, da diese Webseitenbetreibern gerade zum Zwecke der Einbindung angeboten werden.

Eine Auftragsverarbeitung findet dennoch nicht statt, da die Grundvoraussetzung der Auftragsdatenverarbeitung nicht gegeben ist. Damit eine Auftragsdatenverarbeitung vorliegt, muss der Auftragsdatenverarbeiter die personenbezogenen im Auftrag und auf Weisung des Auftraggebers verarbeiten. Der Auftragnehmer hat nur eine Hilfs- und Unterstützungsfunktion und ist bei der Verarbeitung von den Vorgaben des Auftraggebers abhängig  (So etwa Wedde in Däubler/Klebe/Wedde/Weichert,(!) Kommentar zum BDSG, § 11, Rn. 5). Anders gesagt, die Auftragsdatenverarbeitung scheidet zwangsläufig aus, sobald die verarbeitende Stelle ein eigenes Interesse an der Verarbeitung und diese (Weiter-) Verarbeitung auch eigenständig durchführt.

Gerade dies ist jedoch bei den Social Plugins der Fall. Weder Facebook noch YouTube verarbeiten personenbezogene Daten streng im Auftrag des Webseitenbetreibers und schon gar nicht als Hilfs- oder Unterstützungsfunktion. Im Gegenteil. Sie verarbeiten diese im eigenen Interesse und ohne jeglichen Einfluss des Webseitenbetreibers. Dieser mag zwar „Zweckveranlasser“ sein, da dieser Begriff dem Datenschutzrecht in seiner aktuellen Gestaltung fremd ist, macht dies den Webseitenbetreiber nicht automatisch zum Auftraggeber einer Auftragsdatenverarbeitung.

Eine Auftragsdatenverarbeitung wird daher beim Einsatz von iFrames regelmäßig ausscheiden. Nur in Einzelfällen wird möglicherweise eine Auftragsdatenverabeitung vorliegen.

 

Update: Henning Tillmann zeigt anschaulich, dass es sich hier nur um alten Wein in neuen Schläuchen handelt.

Eine unerwartete Antwort von Herrn Weichert

Nico Lumma hat vor einigen Wochen 7 Fragen zum Datenschutz gestellt. Zu den ausgewählten Befragten gehörte auch Thilo Weichert. Dieser hat nun ebenfalls 7 Antworten gegeben. Eine Antwort fand ich dabei durchaus unerwartet:

Frage: Was ist so schlimm am Like-Button?

Thilo Weichert: Der Button tut nicht körperlich weh. Das Anclicken des Buttons löst aber Datenverarbeitungen aus, die für die Nutzenden weder transparent noch selbstbestimmt sind. Es geht um das Setzen eines Cookies, um die Profilierung mit Hilfe des Cookies bei Facebook/USA und die kommerzielle oder sonstige Nutzung dieser Profile, worüber Facebook nicht ansatzweise Informationen herausgibt. Das verstößt gegen das deutsche Telemediengesetz und gegen die europäische E-Privacy-Directive. In diesen Verstößen liegen unzweifelhaft Verletzungen des Grundrechts auf informationelle Selbstbestimmung der Betroffenen.

Es geht also um das „Klicken“ des Like-Buttons, was ein Cookie setzt.  Das klang bislang noch ganz anders und würde sämtliche (für einen Datenschutzhardliner unzureichenden) 2-Klick-Lösungen überflüssig machen. Da ich die mir aufdrängende Frage schon gestellt habe, frage ich lieber: Woher kommt der Sinneswandel?

Ja was denn nun, Herr Weichert?

Vergangene Woche veröffentlichte das Unabhängige Landeszentrum für den Datenschutz in Schleswig-Holstein (ULD) eine „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook (pdf)“. Fazit des ULD: Facebook Fanseiten und die Einbindung der Social Plugins von Facebook sind nicht datenschutzkonform realisierbar und daher von Diensteanbietern ab Ende September abzuschalten, ansonsten drohen Bußgelder in Höhe von 50.000,- Euro.

In seinem Arbeitspapier schreibt das ULD zur Möglichkeit einer datenschutzkonformen Umsetzung mittels Einwilligung auf Seite 22:

„Aus dem oben Gesagten ergibt sich, dass die personenbezogen Datenverarbeitung bei Faceook  in keinem Fall durch eine nach deutschem bzw. europäischen Recht wirksame Einwilligung legitimiert werden kann.“

Und auf Seite23 stellt das ULD fest, dass aufgrund der Reichenweitenanalyse von Facebook Insights sowohl Fanpages als auch Social Plugins nicht datenschutzkonform sind:

„Wegen der Missachtung des in § 15 Abs. 3 TMG festgelegten Trennungsgebotes ist das Einbinden von Social-Plugins von Facebook in deutschen Webseiten und das Betreiben von „Facebook Insights“ auf Fanpages innerhalb von Facebook unzulässig.“

Nach der anhaltenden Kritik hat das ULD nun Fragen und Antworten zu Facebook veröffentlicht. Darin liest der erstaunte Leser:

„Eine datenschutzkonforme Einbindung erfordert zurzeit, dass die Social-Plugins nur dann geladen werden dürfen, wenn die Nutzerin oder der Nutzer der mit der Einbindung von Social-Plugins verbundenen Übertragung personenbezogener Daten eingewilligt haben, § 13 Abs. 2 TMG. Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden.“

Noch bunter wird es schließlich zu den Ausführungen hinsichtlich der Fanpages. Diese sind nach der neuen Auffassung des ULDs auch weiterhin nicht datenschutzkonform nutzbar, da hier die datenschutzrechtlichen Anforderungen an die Reichenweitenanalyse durch Facebook Insights nicht realisiert werden können:

“ Dem ULD ist momentan keine Möglichkeit bekannt, Fanpages datenschutzkonform zu nutzen. Hierzu sind weitgehende Änderungen seitens Facebook notwendig. Insbesondere muss Facebook den Betreibern von Fanpages die Möglichkeit geben, die Erhebung von personenbezogenen Daten für die Erstellung der Reichweitenanalyse (Facebook Insights) abzuschalten. Weiterhin muss Facebook eine Funktion zur nutzerbezogenen Einwilligung in die Reichweitenanalyse schaffen bzw. Maßnahmen zur Umsetzung der Vorgaben des § 15 Abs. 3 TMG ergreifen.“

Der Verstoß gegen § 15 Abs. 3 TMG hindert den Einsatz von Fanpages. Trotz des gleichen Verstoßes bei Social Plugins (laut Arbeitspapier) können diese dennoch datenschutzkonform eingebunden werden. Ja was denn nun, Herr Weichert?

 

Update 23.08.11 18:30 Uhr: Das ULD hat nun die FAQ wie in den Kommentaren angekündigt überarbeitet. Statt der ursprünglichen Frage „Kann man Facebook Social-Plugins datenschutzkonform einbinden?“  (nachzulesen bei Kollege Dosch) lautet diese nun „Kann ein Webseitenbetreiber Facebook Social-Plugins so einbinden, dass die unkontrollierte Übertragung personenbezogener Daten verringert wird?“. Ergänzt wurde zudem die Anmerkung, dass eine Reduzierung der unkontrollierten Übertragung nichts an der Analyse zur fehlenden Einwilligung gegenüber Facebook ändert. Eine, aus meiner Sicht, zweifelhafte „Klarstellung“. Unabhängig von der rechtlichen Bewertung dieser Klarstellung konterkariert das ULD damit seine eigene Haltung:

Aus „Verboten! Sofort abschalten!“ wird „Eigentlich ja nicht erlaubt, aber so ist es nicht ganz so schlimm (wir wollen doch nur spielen?)…“.