Der Konflikt zwischen dem Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook um den „Gefällt-Mir-Button“ und Fanseiten hat zu kontroversen Diskussionen bei Parteien, Institutionen, Verbänden und Experten, aber auch auf Seiten der Besucher/-innen und Nutzer-/innen von Facebook geführt.
Das Landesblog will nicht nur berichten, sondern auch Platz für Debatten sein. Ich habe deshalb alle Parteien sowie einige Verbände aus Schleswig-Holstein gebeten, uns ihre Sicht der Dinge zum Themenkomplex Facebook/Datenschutz im Landesblog darzustellen. Hier der Beitrag des FDP Schleswig-Holstein.
Weitere Artikel in der Debatte um Facebook finden Sie hier.
Ingrid Brand-Hückstädt, die Autorin des Artikels, ist die medienpolitische Sprecherin der FDP-Landtagsfraktion.
Die Entwicklung des Internets ist rasant – so rasant, dass Politik und Datenschützer vielfach nur hinterlaufen – sowohl der technischen Entwicklung als auch den neuen Geschäftsmodellen. Das Spannungsfeld „Soziale Netzwerke“ versus Datenschutz ist groß und stellt alle Beteiligten immer wieder vor neue Herausforderungen. Diesen Herausforderungen mit kurzfristigem Boykott für vier Wochen wie bei den Schleswig-Holsteinischen Grünen zu begegnen oder Aufrufen zum Komplettaustieg wie von der Bundes-Verbraucherministerin von ihren Kabinettsmitgliedern gefordert sind da wenig hilfreich und zudem völlig naiv.
Glaubt wirklich jemand, dass solche populistischen Maßnahmen Facebook in Kalifornien oder Irland, auch nur ein kleines bisschen beeindrucken werden?
Hinter Facebook oder auch Google+ steht eine gigantische Unternehmensmaschinerie mit einer Geschäftsidee. Die mag man gut oder schlecht finden, die mag man nutzen oder nicht – aber aufhalten wird man sie nicht. Schon gar nicht mit lächerlichen Boykotts.
Wir müssen uns ernsthaft mit dem Problem beschäftigen, das ja völlig zu recht vom schleswig-holsteinischen Datenschutzbeauftragten mit einem Knalleffekt in das Licht der Öffentlichkeit gerückt wurde.
Der Knalleffekt war, dass der ULD diejenigen ins Visier nimmt, die Betreiber und Nutzer von Facebook sind. Wir hätten uns gewünscht, dass die Auseinandersetzung über tatsächliche und rechtliche Folgen der Reichweitenanalyse des ULD zwischen denen ausgefochten würde, die es angeht: dem ULD und Facebook. Dass diese erst durch den Anhörungsantrag von CDU und FDP vor dem Innen- und Rechtsausschuss des Landtages zusammengekommen sind, war für uns mehr als erstaunlich.
Tatsächlich ist die rechtliche Lage aus Sicht der FDP nicht so klar, wie sie das ULD darstellt.
Allein die Frage, was eigentlich personenbezogenene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) sind, ist unter Experten strittig. Schon bei der IP-Adresse kommt es darauf an, ob von einer statischen oder dynamischen IP-Adresse auszugehen ist; bei den Cookies ist umstritten, ob tatsächlich ein genereller Personenbezug besteht und bei der Frage der Verantwortlichkeit der Webseitenbetreiber ist streitig, ob diese überhaupt die datenschutzrechtlich verantwortliche Stelle sind. Alle aufgeführten Fragen sind bisher gerichtlich nicht entschieden, sondern seit vielen Jahren höchst umstritten.
Es ist mehr als bedauerlich, dass das ULD sich mit den unterschiedlichen Argumenten dazu nicht ausreichend befasst hat und seine eigene Auslegung als unumstößliche Tatsache ansieht.
Zwar sind in der Europäischen Union durch die sog. Artikel 28-Gruppe gemeinsame Datenschutzstandards festgelegt worden, an die sich alle Mitgliedsstaaten zu halten haben. Darin ist auch festgelegt, dass deutsche Seitenbetreiber für die Verarbeitung von Nutzungsdaten von Facebook Mitverantwortung tragen.
Handelt es sich aber im vorliegenden Fall wirklich um eine Auftragsdatenverarbeitung gem. § 11 BDSG und damit einer daraus resultierenden Verantwortlichkeit der Webseitenbetreiber für die von Facebook erstellten Statistiken? Und geben die Nutzer nicht lediglich Daten zu ihrer eigenen Person ein und sind damit gleichzeitig Betroffene im Sinne des Datenschutzrechts?
Facebook behauptet, dass Facebook Irland die verantwortliche Stelle in Bezug auf personenbezogene Daten der Facebook-Nutzer ist und damit irländisches Recht Anwendung findet. Sie behaupten weiter, dass Facebook-Administratoren keine Nutzerprofile gem. § 15 II TMG erstellen – schon gar nicht von Nicht-Facebook-Nutzern, die Seiten mit dem „Gefällt-mir“Schaltflächen besuchen, weder über die IP-Adresse noch über Cookies.
Alles Fragen, die das ULD für sich eindeutig beantwortet und als logische Konsequenz Abmahnungsschreiben an schleswig-holsteinische Webseitenbetreiber — inklusive der Staatskanzlei – verschickt.
Es gehört nicht zur liberalen Grundhaltung, dass ein Datenschutzbeauftragter immer Recht hat – bei aller Wertschätzung. Und ebenso wenig gehört dazu, Facebook oder anderen Social Networks zu unterstellen, dass sie grundsätzlich gegen den deutschen Datenschutz verstoßen. Vielmehr gehört es zum liberalen Verständnis, dass bei einem Streit nicht nur beide Seiten zunächst mal angehört werden müssen, sondern auch erst mal vermutet werden kann, dass beide Seiten Recht oder Unrecht haben. Die Frage ist nur: wer kann was glaubwürdig beweisen?
Der Datentransport ist Telekommunikation und richtet sich in Deutschland somit nach dem Telekommunikationsgesetz (TKG), die Verbindung zwischen Nutzer und Anbieter nach dem Telemediengesetz (TMG) und der Inhalt der Kommunikation nach dem BDSG (unter anderem wegen dieser unterschiedlichen Zuständigkeiten fordert die FDP seit langem eine einheitliche Medienaufsicht).
Das ULD geht ohne weiteres von einer eigenen Zuständigkeit sowohl für eine Untersagung nach § 38 V BDSG und für Bußgelder nach § 16 TMG und § 43 BDSG gegenüber schleswig-holsteinischen Webseiten-Betreibern aus. Aber auch das kann man anders sehen: Nach Nr. 5.3.2. der Anlage der schleswig-holsteinischen Landesverordnung zur Bestimmung der zuständigen Behörden für die Verfolgung und Ahndung von Ordnungswidrigkeiten (OWiZustVO) ist das ULD nur zuständig für die Verhängung von Bußgeldern nach § 43 BDSG. Für Bußgelder gem. § 16 TMG ist jedoch die Medienanstalt Hamburg/Schleswig-Holstein zuständig, § 38 VI Medienstaatsvertrag HSH.
Es sind also zwei große Fragenkomplexe, die durch das Handeln des ULD aufgeworfen werden:
Datenschutzrechtlich ist die Lage nicht so eindeutig, wie sie das ULD darstellt und ob das ULD überhaupt für Bußgeldbescheide nach dem TMG zuständig ist, erscheint rechtlich eher fraglich.
Etwas zu viele Unsicherheits-Komponenten, mit denen das ULD im Alleingang die schleswig-holsteinischen Webseitenbetreiber und Unternehmer mit Kanonen beschießt. Von der Frage, ob nicht durch die gezielte Öffentlichkeitskampagne des ULD sogar deren Grundrechte verletzt sein könnten, weil sie nämlich von einer staatlichen Behörde wegen angeblicher Verstöße öffentlich angeprangert werden ohne sich rechtlich wehren zu können, ganz abgesehen (vgl. BVerfG vom 26.2.2002 – Glykolwarnung).
Um nicht falsch verstanden zu werden: Sicherheit und Datenschutz dürfen keinesfalls Geschäftsprozessen oder Gewinnoptimierungen von Unternehmen im Internet geopfert werden. Deshalb ist es richtig, dass der Datenschutz auf europäischer Ebene ganz oben auf der Agenda steht. Und die Tatsache, dass dieses Thema bei 92 % der Unternehmen der Internet-Wirtschaft Thema Nr. 1 ist, sollte uns ein bisschen gelassener machen. Politik und Unternehmen müssen versuchen, gemeinsam Lösungen für den Datenschutz im Internet zu finden. Dabei ist Offenheit, Transparenz und auch gegenseitiges Vertrauen erforderlich. Rechtlich fragwürdige Abmahnungsschreiben und Bußgeldbescheide sind es nicht.
Ihre zwei Fragenkomplexe sind mir als Benutzer vollkommen egal.
Das ist doch juristische Erbsenzählerei, ob das ULD zuständig ist oder irgendeine andere Behörde, die dann ja ganz offensichtlich ihre Arbeit nicht macht. Daß sich eine Datenschutzbehörde mit dem Datenschutz befaßt, halte ich keineswegs für einen irgendwie fragwürdigen Vorgang.
Zurück von der juristischen Meta-Ebene auf die Sachebene:
Warum das ULD die Fanpages bekämpft, verstehe ich auch nicht. Besuche ich so eine Seite, besuche ich Facebook, dabei wird wie bei jeder Seite mindestens meine IP-Adresse erfaßt. Das muß wohl jedem klar sein.
Mit dem in beliebige andere Seiten eingebetteten Like-Button sieht die Sache ganz anders aus: Hier geht es nicht mehr um das Übermitteln meiner IP an Facebook sondern um mein beinahe komplettes Surfverhalten! Und das nicht erst bei Klick auf den Button, sondern bereits beim Aufruf der Seite.
http://www.heise.de/security/artikel/Das-verraet-Facebooks-Like-Button-1230906.html
Wenn Facebook behauptet, es würde keine Daten erheben, ist das gelogen, denn der Code verrät, daß sie es tun. Das ist nicht neu und hat doch nur wenige interessiert. Mich wundert, daß Ihnen als medienpolitischer Sprecherin dieser Sachverhalt nicht bekannt ist. Aber mich wundert ja auch, daß sie seit zwei Jahren Abgeordnete sind und keine Website haben, auf der Sie über Ihre Arbeit berichten.
Das ULD hat sich jedenfalls offensichtlich sehr genau mit Facebook beschäftigt und erkannt, daß man bei solchen Konzernen mit dem Florett* nicht weiterkommt. Nun hat es die nötige Aufmerksamkeit. Herzlichen Glückwunsch.
* Frau Aigner: Ich lösche meinen Account!
Nur zur Erklärung: Soweit ich das ULD verstanden habe, kümmern die sich auch um die Fanpages, weil sie die Seite anders einstuft als man das gemeinhin tun würde. Wenn ich eine eigene Homepage habe, muss ich mich darum kümmern, dass den Datenschutz einhalte. Dazu gehört auch, dass ich mir einen Provider aussuche, der nur die Daten für mich erhebt, die ich erheben darf.
Dann gibt es mittlerweile als Zwischenstufe viele Anbieter, die so etwas wie einen Homepage-Baukasten anbieten (Bsp. Jimdo). Auch da kann ich eine Homepage betreiben. Ich muss mich aber nicht mehr ums Hosting kümmern.
Und dann gibt es Facebook-Fanseiten, die ja mittlerweile auch oft Homepage-Charakter haben. Für einige Aktionen legen Firmen gar keine Homepages mehr an, sondern nehmen direkt eine Fanseite.
Hier sagt das ULD jetzt, dass man beim Anlegen und anbieten einer solchen Seite natürlich auch darauf achten muss, dass das Datenschutz-konform ist. Ist es nicht. Das ist offensichtlich. Strittig ist nur, ob Facebook als Provider haftbar ist, oder ob es die Leute sind, die den Service von Facebook nutzen.
Ob das jetzt oder nicht, ist egal, denn IMHO nutzt das ULD die Anbieter von Fanseiten, um Druck auf Facebook zu machen. Siehe: http://landesblog.de/2011/09/keine-angst-vor-thilo-weichert/
@Steffen Voß Verstehe, vielen Dank.
Wird Frau Brand-Hückstädt sich auch nochmal äußern?