Zum Inhalt

Was macht ein Datenschutzbeauftragter in Deutschland?

Über die Frage was ein Datenschutzbeauftragter ist

Im Sommer 2011 hat die vom Wiener Jura Student Max Schrems gegründete studentische Initiative Europe versus Facebook bei dem irischen DPC (Data Protection Commissioner), dem irischen Datenschutzbeauftragten, mehrere Anzeigen gegen Facebook eingereicht, nachdem Facebook ihm auf Anfrage alle über ihn als Nutzer gespeicherten Daten in Papierform übersandt hatte.

In diesen Anzeigen bemängelte er vor allem, dass Daten von Facebook weiter gespeichert werden, selbst wenn der Nutzer meint sie gelöscht zu haben. Ebenso bemängelte er die unklaren Datenschutzbestimmungen und auch die Gesichtserkennung bei Facebook. Inzwischen scheint es seit Februar Gespräche zwischen dem Jura Studenten Schrems und Facebook zu geben.

Im folgenden werde ich einige Anzeigen herausgreifen und rechtlich bewerten. Dabei möchte ich eventuelle Verstöße von Facebook am europäischen und am deutschen Recht messen.

Wer kann Datenschutzbeauftragter werden

Vorab möchte ich kurz darauf hinweisen, dass die Frage, ob nun deutsches oder irisches Recht anzuwenden ist, umstritten ist. So hat der Hamburgische Datenschutzbeauftragte in einem Gutachten zur Gesichtserkennung eine differenzierte Auffassung vertreten. Facebook Ireland Ltd. ist als Anlauf- und Beschwerdestelle für Facebook Inc, Delaware, USA tätig. Zu diesem Zweck verarbeitet diese Nutzerdaten. In diesem Bereich gelte daher irisches Datenschutzrecht. Soweit es aber um den allgemeinen Betrieb der Facebook-Seiten geht, sei Facebook Inc. in den USA maßgeblich. Da Facebook Inc daher nicht in der EU oder im EWR liegt, käme nach § 1 Abs. 5 S. 2 BDSG das deutsche Recht zur Anwendung.

Dass schon die Frage der Zuständigkeit sehr kompliziert ist, zeigt sich schon daran, dass das Gutachten, welches sich zur Frage der datenschutzrechtlichen Beurteilung der Gesichtserkennung Gedanken macht, sich zur Hälfte mit der Prüfung Zuständigkeit beschäftigt.

Erstellung von Schattenprofilen durch Facebook

Eine Anzeige von Schrems beschäftigt sich mit sogenannten Schattenprofilen. Dies sind Profile von Daten von Personen, die selbst keine Nutzer von Facebook sind. Jeder, der bei Facebook ist, kennt den sogenannten Freundefinder. Dabei speichert Facebook die aus dem Emailaccount des Nutzers importierten Emailadressen auf seinen Servern. Facebook behält sich vor, diese Emailadressen zu nutzen, um Freundschaftsvorschläge zu generieren.

Misst man nun diese Praxis von Facebook an deutschen Datenschutzrecht, so fällt sofort eines ins Auge. Dem deutschen Datenschutz liegt der Grundsatz zugrunde, dass personenbezogene Daten, wie zum Beispiel Emailadressen, nur verarbeitet oder genutzt werden dürfen, wenn ein Gesetz oder andere Vorschrift dies erlaubt oder eine Einwilligung des Betroffenen vorliegt. Dies sieht § 4 BDSG ausdrücklich vor. § 4a BDSG konkretisiert sogar noch die Anforderungen an die Einwilligung, wonach sie frei sein muss und der Betroffene aufgeklärt werden muss, was mit seinen Daten überhaupt geschieht und wofür sie überhaupt genutzt werden sollen.

Wie funktioniert das Datenschutzrecht in der Praxis?

In der Praxis bedeutet dies, Facebook hätte sich zunächst die Einwilligung des Betroffenen holen müssen, dass er die Emailadresse speichern und nutzen darf. In den wenigsten Fällen wird man seine Emailadresse an einen Freund mit der Erlaubnis weitergegeben haben, dass Facebook sie speichern und weiter verwenden darf.

Sicherlich ist es für Facebook wirtschaftlich effizienter, zunächst möglichst viele Emailadressen zu sammeln und die Inhaber persönlich in der Hoffnung auf einen Beitritt zu Facebook anzuschreiben. Pauschale Werbung für die Website ist sicher mühsamer und weniger erfolgreich. Es bleibt aber dabei, dass jede Person grundsätzlich Herr bzw. Herrin über die eigene Daten ist und selbst darüber entscheiden kann, was damit passiert. Diesen Grundsatz der Transparenz kann lediglich der Gesetzgeber ändern, nicht aber Facebook.

Gelöscht und doch gespeichert

Mehrere Anzeigen von Schrems beschäftigen sich mit dem Vorwurf, dass trotz Löschung von Beiträgen, Nachrichten oder Anstupser, diese weiter gespeichert werden. Er bemängelt hier beispielsweise, dass in den von Facebook übersandten Unterlagen Beiträge, Nachrichten und Anstupser weiterhin aufgelistet waren, obwohl er diese in seinem Nutzerprofil gelöscht hatte.

Auch hier kommt das Grundprinzip der Transparenz im Umgang mit personenbezogenen Daten zum Ausdruck. Jeder Anstupser, jede Nachricht oder Beitrag können einem Nutzerprofil bei Facebook zugeordnet werden und sind daher personenbezogene Daten. Das Gebot der Transparenz gebietet aber auch hier, dass gelöschte Daten auch tatsächlich gelöscht werden, wenn dies so angekündigt wurde.

Verfolgung durch den Like-Button

Schrems hat auch den Like-Button mit in seine Anzeige aufgenommen. Diesbezüglich hat ja schon das Unabhängige Landeszentrum für Datenschutz (ULD) in Kiel eine Stellungnahme zu abgegeben.

Dabei stellt sich der Vorgang so dar, dass Informationen über den Besucher der Seite schon dann gesammelt werden, wenn dieser die Webseite mit Like-Button aufruft. Es bedarf noch nicht einmal des Anklicken des Buttons. Sollte der Besucher nebenbei noch bei Facebook eingeloggt sein, kann Facebook über einen gesetzten Cookie erkennen, dass diese bestimmte Seite von einem bestimmten Benutzer aufgerufen wurde. Dies lässt sich zur Erstellung eines Surfprofils im Internet natürlich sehr gut nutzen. Der Besucher der Seite erfährt hiervon nichts. Genau hier setzt auch die Kritik des ULD ein. Es erfolge nämlich keine hinreichende Information der betroffenen Nutzerinnen und Nutzer über die Weitergabe von Daten.

Was sollte man mitnehmen?

Da aber der Besucher einer Webseite nicht über die Erhebung von Daten informiert wird, kann er auch nicht in die Erhebung einwilligen, was diese Erhebung rechtswidrig macht. So ist auch hier das Transparenzgebot von Facebook verletzt worden.

Verschiedene Website-Betrieber haben inzwischen auf die Diskussion zwischen dem ULD und Facebook reagiert und versuchen nun den Like-Button datenschutzkonform auf ihre Site einzubinden. So hat heise online ein Programm erstellt, das zunächst die Weitergabe von Informationen von Informationen an Facebook unterbindet und erst nach der Einwilligung des Besuchers den Like-Button scharf schaltet.

Published inJura

Schreibe den ersten Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.