Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat eine “Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook” vorgenommen. Am Ende kommt das ULD zu dem Schluss, dass Unternehmen ihre Fanpages bis Ende September abschalten oder mit Bußgeldern rechnen müssen.
Lesen Sie mehr in der Pressemitteilung des ULD.
Mit der folgenden Pressemitteilung wurde am 19.08.2011 die “Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook” vorgestellt.
ULD an Webseitenbetreiber: “Facebook-Reichweitenanalyse abschalten”
Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen.
Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht.
Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.
Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.
Thilo Weichert, Leiter des ULD:
„Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den Daten der Nutzenden.
Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.
Unser aktueller Appell ist nur der Anfang einer weitergehenden datenschutzrechtlichen Analyse von Facebook-Anwendungen. Das ULD wird diese in Kooperation mit den anderen deutschen Datenschutzaufsichtsbehörden vornehmen. Eine umfassende Analyse ist einer kleinen Datenschutzbehörde wie dem ULD mit einem Wurf nicht möglich; zudem ändert Facebook kontinuierlich seine technischen Abläufe und Nutzungsbedingungen.
Niemand sollte behaupten, es stünden keine Alternativen zur Verfügung; es gibt europäische und andere Social Media, die den Schutz der Persönlichkeitsrechte der Internet-Nutzenden ernster nehmen. Dass es auch dort problematische Anwendungen gibt, darf kein Grund für Untätigkeit hinsichtlich Facebook sein, sondern muss uns Datenschutzaufsichtsbehörden dazu veranlassen, auch diesen Verstößen nachzugehen.
Die Nutzenden können ihren Beitrag dazu leisten, indem sie versuchen datenschutzwidrige Angebote zu vermeiden.“
Den Nutzerinnen und Nutzern im Internet kann das ULD nur den Ratschlag geben, ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen. Die Profile sind personenbezogen; Facebook fordert von seinen Mitgliedern, dass diese sich mit ihrem Klarnamen anmelden.
Das ULD hat seine datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook im Internet veröffentlich unter
https://www.datenschutzzentrum.de/facebook/
Diese Analyse soll künftig fortgeschrieben, d. h. erweitert und präzisiert werden. Anregungen hierzu nimmt das ULD gerne entgegen per E-Mail über
facebook@datenschutzzentrum.de
Bei Nachfragen oder im Fall von allgemeinen sonstigen Fragen wenden Sie sich bitte an:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
…hab gleich mal den “Gefällt mir” Button von Shopbetreiber angeklickt 🙂
Wie? Sie geben die Pressemitteilung unkommentiert weiter? Hat shopbetreiberblog.de keine Meinung dazu oder darf ich da noch was erwarten?
@Carsten
Die Analyse des ULD ist sehr umfangreich. Wir werden diese noch separat auswerten und dann unseren Standpunkt dazu mitteilen. Wir wollten zunächst über die Auffassung des ULD informieren.
bei uns wird der like button erst geladen, wenn man auf ein Bild klickt (Plugin laden). Das müsste doch Ok sein, oder? Daten werden erst nach dem Klick an facebook gesendet. Der unbedarfte Surfer wird so nicht von facebook erfasst. Was spricht eigentlich gegen die fanpages? Irgendwie geht das nicht aus der PM hervor.
Gruß
Sebastian
Was die Datenschützer nicht alles fordern 😉 Es ist aber leider so, das sie immer wieder andere Wege versuchen werden zu finden, die sie nutzen können, um Social Networks wie Facebook einen Strich durch die Rechnung zu machen.
Ich frage mich ernsthaft, welchen direkt MERKBAREN Schaden ein Nutzer davon tragen sollte, wenn seine Daten durch den Klick auf den “Gefällt mir”-Knopf übertragen werden oder auch nur durch seine Erfassung, sofern er bei Facebook eingeloggt ist? Körperlicher Schaden? Finanzieller Schaden?
Fanpages abschalten…? Gefällt mir-Button entfernen…?
Es steht doch jedem Facebook-Nutzer frei, diese Buttons zu nutzen oder nicht. Wenn der Nutzer sich beim Verlassen der Facebookseite ordentlich abmelden würde, könnte Facebook diesen Nutzer auch nicht mehr tracken…
Also ist das Datensammeln von Usern selbstverschuldet.
Warum geht es eigentlich immer nur um Facebook?
Es gibt genügend andere Communities und Netzwerke aus denen man entsprechende Nutzerprofile und Interessen ableiten kann…Grundsätzlich haben alle Nutzer diese Daten (Interessen, Gruppenmitgliedschaften, etc.) selbst veröffentlicht und preisgegeben.
Vielmehr sollten sich die Datenschützer Sorgen machen um die Weitergabe persönlicher Daten durch die Einwohnermeldeämter an Institutionen wie GEZ nur mal als Beispiel. Das ist ein viel größerer Datenschutzskandal !
Die ULD schreibt in ihrem Bericht ganz nebenbei und wie selbstverständlich, dass “[…] die IP-Adresse […] nach einhelliger Auffassung der europäischen und deutschen Aufsichtsbehörden Personenbezug besitzt.”
Hab ich was verpasst? Ist das jetzt Gesetz?
Sorry Leute, aber ich kann die Aufschreie hier nicht wirklich nachvollziehen!
Vielleicht solltet Ihr Euch erst mal über das beanstandete Problem genauer informieren:
Jeder arglose Besucher, der eine x-beliebige Website aufruft, auf der ein “Gefällt mir”-Button steht, wird grundsätzlich erst einmal getrackt, schon während die Seite geladen wird. Ist er ein Facebook-Nutzer, wird sein Username gleich mit hinzu geschrieben (egal, ob eingeloggt oder nicht).
Das ist keinesfalls in Ordnung, da er überhaupt keine Möglichkeit hat, darauf Einfluss zu nehmen (außer ggf. über explizite Browser-AddOns etc.)
Genau dieses wird beanstandet und Webseiten-Betreiber als auch -Besucher darauf hingewiesen.
Gleichzeitig wird damit auch der Druck auf Facebook erhöht, in dieser Hinsicht Änderungen anzubgringen.
So wie Sebastian es schreibt, ist es schon was ganz anderes, hier muss der User tatsächlich selber erst aktiv werden.
Was Facebook da treibt, ist nicht in Ordnung und es ist schon okay, wenn denen auf die Finger geschaut wird….
Michael
Wenn das bundesweit so kommt werden wir wohl auf den “gefällt mir” Button verzichten müssen und nur einen Link auf unser facebook Profil setzen. Da reden alle von WEB 2.0 und dann muss man auf solche Tools verzichten…
Die Lösung von @Sebastian finde ich ganz gut, kann man da nen Code zu bekommen?
Ansonsten stimme ich dem zu, dass angemeldete Nutzer von facebook ja selbst festlegen, was sie veröffentlichen. Da ist schon etwas Eigenverantwortlichkeit gefragt. Bei nicht angemeldeten Nutzern kann ja nicht viel getrackt werden. Die IP sicher und die Verweisseite vielleicht. Ich halte die IP ja immernoch für nicht personenbezogen, da es einem normal Sterbichen ja nicht so einfach gelingt diese aufzulösen. Und für Lieschen Müller von nebenan wird sich sicher keiner die Mühe machen…
Klar verdient facebook mit den Daten sein Geld, dafür kann man facebook aber auch kostenlos nutzen. Hat sich mal jemand die Frage gestellt, wie das sonst gehen soll? Eine Mitgliedsgebühr von 100 Euro / Monat will ja sicher auch keiner zahlen, oder? Die Frage ist ja auch, wozu die Daten genutzt werden. Dass ich dadurch auf facebook personalisierte Werbung erhalte finde ich nun wirklich nicht schlimm und Spam kommt auch so genug an, sodass ein Spamfilter ohnehin erforderlich ist, auch ohne facebook…
Grüße
Rene
Was vielen nicht bewusst ist, ist dass Facebook durch die weite Verbreitung des Like Buttons nahezu eine komplette Nutzerhistorie für bestimmte IP Adressen/User Agent Kombinationen hat – zumindest bis die IP wieder wechselt. Nun kann man sagen: Kein Problem, solange ich mich nicht auf Facebook anmelde, kann Facebook das ja nicht mit mir verknüpfen. Muss Facebook auch gar nicht, solche Informationen lassen sich auch gut an interessierte Dritte verkaufen. Zum Beispiel an Werbenetzwerke die dann beim Seitenaufruf kurz bei Facebook nach einem aktuellen Interessenprofil für eine IP/User Agent anfragen können. Oder an Webseitenbetreiber – z.B. könnte ein Kreditkartenunternehmen ja schonmal eine Vorauswahl treffen ob es dem Besucher beim Besuch der Webseite lieber die Bronze, Silber oder Platinkarte, oder doch lieber eine Karte auf Guthabenbasis anbietet. Je nachdem ob dieser z.B. vorher auf der Webseite eines Ober-, Mittelklassewagen oder Kleinstwagenherstellers mit Likebutton gesurft hat.
Technisch möglich ist das ohne weiteres. Ob Facebook so etwas plant oder nicht, oder bereits macht weiß keiner. Facebook schweigt sich ja beharlich aus wenn Anfragen von Datenschützern kommen.
Wer also sagt: Solange ich mich nicht auf Facebook anmelde, bleibt ja alles anonym, irrt womöglich. Denn die Verknüpfung eines Nutzungsprofils mit der Person muss ja nicht zwangsläufig bei Facebook erfolgen sondern könnte theoretisch bei einem “Partnerunternehmen” erfolgen wenn Facebook Profile weiterverkaufen würde.
Da schluckt man erst einmal. Aber: Wenn man einmal die Reichweite der Information erfasst hat, sollte die Entfernung des Like Button von der Homepage/ Shopseite leichter fallen! Bei mir ist der Button weg und niemand hat es gemerkt 😉 Was es nun mit der Fan-Seite auf sich hat konnte ich nicht verstehen. Wer bei Facebook angemeldet ist bekommt diese zu sehen. Da hat der Besucher bereits vorher seine Willensbekundung abgegeben…
What’s next? Tell a friend — weg, Analytics — darf nicht, Facebook — bald verboten. Zunächst kommt auch noch das Cookie Gesetz……. Es kommt noch soweit das man seine Kunden keine Adresse fragen darf.
Da bin ich aber mal gespannt, wie das Ganze ausgeht. Hoffentlich profitieren nicht als Einzige dubiose Abmahner davon…
Auf Grund von Unklarheiten möchte ich nochmals – wie bereits im Text geschehen – darauf hinweisen, dass das ULD von Webseiten-Betreibern aus Schleswig-Holstein erwartet, dass diese bis Ende September (Freitag, 30.09.2011) ihre Facebook Fanpages abschalten und den Like-Button aus ihren Internetauftritten entfernen.
Über die weitere Entwicklung werden wir Sie informieren.