Die obersten Datenschutzbehörden der Länder haben als "Düsseldorfer Kreis" in einem aktuellen Beschluss erstmals gemeinsam Stellung zum Datenschutz in sozialen Netzwerken bezogen. Darin enthalten ist auch eine klare Position der Behörden zur Verantwortlichkeit für die Verwendung von Social Plugins.
Welche Ansichten die Behörden vertreten, lesen Sie hier
Spätestens seit am 19. August 2011 das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein die Abschaltung aller Facebook-Fanpages und die Entfernung sämtlicher Like-Buttons von geschäftlichen Websites in Schleswig-Holstein forderte, herrscht große Verunsicherung in der Online-Branche hinsichtlich der Verwendung von Social Media Funktionen als Marketinginstrument.
Nun haben die obersten deutschen Datenschutzbehörden am Donnerstag, den 08.12.2011, als "Düsseldorfer Kreis", einem informellen Arbeitskreis, einen gemeinsamen Beschluss vorgelegt, in dem sie ihre Positionen zum Datenschutz in sozialen Netzwerken vertreten.
Zunächst legen die Datenschützer generelle Anforderungen fest, die von den Betreibern sozialer Netzwerke zu erfüllen sind, damit diese Netzwerke rechtmäßig betrieben werden können:
- "Es muss eine leicht zugängliche und verständliche Information darüber gegeben werden, welche Daten erhoben und für welche Zwecke verarbeitet werden. [...]"
- "Es muss eine einfache Möglichkeit für Betroffene geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung von Daten geltend zu machen. [...]"
- "Die Verwertung von Fotos für Zwecke der Gesichtserkennung und das Speichern und Verwenden von biometrischen Gesichtserkennungsmerkmalen sind ohne ausdrückliche und bestätigte Einwilligung der abgebildeten Person unzulässig."
- "Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. [...]"
- "Die großen Mengen an teils auch sehr sensiblen Daten, die in sozialen Netzwerken anfallen, sind durch geeignete technisch-organisatorische Maßnahmen zu schützen. [...]"
- "Daten von Minderjährigen sind besonders zu schützen. [...]"
- "Betreiber, die außerhalb des Europäischen Wirtschaftsraumes ansässig sind, müssen gemäß § 1 Abs. 5 Satz 3 BDSG einen Inlandsvertreter bestellen, der Ansprechperson für die Datenschutzaufsicht ist."
Sehr klare Worte findet der Beschluss zur Zulässigkeit der Verwendung von Social Plugins:
"Das direkte Einbinden von Social Plugins (...) ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig."
Auch zur Verantwortlichkeit für Datenschutzverstöße durch die Einbindung von Social Plugins äußern sich die Datenschützer sehr eindeutig:
"In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots.
Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können.
Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können."
Und weiter:
"Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.
Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt.
Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden."
Nach dieser Einschätzung der Behörden wäre eine rechtskonforme Verwendung der Social Plugins von Anbietern wie Facebook, also z.B. des Like-Buttons, nicht möglich, da der Verwender der Plugins nicht ausreichend über die Erhebung und Verarbeitung der Daten, die an das Netzwerk übertragen werden, informieren kann.
Die Aufsichtsbehörden haben mit ihrem Beschluss zwar eine gemeinsame Position zum Datenschutz in sozialen Netzwerken bezogen und stellen sich damit hinter die Auffassung des ULD Schleswig-Holstein. Dies bedeutet jedoch nicht, dass die Frage um die rechtliche Zulässigkeit der Verwendung von Facebook Fanpages oder der Einbindung von Social Plugins nun endgültig geklärt wäre. Diese Frage ist nach wie vor völlig offen, ebenso wie die Frage, ob die Einbindung von Social Plugins wettbewerbsrechtlich abgemahnt werden kann. (lk)