Internationaler Datenschutz: Spielt Facebook die dt. Datenschützer gegeneinander aus?
von , veröffentlicht am 07.11.2011Immer wieder lesenswert - der Blog des BfDI Peter Schaar. Im neuesten Eintrag vom 05.11. geht es um die Meldung durch die Medien, Facebook werde die Daten schleswig-holsteinischer Nutzer nicht mehr zur Bildung von Profilen verwenden.
Diese Regionallösung hat bei vielen Überraschung ausgelöst, auch auch bei Herrn Schaar. Regionale Lösungen hält er für „absurd.“ Er beklagt: „Globaler Datenschutz ist - anders als etwa der Kampf gegen Cybercrime - kein vorrangiges Thema von Regierungskonferenzen.“ Er meint, „die zur Revision anstehenden europäischen Rechtsinstrumente zum Datenschutz (Europaratskonvention 108 und EG-Datenschutzrichtlinie) bieten eine Chance zur Einführung moderner Datenschutzkonzepte."
Sehen Sie das auch so? Was meinen Sie, ist die „Lösung“ für Schleswig-Holstein nur ein geschickter Schachzug von Facebook, um die deutschen Datenschutzbehörden auseinanderzudividieren?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
20 Kommentare
Kommentare als Feed abonnierenZum einen wird FB es schwer haben, User aus SH auszufiltern.
Zum anderen geht es da wohl nicht ums gegeneinander ausspielen. FB will Kohle verdienen mit den Userdaten. Also sammeln sie alles, was sie in die Finger bekommen koennen und nur da wo der Widerstand zu gross wird oder sich das Kosten/Nutzen-Verhaeltnis umdrehen koennte (z.B. durch Buszgelder), nehmen sie etwas weniger.
#1
So ist es! Und die größte Gefahr für FB - mit weltweiter Auswirkung - ergibt sich aus der Zustandigkeit des Ersten Senates des BVerfG worauf Voßkuhle hingewiesen hat (http://www.focus.de/digital/internet/facebook/bundesverfassungsgericht-v...).
Da FB nicht direkt angreifbar ist, bleibt keine andere Wahl, als über das Konstrukt der sog. mittelbaren Störerhaftung unverzüglich gegen Like-Button-Verwender vorzugehen, um die Sache bis zum BVerfG hochzutreiben. Dies Zeit, die bis dahin ungenutzt verstreicht, wird FB für sich zu nutzen wissen.
Mich hatte die Meldung ebenfalls unter verschiedenen Gesichtspunkten, von technischer Realisierbarkeit bis strategischem Sinn, gewundert. Aus meiner Sicht ist interessant, dass facebooks Angebot ausschließlich vom ULD kommuniziert wurde. Ich konnte jedenfalls keine andere Quelle finden.
Peter Schaar weist in seinem Blog ganz zu Beginn des Beitrags bereits darauf hin, dass die Beteiligten die Idee einer Sonderbehandlung für Nutzer aus Schleswig-Holstein bestritten haben. Nach meiner Erinnerung hat Herr Weichert dies als Missverständnis bezeichnet.
Man muss im übrigen genau differenzieren zwischen dem "gefällt mir" innerhalb von Facebook und der gleichen Funktion außerhalb von Facebook. Außerhalb des sozialen Netzwerks bestehen die eigentlichen Probleme, weil der Nutzer häufig nicht einmal ahnt, dass Daten an Facebook übertragen werden. Die juristische Diskussion konzentriert sich überwiegend auf diese außerhalb eingesetzten Buttons und die vom Nutzer nicht zu verhindernde Datenübertragung und Profilbildung.
Weniger überzeugend ist der Angriff des ULD auf die Seiten von Unternehmen und Institutionen (Fanpages) in Facebook. Die Argumentation des ULD basiert auf der auch von anderen Datenschutzbehörden vertretenen falschen Auffassung vom absoluten Personenbezug der IP-Adressen. IP-Adressen sind nur insoweit personenbezogener Daten, als der Empfänger eine Möglichkeit hat, die Verbindung zur Person herzustellen. Dies gilt nicht nur über den Provider, sondern auch bei Bestellungen im Shop unter Anforderung von Informationsmaterial. Anbieter von Fanpages in Facebook erhalten jedoch keine IP-Adressen, sondern nach dem eigenen Gutachten des ULD nur zusammenfassende Statistiken. Entsprechend hat auch nur eine von 15 angeschriebenen Stellen ihre Seite vom Netz genommen, während die Seite von Schleswig-Holstein, wie auch die Seite von Herrn Schaar, immer noch online sind.
Die im cookie enthaltene eindeutige ID des Computers über den eine FB-Profil erstellt oder dort später ein Login erfolgt identifiziert den FB-Profilinhaber hinreichend sicher, so dass es auf den absoluten oder relativen Personenbezug von IP-Adressen oder cookies im Allgemeinen überhaupt nicht ankommt.
Gleichfalls unerheblich ist, ob die so - also über die ID - zugeordeneten Nutzungsdaten von außerhalb (Like-Button) oder innerhalb von FB (Fanpage) gewonnen werden. In jeden Falle handelt es sich um Nutzungsprofile i.S.d. TMG.
M.E. schadet die vom ULD getroffene "Lösung" dem Datenschutzrecht. Die Auffassung des ULD ist ja auch unter Datenschützern nicht unumstritten (siehe die Stellungnahme von Dr. Flemming Moos in der aktuellen K&R). Das ULD versucht seine Meinungsführerschaft um jeden Preis zu behaupten und instrumentalisiert die Betroffenen zu diesem Zweck zu einem gewissen Grad. Statt alleine vorzupreschen, hätte das ULD eine mit den anderen Datenschutzbehörden abgestimmte Position treffen können. Dann hätte Facebook wenigstens deutschlandweit einheitlich reagieren müssen. So sind schleswig-holsteinische Nutzer datenschutzrechtlich "privilegiert", alle anderen Nutzer schauen in die Röhre.
Da wird immer beklagt, dass der Gesetzgeber der technischen Entwicklung nicht ausreichend nachkomme, sodass gewisse unerwünschte Geschäftsmodelle in immer kürzerer Zeit immer breiteren Schaden anrichten können.
Es ist aber nicht nur der Gesetzgeber, sondern es sind auch die sog. Experten, die ihren Teil dazu beitragen: Obwohl das mit Abstand größte Problem die Nutzungsprofilbildung ist, wird dies ignoriert und kontraproduktiv verschleiernd agiert, indem fehlende Bußgeldkompetenz (Härting), vermeintlich mangelnde Personenbezogenheit (Wissenschaftlicher Dienst des BT, Lapp), mangelnde mittelbare Verantwortlichkeit sowie Ermessensausübung (Moos) sowie auch noch ungeschicktes Verhalten (#6) in den Vordergrund gestellt wird.
Was sagen die Experten denn dazu, wenn FB ihre Aktivitäten in und außerhalb von FB mitloggt?!
Zum "Like"-Button:
Problematisch ist hieran ja die - vom Nutzer nicht bemerkte - Lieferung von Daten an FB, ohne dass er auf den Button klicken muss und ohne dass er bei FB eingeloggt sein muss. Diese Daten enthalten auch die IP, können also dazu dienen, die Surf-Gewohnheiten mit dieser IP zu ermitteln bzw. zu speichern. Was FB damit irgendwann einmal anstellt, weiß keiner. Voraussichtlich werden diese Daten irgendwann zur Entwicklung von Marketingstrategien genutzt. Aber ich kann nur jedem Internetnutzer empfehlen, das Programm "Ghostery" in seinem Browser als Add-On zu installieren. denn dann erfährt man, welche weiteren "Geister"-Datensammler solche Daten abgreifen, ohne dass der Nutzer es weiß. Hier auf dieser Seite (Beck-Blog) ist es nur das Programm "webtrekk" Beschreibung:
"Webtrekk will track "the user data from website visitors, which can be derived a number of success factors and optimization options for an effective web presence." Wussten Sie das?
Wenn man aber eine Weile mit "Ghostery" surft (mit dem Programm lassen sich die einzelnen Tracker auch abschalten), merkt man, dass Beck-Blog eine rühmliche Ausnahme ist, die meisten verkehrsreichen sites haben mehrere, teilweise auch mal 15 Tracker installiert - alles (bzw. meist) heimliche Datensammler für Marketingzwecke. Das Problem des Like It -Buttons ist ein universelles Problem. Allerdings birgt der Like-Button das zusätzliche Problem, dass immer dann, wenn ein Nutzer bei FB unter seinem Realnamen "bekannt" ist, nicht mehr das Pseudonym IP-Adresse sondern der echte Name mit dem Surf-Verhalten verknüpft ist.
Daneben verwendet blog.beck.de Econda Monitor ( http://blog.beck.de/emos2.js ), dessen VisitorID-Cookie eine Lebensdauer von drei Jahren hat. Der Widerspruch ist jeweils durch setzen eines Opt-Out-Cookies von der Anbieterseite möglich:
http://www.webtrekk.com/index/datenschutzerklaerung/opt-out.html
http://www.econda.de/econda/datenschutz/widerruf-datenspeicherung.html
Die unten auf dieser Seite verlinkte Datenschutzerklärung bezieht sich m.E. an keiner Stelle auf eines der beiden Analyse-Tools, sondern ausschließlich auf die zur Anmelde-Verwaltung der Beck-Community gesetzten Cookies (4.8) sowie die auf dem Webserver anfallenden Log-Dateien (6).
Nein, nicht nur das externe Datensammeln ist problematisch, sondern auch das Sammeln innerhalb von Facebook. Denn dass Facebook nach der neuesten Strategie kostenlose interne Dienste, wie z.B. Musik- oder Videodienste, anbietet, dient nur dem Zweck, Nutzungsprofile über die durch ihren Facebook-Account identifizeriten Nutzer zu erlangen.
Zu diesem Zweck unterstellt Facebook seinen Nutzern "Postprivacy", obwohl diese nur bewusste Selbstdarstellung über ihre Facebook-Visitenkarte betreiben mit der Fehleinschätzung ihrer Datenherrschaft.
Sehr geehrter Prof. Müller,
im ungewöhnlich langen Beck-Datenschutzhinweis heißt es ganz am Ende unter Ziff. 6:
"6. Log-Dateien
Bei jedem Aufruf einer Seite der beck-community und des beck-blog werden Zugriffsdaten des Nutzers auf dem Server des Verlags in einer Protokolldatei gespeichert (Log-Datei). Hierbei werden die folgenden Daten gespeichert:
* IP-Adresse, durch die der Computer des Nutzers eindeutig identifiziert werden kann;
* Name und IP-Adresse des Rechners, der die Seite anfordert;
* Internetseite, von der der Kunde gegebenenfalls auf die angeforderte Seite gekommen ist;
* Datum, Uhrzeit und Dauer der Sitzung;
* übertragene Datenmenge;
* Produkt- und Versionsinformationen des vom Nutzer verwendeten Browsers.
Der Verlag verwendet die Protokolldaten ohne Zuordnung zur Person des Nutzers nur für statistische Auswertungen zum Zweck des Betriebs und der Optimierung der beck-community und des beck-blog. Der Verlag behält sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht."
§ 16 Abs.3 TMG lautet: "Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden."
Meine Frage: Wo wird das Widerspruchsrecht eingeräumt und insbesondere wo wird drauf hingewiesen?
Sehr geehrter Herr Bernau,
natürlich hat FB auch innerhalb seines Systems ernsthafte Probleme, insbesondere, dass FB weiterhin vom User gelöschte Daten verwendet, erscheint mir kritisch. In meinem post ging es aber nur um den Like-Button.
Sehr geehrte Frau Wrons,
ehrlich gesagt: ich weiß es nicht. Allerdings habe ich ein solches Widerspruchsrecht noch auf keiner Seite im Internet eingeräumt bekommen. Ich will weder Facebook noch den Beck-Verlag aus der Verantwortung entlassen, will aber sagen: Wenn man es richtig ernst meint mit dem Datenschutz in dieser Beziehung, dann haben die Datenschützer noch sehr sehr viel zu tun. Die Kritik am Like-Button von FB ist dann nur der Anfang.
Mit besten Grüßen
Henning Ernst Müller
Sehr geehrter Prof. Müller,
danke für Ihre ehrlichen Worte, aber bei der Regelung des Datenschutzhinweise gem. § 16 Abs. 3 Satz 2 TMG zur Geltungsverschaffung der Opt-out-Regelung handelt es sich nicht um eine krude überzogene Vorschrift wenn man bedenkt, dass nach Verstreichen der Umsetzungsfrist der Cookie-RL im Frühjahr hier eigentlich sogar eine Opt-in-Regelung stehen müsste. Auch "Webtrekk" beruft sich bei seinem TÜV-Zertifikat immer auf das angeblich unterstützte, de lege lata ausreichende Opt-out-Verfahren. Dies läuft aber leer ohne Datenschutzhinweis.
In 4.8 des Beck-Datenschutzhinweises ist zu erfahren, dass cookies nur beim Ausloggen sofort gelöscht werden und widrigenfalls 23 Tage gespeichert werden, wodurch bei unterstelltem regelmäßigen Besuch eine unabsehbare Wiederauffrischung möglich ist. Entscheidend ist aber, dass selbst bei mangelndem Einloggen, welches ein datenschutzfreundliches Ausloggen erst ermöglichen soll, jedenfalls in der Praxis kein Löschen des cookies erfolgt.
Schließlich sind die Regelungen von Beck aber auch deshalb bedenklich, weil dort unter Ziff. 6 die Rede davon ist:
"Der Verlag behält sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht."
Da § 15 Abs. 8 TMG nicht in Betracht kommt, setzt dies aber eine Vorschrift i.S.d. § 100 Abs. 1 TKG voraus, auf deren Einfügung ins TMG der Gesetzgeber zuletzt ausdrücklich verzichtet hat, und zwar nicht wegen der Annahme mangelnden Regelungsbedürfnisses, sondern allein um ein anderes, parallel verfolgtes Gesetzgebungsverfahren nicht zu behindern.
Nach alledem braucht auf die Auffassung des AG Mitte gar nicht zu sprechen kommen. Eine relative Personenbezogenheit der cookies und IP-Adressen liegt jedenfalls dann vor, wenn diese mit Namen und E-Mail-Adresse gespeichert werden.
Viele Grüße
Mariam Wrons
Lieber Prof. Müller,
das addon ghostery finde ich auch grossartig, als kleine Empfehlung, sofern ohnehin nicht bereits bekannt, werden auch noscript, adblock plus, https everywhere, better privacy, beef taco uva. gerne genutzt.
Beste Grüße,
der Datenschützer
FB ist reich an datenschutzrechtlichen Grossproblemen. Zur Lösung zumindest des Like-Problems scheint der 2-Klick-Weg geeignet, berichtet hier auf Heise und bereits von Heise, SWR3 und RP-Online erfolgreich angewandt.
Erste Alternativnetzwerke zu FB scheinen sich zu entwickeln, hoffentlich mit überragendem Erfolg, eines ist Freenet Project.
Auf Wiwo finden sich konkretere Alternativen zu FB, wobei Diaspora die bislang aussichtsreichste sein dürfte.
Die Meldung, dass US-Fahndern im Verfahren gegen wikileaks Twitter-Nutzerdaten auszuhändigen sind, gibt der Debatte auch um den FB-Datenschutz neue Nahrung. Sind also Twitter und FB riesige Vorratsdatenbanken für FBI und CIA?
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,797152,00.html
Sehr geehrter Prof. Müller,
mit Sicherheit werden solche Meldungen die Debatte um die Datensicherheit in sozialen Netzwerken immer weiter anheizen. Erst vor wenigen Wochen hat der Google Tranparency Report Datenschützer auf der ganzen Welt aufhorchen lassen. Dieser Bericht weist für bestimmte Länder aus, wie viele staatliche Anfragen an Google auf die Herausgabe von Nutzerdaten gestellt wurden. Dabei war ein deutlicher Anstieg an Anfragen nach Personenauskünften zu erkennen. Aus Deutschland kamen sogar 38 Prozent mehr Anfragen zu Personenauskünften im Vergleich zum Vorjahr. Das Thema wurde auch hier im Blog von Dr. Axel Spies diskutiert.
In dem jetzt von Ihnen erwähnten Beispiel handelt es sich um eine Subpoena im Rahmen einer Discovery. Noch kritischer sehe ich aber den Datenzugriff von US-Behörden auf Grundlage des Patriot Act. Dieses Gesetz war eine direkte Reaktion auf die Terroranschläge am 11. September 2001. Die Datenzugriffsrechte zum Beispiel des FBI wurden deutlich erweitert.
Problematisch ist, dass nahezu alle Ermittlungsanfragen, die unter den Patriot Act fallen, geheim bleiben müssen. Und das ist nur ein Beispiel. Auch andere Länder haben Gesetze, die der Transparenz im Weg stehen können. Daher halte ich die eigentliche Anzahl an Datenzugriffen durch staatliche Stellen für deutlich höher als die Zahlen, die regelmäßig öffentlich werden. M.E. haben sich die sozialen Netzwerke längst zu riesigen Datenbanken für nationale Sicherheitsbehörden entwickelt. Aufgrund mangelnder Transparenz dringt davon aber nur ein Teil nach außen.
Herr Prof. Müller, das nehme ich auch an, zumal der Druck, jeweils umfangreiche Daten an die Behörden im Geschäftssitzland niedrigschwelllig auszuliefern, sehr gross sein dürfte.
Zum Artikel "FBI entlarvt riesiges PC-Parasiten-Netzwerk" im Spiegel über Botnet-Kriminelle las ich einen umgangssprachlichen Kommentar, der sehr zutreffend das ungeheuerliche Dilemma aller Menschen mit FB und die Abhängigkeit Dritter, Uninteressierter und Nichtnutzer von diesem Unternehmen beschreibt:
"Sie müssen Facebook zwar nicht benutzen, aber das Nichtbenutzen von Facebook sorgt leider nicht dafür, dass Facebook keine Daten von Ihnen hat!
Es genügt ein Dödel in ihrem Freundes-, Verwandten-, Kollegen- oder Kundenkreis, der aus Bequemlichkeit "mal schnell" sein Outlook mit Facebook "synct", und schon hat Facebook alles was dort über Sie gespeichert war, mindestens die Mailadresse. Möglicherweise aber auch Telefon- und Faxnummern, Postanschrift, Homepage, oder sogar ein Foto.
Wenn dann noch irgend jemand, der z.B. auf einer Teambuildingmaßnahme ihrer Firma ein Foto schoß das jemand anderes in Facebook einstellte, mit einem "Tag" markiert "das hier ist deltacentauri" dann kann Facebooks Gesichtsterkennung sie auf Tausenden anderer Fotos im Internet - abseits von Facebook - wiedererkennen.
Wenn mehrere Personen, die irgendwann einmal Mailkontakt mit Ihnen hatten, ihre Adressbücher syncen, dann kann Facebook bereits Profile anlegen, mit welchen Leuten Sie verkehren. Wenn deren Vorlieben (Einkaufsverhalten, Surfgewohnheiten etc.) bekannnt sind, kann abgeschätzt werden, wie Sie so "ticken".
Und vor allem: Jeder Facebook- oder Twitter "Like"- oder "Follow"-Button verrät Facebook/Twitter Ihre Surfgewohnheiten direkt - selbst dann wenn Sie nicht draufklicken! Deshalb laufen die Datenschützer doch gerade Sturm dagegen. Diese Buttons enthalten Skripte, die diese Daten bereits beim Anzeigen der Webseite übertragen, und nicht erst nachdem sie angeblickt wurden...
Man kann sich Facebook also gar nicht wirklich entziehen :-("
Nicht nur die Missachtung von Selbstbestimmung, Datenschutz und Anonymitätsbedürfnis sondern auch das hohe Maß an Anmaßung bei FB sind bedenklich:
http://www.focus.de/digital/internet/facebook/autor-gewinnt-namensstreit...