Schleswig-Holstein vs. Facebook

Es ist immer wieder gespenstisch: du gehst auf eine Website, deren Betreiber du nicht kennst und die du vorher noch nie besucht hast. Der Inhaber aber scheint zu wissen, wer deine Freunde sind und wem von diesen die jeweilige Website gefällt. Dass Facebook eine gefährliche Omnipräsenz im Netz entwickelt hat, ist nicht neu und kein Geheimnis.

Neu ist auch nicht, dass Staats-Vetreter Facebook öffentlich anprangern. Die Verbraucherschutz-Ministerin Ilse Aigner etwa hatte mit viel Trara angekündigt, ihr FB-Profil zu löschen und wurde dafür statt mit Dank mit Spott bedacht.

Bemerkenswert hingegen ist die Pressemitteilung, die das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) verfasst hat. Erstens zeugt sie von tatsächlicher Netz-Kompetenz und der Fähigkeit, sich fundiert in ein komplexes Thema einzuarbeiten (beides ist bei Politikern und öffentlichen Stellen oft nicht der Fall). Zweitens verwundert der Ton. Es wird nicht nur genörgelt, dem Konzern der „inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht“ hat, wird offen der Krieg erklärt. Ein regionaler Staats-Beamter legt sich lautstark und kompetent mit einem US-Konzern an – das gab es zuletzt 2003, als der Münchener Oberbürgermeister verkündet hat, dass seine Stadtverwaltung von Windows auf Linux umsteigt.

Im Netz wurde viel über den Tonfall diskutiert und über die eigentliche Intention der Datenschützer spekuliert. Um eine breitere Diskussion zu ermöglich, möchte ich versuchen, allgemeinverständlich die Argumentation des ULD nachzuzeichnen. Sie findet sich in einem 25-seitigen Arbeitspapier, das die Grundlage für die Pressemitteilung ist.


Die zwei Modi von Facebook

Das ULD unterscheidet zwei Charaktere von Facebook:

– soziales Netzwerk (definiert als „Kommunikationsplattform[en] im Online-Bereich“, diese zeichnen sich durch persönliche Nutzerprofile, nutzergenerierte Inhalte und Verbindungen zwischen Nutzern aus)

– eine technische Infrastruktur zur Messung des Gebrauchs von Angeboten im Internet (an anderer Stelle „externer Dienstleister“ genannt)

Drei Tracking-Optionen

Weiterhin werden drei technische Verfahren zur Analyse von Nutzerverhalten unterschieden:

(1) die Analyse angemeldeter Nutzer auf Facebook.com selbst

(2) die Analyse von Nicht-Nutzern, dies geschieht vor allem mithilfe von Social Plugins, die externe Seitenbetreiber eingebunden haben

(3) die Analyse angemeldeter Nutzer über solche Social Plugins

Eine Schlüsselrolle spielen die verschiedene Cookies, die die Mitarbeiter des ULD beschreiben, wobei sie über deren Bedeutung und eigentlichen Zweck oft nur spekulieren können. So wird etwa bei jedem Aufruf von Facebook.com ein 2 Jahre gültiges Cookie gesetzt, das den Nutzer bei jeder erneuten Kommunikation mit Facebook identifizieren kann.


Social Plugins, Fan Pages und Facebook Insights

Kommen wir zu den Facebook-Elementen, die den Datenschützern ein Dorn im Auge sind:

Social Plugins sind mittlerweile auf der Mehrzahl der größeren Webangebote integriert. Das häufigste ist eine Box, die auf die Fanpage der jeweiligen Website verlinkt und anzeigt, welche Facebook-Freunde des Nutzers die Website gelikt haben.

Fanpages ähneln auf den ersten Blick stark allgemeinen Nutzerprofilen, nur dass sich hier nicht Individuen, sondern Organisationen, Medien etc. präsentieren können. Während Privat-Profile sich bei der Nutzung von Facebook nichts zuschulden kommen lassen, haben Betreiber von Fanpages für die Datenschutz-rechtlichen Schnitzer von Facebook gerade zu stehen.

Beiden Features ist gemein, dass sie über Facebook Insights detaillierte aggregierte Informationen über ihre jeweilige Nutzerbasis erhalten. Dieses Tool erstellt „pseudonymisierte“ Profile, das ist laut Telemedien-Gesetz (TMG) zulässig. Fanpage-Inhaber und Betreiber von Websites mit Social Plugins müssen ihre Nutzer aber explizit darauf aufmerksam machen. Zudem muss es für Nutzer möglich sein, dem zu widersprechen und die Datenübertragung zu verhindern. All das ist faktisch nicht praktiziert und ist in der Regel technisch gar nicht vorgesehen.

An dieser Stelle müssten noch Facebook-Apps kommen, also die Drittprogramme, die über Schnittstellen automatisiert persönliche Daten von Nutzern abfragen können. Sie sind die mit Abstand problematischsten Datenfresser. In der gegenwärtigen Analyse werden sie leider noch nicht berücksichtigt. Zumindest ist sich das ULD aber dieses Defizits bewusst und macht explizit darauf aufmerksam.


Vier Typen von Beteiligten

Der eigentliche Adressat des Vorstoßes ist Facebook. Trotzdem heben die Schleswig-Holsteinischen Datenschützer hervor, dass sich die Verantwortung für die Datenschutz-Defizite auf verschiedene Akteure verteilt:

(1) Facebook

Der „Dienstbetreiber“ hat zwar deutsche Mitarbeiter, doch die sind nur für PR und Vertrieb und nicht für die Datenverarbeitung zuständig. Es gibt keine eigenständige Niederlassung in Deutschland, so dass es kaum möglich ist, deutsche Gesetze gegen Facebook direkt anzuwenden.

(2) Content Delivery Networks

Dieser Dienstleister-Typus reduziert die Ladezeiten von Seiten. Eine große Zahl weltweit verteilter Server ermöglicht, dass die Distanz, die eine zu ladende Bild-Datei auf dem Weg zum Endnutzer zurücklegen muss, klein ist. Als einziges Content Delivery Network haben die Datenschützer die Firma Akamai identifiziert, die unter anderem auch für das Bundeskanzleramt Inhalte ausliefert.

Ob Akamai mit deutschen oder europäischem Recht zu belangen ist, konnten die Autoren noch nicht klären. Die Firma erledigt „Auftragsdatenverarbeitung“ für Facebook und ist damit theoretisch auch rechtlich verantwortlich. Wenn sie die Aufgabe für die europäische Facebook-Tochter in Irland übernimmt, würde Akamai unter europäisches bzw. sogar unter deutsches Recht fallen. Da sich FB aber in den Datenschutz-Richtlinien das Recht sichert, persönliche Daten in die USA zu übertragen und damit unter Umständen auch dort verarbeitet, wird die Sache wieder komplizierter.

(3) Webseiten-Betreiber

Sowohl die Betreiber externer Seiten als auch die Inhaber von Facebook-Fanpages werden zu dieser Kategorie gezählt. Als „Diensteanbieter von Telemedien“ fallen sie unter das Telemedien-Gesetz. Damit sind sie für die von Ihnen verursache Verarbeitung von Nutzerdaten verantwortlich – auch dann, wenn sie dafür „externe Dienstleister“ in Anspruch nehmen. Wenn ein Seitenbetreiber ein Social-Plugin von Facebook einbaut, ist er damit auch für die Art verantwortlich, wie Facebook mit den jeweiligen Nutzerdaten umgeht. Ein kollektiver Akteur, der eine Fanpage betreibt, macht sich durch die Nutzung des Statistik-Tools Facebook Insights schuldig.

(4) Nutzer

Auch diese Kategorie ist für Datenschutz-Juristen nicht trivial: Laut TMG können Nutzer gleichzeitig Betroffene von und juristisch Verantwortliche für Datenschutz-Bedenken sein. Die Frage, ob es sich primär um private oder nicht-private Präsentation und Kommunikation handelt, ist entscheidend. So begründet sich, wieso Facebook-Profile und Facebook-Fanpages juristisch unterschiedlich behandelt werden.


Rechtsfolgen?

Die Datenschützer verweisen immer wieder darauf, dass die verschiedenen aufgezählten Verstöße als Ordnungswidrigkeiten gesehen werden können. Dafür sieht das TMG eine Geldbuße von bis zu 50.000€ vor. Dies gilt für Seitenbetreiber mit Social-Plugins und Inhaber von Fanpages, die ihre Nutzer nicht über Facebook Insights aufklären. Beiläufig angesprochen wird weiterhin eine individuelle Impressums-Pflicht auf Facebook-Fanpages (!) und die verbotene Verknüpfung pseudonymisierter und personalisierter Daten durch Social-Plugins.

In der breit durchs Netz gegangenen Pressemitteilung fordern die Datenschützer, dass die Betreiber in Schleswig-Holstein „umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren.“ Gefordert wird also ernsthaft, Social-Plugins zu deaktivieren und Fanpages zu löschen. Als Zeitrahmen für die Umsetzung ist ein Monat vorgesehen. Was dann passiert, wird allerdings sehr vorsichtig formuliert.

Anwender in Schleswig-Holstein können nach einer Umsetzungsfrist von einem Monat im Einzelfall aufgefordert werden, die rechtswidrige Datenverarbeitung über deren Webseite einzustellen, verbunden mit dem Hinweis auf die Möglichkeiten einer Untersagung … und eines Bußgeldverfahrens.“


Fazit

Es handelt sich also nicht um einen Amok-Lauf gegen die Netzgemeinde von Schleswig-Holstein, sondern um ein Säbelrasseln, das im kalifornischen Hauptsitz von Facebook gehört werden soll. Natürlich kann ein regionaler Landes-Datenschützer kann etwas gegen einen multinationalen Netz-Konzern ausrichten. Aber Deutschland ist ein wichtiger Werbemarkt, und so könnte er Facebook zumindest so lange ärgern, bis es vielleicht doch genervt einlenkt.

Der juristische Ansprechpartner der Studie Moritz Karg hat in einem Interview klargemacht, dass es bei der Aktion primär um Facebook selbst geht und und nicht „um den Wald- und Wiesen-Küstenblogger [und] um kleine Unternehmen, die versuchen, auf Facebook Geschäfte zu machen.“

Diese Aussage beruhigt. Dennoch sind die bösen Briefe an Website-Betreiber in Schleswig-Holstein angekündigt. Im Moment bleiben nur Fragen: Was genau wird nach der Umsetzungsfrist geschehen? Werden sich die Datenschützer der anderen Länder dem ungleichen Kampf gegen den Giganten Facebook anschließen? Wird die Bundeskanzlerin gezwungen werden, ihre Fanpage zu löschen? Es wird spannend. Unter Umständen werden wir einen heißen Herbst erleben.

hat Publizistik und Soziologie studiert und lebt als freier Journalist in Berlin.


Artikel per E-Mail verschicken
Schlagwörter: , , , ,

3 comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert