Eine datenschutzrechtliche Einordnung dieser Einschätzung der Aufsichtsbehörden für Unternehmen durch den externen Datenschutzbeauftragten Jürgen Rosenow (All-in-Media GmbH).
Die All-in-Media stellt den externen Datenschutzbeauftragten für Unternehmen
Offenbach am Main (07.09.2011 – 10.00 Uhr) – Es gibt heute kaum noch ein Unternehmen, welches keinen Facebook „Gefällt mir“-Button auf seinen Internetseiten hat. Im Zuge der Diskussion um das Web 2.0 ist der Button für die Marketingabteilungen sehr wichtig für die Kundengewinnung bzw. Kundenbetreuung geworden.
Bis Freitag, den 19.8.2011, war das auch noch alles recht harmlos – nur mit diesem Datum hat das ULD, das „Unabhängige Landeszentrum für Datenschutz Schleswig Holstein“, einen Datenschutzverstoß beim Einsatz dieses Buttons ausführlich auf 25 Seiten begründet und Maßnahmen gegen Unternehmen angekündigt die diesen Button einsetzen. Weitere Aufsichtsbehörden haben inzwischen signalisiert, sich diesem Vorgehen anzuschließen.
Stark vereinfacht kann die Situation auf folgenden Sachverhalt konzentriert werden:
– Beim Einsatz des „Gefällt mir“-Button auf Internetseiten werden personenbezogene Daten des Nutzers durch einen von Facebook gelieferten Programmcode an Facebook übertragen. Und zwar ohne das der Nutzer dies verhindern kann.
– Es werden von bei Facebook angemeldeten Nutzern, von gerade nicht bei Facebook angemeldeten Nutzern und auch von Facebook-Verweigerern Daten über ihr Nutzungsverhalten gespeichert und auch an Dritte weitergegeben.
Den bei Facebook angemeldeten Nutzern werden automatisiert 26 Java-Programmdateien in ihren Browser geladen. Jedem Nutzer werden dazu 4 Cookies mit einer Laufzeit bis zu 2 Jahren installiert. Dabei ist das Cookie „datr“ eine Art Nutzer-ID, woran Facebook und seine Partner immer wieder erkennen kann, welche Internetseiten dieser PC/Browser oder Facebook-Nutzer wann und wie lange benutzt. Facebook wird es damit erlaubt, durch eine sehr genaue Web-Analyse Persönlichkeitsprofile der Nutzer zu erstellen.
Dies passiert alles schon, sobald eine Internetseite mit diesem Button aufgerufen wird – also der Nutzer den „Gefällt mir“-Button noch nicht gedrückt hat.
Das heißt, auch ohne eine aktive Aktion des Nutzers werden von ihm Daten an Facebook weitergegeben. Anders ausgedrückt: Der Betreiber einer Internetseite erhebt mit dem „Gefällt mir“- personenbezogene Daten des Nutzers und gibt diese ohne Zustimmung des Nutzers an einen Dritten weiter.
Der Nutzer kann dies nicht ablehnen (oder zustimmen) und der Betreiber der Internetseite sagt ihm auch nicht, was eigentlich genau übertragen, gespeichert und mit anderen Daten verknüpft wird – was auch daran scheitert würde, dass er es nicht genau weiß.
Die rechtliche Folge für Internetbetreiber (im Sinne des Telemediengesetzes TMG sind das Dienstanbieter) ist, das sie sich die Handlungen von Facebook zurechnen lassen müssen. Ein Auftragsdatenverarbeitungsvertrag (ADV) hilft auch nicht, denn dadurch wird Facebook eine Art verlängerte Werkbank des Internetanbieters und das heißt, der Internetbetreiber muss sich die rechtlich falschen Informationen von Facebook über die Verwendung von Daten sich selbst zurechnen lassen.
Es gibt im Internet eine häufig erwähnte Lösung, sich die Zustimmung des Nutzers für eine Datenübertragung an Facebook und Dritte durch eine „Vorseite“ vor dem Drücken des „Gefällt mir“- Buttons einzuholen.
Dazu müsste der Dienstanbieter im Detail die übertragenen Daten und die Verwendung der Daten durch Partner von Facebook dem Nutzer genau und verständlich erläutern und dem Nutzer alle Fakten und Auswirkungen einer Zustimmung erläutern. Dies ist faktisch nicht möglich, da selbst Facebook dies keinem mitteilt.
Unternehmen kann deshalb nur geraten werden, anhand einer Kosten/Nutzen-Analyse der Einsatz des Facebook-Buttons genau zu prüfen.
Der Vollständigkeit halber sei noch erwähnt, dass das oben gesagte auch für private Dienstanbieter wie z.B. Blogs gilt.
Das All-in-Media Angebot reicht von der Stellung eines externen Datenschutzbeauftragten bis zur Beratung in Datenschutz-, Datensicherheits-, IT-Prozessfragen und ist herstellerunabhängig. Die von uns betreuten Unternehmen haben eine Größe von 20 bis 2.500 Mitarbeitern und kommen aus den Branchen Telekommunikation, Versicherung, Industrie, Medien, Dienstleister, Hotel, Handwerk, Steuerberater, Steuerberatende Berufe und IT-Unternehmen. Die All-in-Media GmbH ist Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands.
Kontakt:
All-in-Media GmbH
Jürgen Rosenow
Markwaldstraße 11
63073 Offenbach
info@all-in-media.com
069 56999220
http://www.all-in-media.com