Gestern hatten wir über die derzeitigen Entwicklungen rund um Facebook berichtet und Kritik daran geäußert, dass es beim Thema Datenschutz eine Reihe von Hausaufgaben auf Seiten des Staates gibt, die die staatliche Kritik an Facebook zwar als berechtigt, angesichts der eigenen Probleme allerdings als etwas scheinheilig erscheinen lassen.
Der Inhalt im Überblick
Das Einbinden von Bildern auf Fremdservern
Dabei hatten wir auch auf den Blog-Artikel von Henning Tillman verlinkt, welcher darauf hinweist, dass das Einbinden von Bildern, welche sich auf fremden Servern befinden, zur Folge hat, dass von dem jeweiligen Benutzer sog. Kopfdaten an diesen fremden Server übertragen werden, welche u.a. auch die IP-Adresse beinhalten.
Darin verweist er darauf, dass der von heise.de erfundene 2-Klick-Button für Social Plugins keine Lösung sei, da sich bei dem vorgenannten Beispiel aufgrund der übertragenen IP-Adresse der gleiche Konflikt ergebe.
Wörtlich führt er an:
2-Click-Social-Media-Buttons sind keine Lösung
heise.de hat auf seiner Website eine 2-Klick-Lösung eingeführt, die viele andere Websites übernommen haben. Damit ist es möglich, die Funktionalität von Facebook & Co erst nach einem Klick zu aktivieren (Opt-In). Doch konsequenterweise müsste auch jede Grafik, jede Werbeanzeige (die es auf heise.de auch gibt), erst per Opt-In des Besuchers bzw. der Besucherin aktiviert werden. Werden beispielsweise Google AdWords eingebunden, werden ebenfalls IP und Identifikationsmerkmale (Cookies) an Google übertragen, die u. U. mit einem eingeloggten Google-Konto abgeglichen werden können. Da frage ich mich: Warum soll dies bei Facebook untersagt werden, bei Google aber nicht? Und wie sieht es mit Einbindung von YouTube-Videos oder Flickr-Bildergalerien aus? Bei beiden werden ebenfalls per Skripte fremde Serverinhalte eingebunden, die ein Bewegungsprofil ermöglichen. Konsequenterweise müsste auch dies nur per Opt-In, also Zwei-Klick-Lösung eingebunden werden.
Nein, hier geht es nicht um Facebook oder Google. Die technischen Grundlagen des Webs sind einfach anders als es die deutsche Gesetzeslage aktuell vorsieht. 20 Jahre lang ist das aber nicht groß aufgefallen. Ich möchte mit diesem Artikel nicht Facebook & Co in Schutz nehmen. Im Gegenteil, es gibt sicherlich viel berechtigte Kritik an dem Unternehmen. Nur es bringt nichts, Schnellschüsse wie den Kampf gegen den Like-Button zu beginnen. Wir benötigen eine ruhige Diskussion über Datenschutz, die den technischen Status quo nicht unbeachtet außen vor lässt.
Zustimmung im Web
Dies hat im Web einige Unterstützer gefunden, die dieser Auffassung zustimmen: werning.com, pfannenwender.de, wirtschaftsfaktor-sprache.de, pottblog.de, legalit.de und eine Reihe anderer Blogs.
Zusammenfassend kann man sagen, dass die Auffassung der Datenschützer dahingehend kritisiert wird, dass ohne Übertragung der IP-Adressen eine Nutzung des Webs nicht mehr möglich sei. Schließlich müssen der Rechner des Benutzers und der Rechner des Servers ja wisssen mit wem sie letztlich kommunizieren und an welche Adresse Informationen übermittelt werden sollen.
Kritik an Datenschützern, stellt die Einbindung von fremdgehosteten Bildern einen Datenschutzverstoß dar?
Grundlage der Kritik scheint die Angst zu sein, dass die strengen deutschen Datenschutzregeln ein funktionierendes Web verhindern würden. Hier stellt sich daher die Frage, ob die Einbindung von fremdgehosteten Bildern tatsächlich überhaupt einen Datenschutzverstoß darstellen würden.
Ein Blick ins Gesetz hilft:
§ 12 TMG (Grundsätze)
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
(2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
Wie § 12 TMG klarstellt, bedarf es grundsätzlich zunächst einer gesetzlichen Grundlage um personenbezogene Daten, wozu nach h.M. auch IP-Adressen gehören, zu erheben und anschließend zu verwenden.
Schauen wir uns diese Grundlage einmal näher an:
§ 15 TMG (Nutzungsdaten)
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere
1. Merkmale zur Identifikation des Nutzers, (…)
Keine Panik
Der Zweck zur Ermöglichung einer Inanspruchnahme von Telemedien, worunter auch Websites fallen, reicht also bereits aus, um eine Erhebung und Verwendung der IP-Adresse datenschutzrechtlich zu rechtfertigen.
Werden also Bilder von Fremdservern eingebunden, deren Darstellung eine Übermittlung der IP-Adresse zwischen dem Fremdserver und dem Rechner des Benutzers notwendig macht, so ist diese Datenübermittlung gesetzeskonform.
Datensammler – Der feine Unterschied
Der feine Unterschied z.B. zu Tracking-Tools oder dem Facebook-Like-Button besteht darin, dass dessen Zweck nicht in der Ermöglichung der Inanspruchnahme von Telemedien liegt, sondern ausschließlich den Zweck hat, Daten zum Zwecke der Erstellung von Nutzungs- und Verhaltensprofilen zu sammeln.
Hier liegt der feine aber große Unterschied, denn wer möchte schon ernsthaft, dass sein Surfverhalten über Jahrzehnte hinweg gesammelt, ausgewertet, zu nicht klar definierten Zwecken verwendet und anschließend ggf. noch an Firmen rund um die Welt zu unklaren Verwendungszwecken verteilt wird.
Jemand der sich zwar nicht mit dem künstlerischen Wert von Bildern, dafür aber mit dem Thema Datenschutz und IT-Sicherheit auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.
d’accord. Allerdings nimmt ja gerade das ULD diese zutreffende Differenzierung selbst so nicht vor, wenn es die Auffassung vertritt, dass eine datenschutzrechtskonforme Nutzung des „Like-Buttons“ in keiner Konstellation – also auch unabhängig davon, ob der Seitenbesucher fb-Mitglied ist oder nicht – möglich sei…
Das Problem dabei ist, dass der Like-Button Informationen sammelt, unabhängig davon ob man Mitglied bei Facebook ist und den Button betätigt oder nicht. Auch für eine elektronische EInwilligung wären eine Reihe von weiteren Voraussetzungen seitens Facbook zu erfüllen.
Gemäß § 13 Abs. 2 TMG kann die Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Gerade an Punkt 1, also der bewussten Einwilligung mangelt es aber, da Facebook hier wenig transparent ist was die Verarbeitungszwecke, die Übermittlung in andere Ländere, an andere Firmen und die Art der Daten anbelangt.
Davon, dass der Verwender des Like-Button Daten verarbeitet, geht allerdings nicht einmal das ULD selbst aus. Und über das Vorliegen des Tatbestandsmerkmals „nutzen“ („verwenden“) lässt sich hier trefflich streiten.
Und wenn man das tatsächlich über die Zweckbestimmung lösen will, müßte man richtigerweise doch wohl auf den Verwender des Features (=Seitenanbieter) abstellen. Und für den dient etwa der Like-Button ganz sicher nicht dazu, „Daten zum Zwecke der Erstellung von Nutzungs- und Verhaltensprofilen zu sammeln“…
„Verwenden“ im Sinne des TMG dürfte wohl einen übergeordneten und zusammenfassenden Begriff für das Verarbeiten und Nutzen von Daten im Sinne des BDSG (§ 3) darstellen.
Hierunter fällt auch das Übermitteln von Daten (§ 3 Abs. 4 Nr. 3 BDSG) und die Tatsache, dass der Like-Button Daten übermittelt, dürfte eindeutig sein.
Entscheidend für die Verantwortlichkeit ist, wer Diensteanbieter ist und das ist letztlich der Websitebetreiber. Daher ist dieser auch verantwortlich für die von ihm eingefügten Plug-Ins. Denn die Rechtsprechung definiert die Diensteanbietereigenschaft danach, wer letztlich die Möglichkeit der Einflussnahme auf Inhalte seines Telemediums hat.
Daher wird man zwar die Verantwortlichkeit von Firmen beim Like-Button bejahen, bei Fanpages von Facebook (entgegen der Auffassung des ULD) aber verneinen müssen. Denn auf den Fanpages haben Firmen lediglich Einfluss auf die Texte oder Bilder und können Datensammlungen seitens des Plattformbetreibers Facebook nicht unterbinden.
Aber alle wollen die Dienste kostenlos nutzen. Es gibt immer einen Preis den ich zahlen muss.
Der Artikel ist sehr gut und, die Entscheidung der Datenschützer bezüglich fremd gehosteter Bilder (cloudinary & co.) nachvollziehbar.
Weiß jemand, wie es sich mit eingebundenen Trust-Siegeln wie denen von TrustedShops verhält? Deren Grafikdateien, CSS und JS kommt auch von Servern Dritter zum Nutzer. Notwendig für die Inhalte sind sie irgendwie nicht und irgendwie schon, denn positive und negative Produktbewertungen beeinflussen ja die Kaufentscheidung.
Ist Einbindung von Flickr noch konform zur DS-GVO?