Meiner Meinung nach: Definitiv einen Fortschritt, um die gesetzlich vorgegebene Tracking-Problemen…

By | September 2, 2011
Meiner Meinung nach: Definitiv einen Fortschritt, um die gesetzlich vorgegebene Tracking-Problemen umzugehen ohne erheblich viel Aufwand für der Endnutzer einzuführen. Ich frage mich aber trotzdem ob es das Problem wirklich löst: genauso wie die neue Datenschutzgesetzinterpretation als ein Rückschritt für Deutschland allgemein gesehen waren, ist auch dieser Lösung nur ein Umgehung der tatsächliche Problem, nämlich die Balance gewerbliche und Benutzerinteressen vor allem in Internationale Spielräume. Und da brauchen wir erstmal ein paar kluge Politiker in verschiedene Nationen die doch mal in Interesse deren Einwohner zusammenarbeiten können statt die ganze Zeit miteinander Kindergarten spielen und Lobbygruppen zuhören.

/via +Frank Tentler

Reshared post from +Bernhard Kelz

Gestern gab es einen spannenden Artikel bei heise über eine mögliche technische Lösung des datenschutzrechtlichen "Like-Button" Problems. Danke +Dirk Spannaus für den Hinweis.

Auch wenn ich den Ansatz sehr gut finde und zusammen mit Mandanten bereits ähnliche Ideen besprochen haben, halte ich es für fraglich, ob man damit wirklich einen Blumentopf gewinnt, wenn man das Problem konsequent zu Ende denkt.

Ich würde hier gerne eine umfassende Stellungnahme zumArbeitspapier des ULD Schleswig-Holstein abgeben. Aber das würde hier den Rahmen und gerade heute mein Zeitfenster sprengen.

Trotzdem will ich ein paar Denkanstöße gerade auch für Kollegen meiner Zunft zur Diskussion stellen, die mir seit der Veröffentlichung des Arbeitspapiers unter den Nägeln brennen.

Das ULD Schleswig-Holstein hat sich einige Mühe gegeben zubegründen, wieso der "Like-Button" gegen geltendes Datenschutzrechtverstößt und weshalb Webseitenbetreiber dafür verantwortlich sein sollen.

Vereinfacht man die umfangreichen Einwände des ULD auf denwesentlichen Punkt, besteht der Vorwurf darin, dass Facebook nicht offen legt, welche Daten in welchem Umfang erhoben und verarbeitet werden, wo und wie langediese gespeichert werden, geschweige denn zu welchem Zweck die Datenverarbeitung erfolgt.

Eine solche Aufklärung des Nutzers ist jedoch zwingende Voraussetzung für eine wirksame Einwilligung des Nutzers in den Datenverarbeitungsprozess. Nach deutschem Datenschutzrecht kann der Nutzer nur wirksam einwilligen, wenn er weiß worauf er sich einlässt. Selbst wenn man in der gesamten Prozedur verschiedene Ansatzpunkte für eine Einwilligung des Nutzers in die Verarbeitung personenbezogener Daten finden könnte, scheitert eine wirksame Einwilligung nach meiner Einschätzung immer daran, dass nicht offen gelegt wird welche Daten in welchem Umfang und vor Allem zu welchemZweck erhoben oder verarbeitet werden.

Aus diesem Grund halte ich auch den oben beschriebenen Ansatz zwar grundsätzlich für eine gute Idee, aber nicht für den Deus ex machina. Auch wenn der User durch das oben beschriebene Konzept die Nutzung der Plugins selbst auslöst, weiß er trotzdem nicht worauf er sich einlässt, d.h. selbst wenn man im "Freischalten" der PlugIns durch den Nutzer eine Einwilligung in die Erhebung und Verarbeitung von Daten sehen kann/will, kann man mit guten Argumenten einwenden, dass die Einwilligung mangels ausreichender Datenschutzhinweise unwirksam ist.

Gleichzeitig ist das oben beschriebene Konzept nicht völlig nutzlos. An dieser Stelle sollte man aber nochmals zwischen den verschiedenen Nutzergruppen differenzieren. Nach meiner Auffassung spielen drei Nutzergruppen eine Rolle:

1. Registrierte und angemeldete Nutzer
Also Nutzer, die über ein Facebook Konto verfügen und bei Besuch einer Webseite, die den "Like-Button" einsetzt bei Facebook angemeldete ist. Hier werden zweifelsohne personenbezogene Daten verarbeitet, da die Daten, die über den "Like-Button" erhoben werden, so z.B. URL der besuchten Seite, mit dem Profil des Nutzers verknüpft sind und so mit einer konkreten Person in Verbindung gebracht werden können. Soweit man mit dem ULD davon ausgeht, dass hierfür keine gesetzliche Erlaubnisnorm greift – was ich auch für zweifelhaft halte – ist für diese Datenverarbeitung die Einwilligung des Nutzers erforderlich.

2. Registrierte aber nicht angemeldete Nutzer
Also Nutzer, die über ein Facebook Konto verfügen, beim Besuch der Webseite aber nicht angemeldet sind. Hier kann der Bezug der erhobenen Daten zum Profil des Nutzers ggf. über ein auf dem Rechner des Nutzers gespeichertes Cookie hergestellt werden, so dass es sich auch hier um personenbezogene Daten handeln könnte, womit im Zweifel wiederrum eine Einwilligung erforderlich ist.

3. Nicht registrierte Nutzer
Also Nutzer, die über kein Facebook Konto verfügen. Auch von Nutzern, die über kein Facebook Konto verfügen, werden Daten übermittelt. Gerade an der Erhebung von Daten dieser Gruppe hängt sich die Diskussion auf.

Von dem oben angesprochenen Konzept profitieren alle drei Nutzergruppen solange sie die Social Plugins nicht nutzen wollen, da diese dann gesperrt sind. Sobald Gruppe 1 und 2 die Plugins freischalten, lebt das alte Problem aber wieder auf. Da personenbezogene Daten ohne wirksame Einwilligung erhoben werden.

Endgültig gelöst ist nur das Problem der Gruppe der nicht bei Facebook registrierten Nutzer der Webseite. Aus meiner Sicht handelt es sich dabei aber um einen datenschutzrechtlichen Phyrrussieg, da ich große Zweifel daran habe, dass bei dieser Nutzergruppe überhaupt personenbezogene Daten erhoben werden. Schließlich können die Daten, die über den"Like-Button" erhoben werden nicht über ein Benutzerprofil einer konkreten Person zugeordnet werden.

Datenschützer behelfen sich an dieser Stelle mit der Behauptung die übermittelten IP-Adressen seien personenbezogene Daten. Darüber lässt sich aber mit sehr guten Argumenten streiten. Ich persölich halte das für Humbuk. Die IP lässt sich – und das auch nur vom jeweiligen ISP – allenfalls bis zu einem bestimmten Telefonanschluss und allenfalls zum Anschlussinhaber zurückverfolgen. Denkt man an die Anschlüsse in Unternehmen, Internetcafes oder auch nur an Wohngemeinschaften oder Familien, die einen gemeinsamen Internetanschluss nutzen, ist fraglich, wie über die IP Adresse der Bezug zu einer konkreten Person hergestellt werden soll.

Im Endeffekt löst das oben beschriebene Konzept das Problem daher nur, wenn Besucher der Seite die Social Plugins nicht nutzen, was aber nicht im Geiste des Erfinders liegt und genauso sinnvoll ist, als würde man die Plugins erst gar nicht einsetzen.

Gleichzeitig muss ich natürlich einräumen, dass die Idee vollkommen auf der Linie des ULD Schleswig-Holstein liegt, welches in seinenFAQ zum Thema wie folgt Stellung nimmt:

Zitat

F: Kann ein Webseitenbetreiber Facebook Social-Plugins so einbinden, dass die unkontrollierte Übertragung personenbezogener Daten verringert wird?

‘_A: Ja. Eine datensparsame Einbindung erfordert zurzeit, dass die Social-Plugins nur dann geladen werden dürfen, wenn die Nutzerin oder der Nutzer gegenüber dem Webseitenbetreiber in die mit der Einbindung von Social-Plugins verbundenen Übertragung personenbezogener Daten an Facebook eingewilligt hat, § 13 Abs. 2 TMG. Dies kann beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseiteerscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss die Nutzerin oder der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten an Facebook informiert werden. Willigt die Nutzerin oder der Nutzer ausreichend informiert und aktiv ein, so können darauffolgend die Social-Plugins von Facebook geladen werden. Es besteht die Möglichkeit, die Zustimmung zur Einwilligung über einen nicht-personalisierten Cookie auch für nachfolgende Besuche auf der betroffenen Webseite zu speichern. Über das Setzen dieses Cookies ist die Nutzerin oder der Nutzer ebenfalls zu informieren. Es muss jedoch beachtet werden, dass mittels einer solchen informierten Einwilligung der Nutzerin bzw. des Nutzers nur die Datenübertragung an Facebook auf Veranlassung eines Webseitenbetreibers gerechtfertigt werden kann. Dies ändert nichts daran, dass gegenüber Facebook nach unserer Analyse zurzeit keine wirksame Einwilligung der Nutzerin oder des Nutzers vorliegt_’

Zitatende

Das ULD gesteht dabei ein, dass die Verarbeitung der Daten durch Facebook mangels wirksamer Einwilligung nicht gerechtfertigt werden kann, sondern allenfalls die "Datenübertragung auf Veranlassung des Webseitenbetreibers"

Ich persönlich halte diese Einlassung aus mehreren Gründen für inkonsequent:

Zum einen räumt das ULD unter 5.2.3 seines Arbeitspapiers ein, dass beim Webseitenbetreiber weder eine direkte Erhebung noch Speicherung der Daten erfolgt. Gleichzeitig spricht das ULD jedoch von der Verantwortlichkeit für eine Datenübertragung. Nach meinem Verständnis kann ich nur Daten übertragen, die ich vorher erhoben oder bei mir gespeichert habe. Der Webseitenbetreiber überträgt also keine Daten an Facebook. Im Gegenteil, dass ULD stellt selbst fest, dass der Datenverkehr direkt zwischen dem Nutzer und Facebook erfolgt. Der einzige Vorwurf an den Webseitenbetreiber kann also sein, dass dieser durch die Einbindung der Plugins diesen Datenverkehr ermöglicht.

Selbst wenn man die datenschutzrechtliche Verantwortlichkeit des Webseitenbetreibers an diesen Umstand knüpft, ist mir nicht klar weshalb dies mit dem beschriebenen Opt-In datenschutzrechtlich zulässig sein soll und ohne das Opt-In nicht, obwohl der Nutzer in beiden Fällen keine Ahnung davon hat welche Daten Facebook nach Einleitung des Nutzungsvorgangs erhebt.

Diskussionsbeiträge, die Licht ins Dunkel bringen sind mir herzlich willkommen.

2 Klicks für mehr Datenschutz | c’t
Die Gefällt-mir-Buttons von Facebook, Google+ und Twitter sind ein Datenschutzproblem. Das 2-Klick-Konzept auf heise online entschärft es.

Leave a Reply

Your email address will not be published.