Ich hatte schon über die Empfehlung des Koordinierungsgemiums der Datenschutz-Aufsichtsbehörden berichtet. Jetzt gibt es ein paar mehr Informationen, die der Pressemitteilung des Berliner Datenschutzbeauftragten zu entnehmen sind (PDF).
Die Empfehlungen sind für alle Social Networks wichtig, insbesondere dann, wenn sie ihren Unternehmenssitz in Berlin haben (vgl. die Berichterstattung zu MeinProf.de), da zumindest in Berlin jetzt auch Bußgelder in Einzelfällen verhängt werden bzw. verhängt worden sein sollen.
Die Empfehlungen zitiere (und kommentiere) ich hier im Einzelnen:
Anbieter sozialer Netzwerke müssen ihre Nutzer umfassend gemäß den gesetzlichen Vorschriften über die Verarbeitung ihrer personenbezogenen Daten und ihre Wahl- und Gestaltungsmöglichkeiten unterrichten. Das betrifft auch Risiken für die Privatsphäre, die mit der Veröffentlichung von Daten in Nutzerprofilen verbunden sind. Darüber hinaus haben die Anbieter ihre Nutzer aufzuklären, wie diese mit personenbezogenen Daten Dritter zu verfahren haben.
Was ist damit gemeint? Tja…neben der normalen Unterrichtung über Zweck, Art und Umfang der Datenverarbeitung in der Datenschutzerklärung müssen Anbieter über die Risiken für die Privatsphäre informieren, die mit der Nutzung des Dienstes einhergehen. Darunter könnte man z.B. verstehen, dass ein Hinweis erfolgt, dass die Daten, falls es sich nicht um ein geschlossenes Netzwerk handelt, ggf. auch für Dritte allgemein zugänglich sind, und auch in (Personen-) Suchmaschinen gefunden werden könnten. Außerdem müssen die Nutzer angewiesen werden, dass sie mit Informationen von Dritten z.B. vertraulich umzugehen haben. Ich wage jedoch zu bezweifeln, dass man diese konkreten Vorgaben aus dem Gesetz ableiten kann. Ein Gericht wird sich dieser Auffassung möglicherweise nicht vollständig anschließen. Richtig ist, dass die verantwortliche Stelle, also der Anbieter, alle erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten zu treffen hat. Richtig ist ebenfalls, dass eine Anweisung an die User, wie sie mit den Daten von Dritten umzugehen haben, eine organisatorische Anweisung zum Schutz von Daten sein kann. Zweifelhaft ist aber, ob eine solche Vorgabe dem Grundsatz der Verhältnismäßigkeit entspricht. Außerdem habe ich Zweifel, dass die Klauseln im Einzelfall einer “AGB-Kontrolle” stand halten.
Die Aufsichtsbehörden weisen darauf hin, dass nach den Bestimmungen des Telemediengesetzes (TMG) eine Verwendung von personenbezogenen Nutzungsdaten für Werbezwecke nur zulässig ist, soweit die Betroffenen wirksam darin eingewilligt haben. Bei Werbemaßnahmen aufgrund von Profildaten müssen die Betroffenen nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) mindestens eine Widerspruchsmöglichkeit haben. Die Aufsichtsbehörden empfehlen, dass die Anbieter die Nutzer selbst darüber entscheiden lassen, ob – und wenn ja, welche – Profil- oder Nutzungsdaten zur zielgerichteten Werbung durch den Anbieter genutzt werden.
Der Sinn ergibt sich schon aus dem Text selbst. Häufig wird praktisch hier die Frage darin bestehen, ob die tatsächlich für Werbezwecke verwendeten personenbezogenen Daten noch einen Personenbezug aufweisen, wenn sie dann z.B. an ein Ad-Vermarkter weitergegeben werden. Hier steckt der Teufel wahrlich im Detail. Zumindest haben die Aufsichtsbehörden anerkannt, dass in der Realität zumindest diesbezüglich kein Opt-In praktikabel bzw. rechtlich (TMG) auch nicht zwingend erforderlich ist. Wie die Anbieter allerdings das Widerspruchsrecht (Opt-Out) umsetzen, ist dann technisch häufig nicht ganz trivial.
Die Aufsichtsbehörden erinnern weiterhin daran, dass eine Speicherung von personenbezogenen Nutzungsdaten über das Ende der Verbindung hinaus ohne Einwilligung der Nutzer nur gestattet ist, soweit die Daten zu Abrechnungszwecken gegenüber dem Nutzer erforderlich sind.
Hier geht es vornehmlich um das Thema IP-Adressen. Auch wer es noch nicht mitbekommen hat: man darf ohne wirksame Einwilligung der Nutzer keine IP-Adressen über das Ende der jeweiligen Nutzung hinaus speichern. Also stellt eurer Logrotate im Apache entsprechend ein. Und nehmt ein Stats-Tool, das ohne IP-Adressen auskommt. Letzteres gestaltet sich für Social Networks mit viel Traffic allerdings als ziemlich schwierig. Das Angebot an performanten Stats-Tools für High-Traffic-Sites ist nicht so groß. Tja…und Google Analytics speichert eben auch IP-Adressen. Und auch diese Datenverarbeitung ist dem Anbieter zurechenbar. Man kann sich also schlecht damit herausreden, dass ja Google die Daten speichert.
Für eine vorauseilende Speicherung von Daten über die Nutzung sozialer Netzwerke (wie auch anderer Internet-Dienste) für eventuelle zukünftige Strafverfolgung besteht keine Rechtsgrundlage. Sie wird insbesondere auch nicht durch die Regelungen zur Vorratsdatenspeicherung vorgeschrieben.
Höre ich in letzter Zeit auch wieder häufiger, dass man ja angeblich durch Gesetze oder Rechtsprechung verpflichtet sei, IP-Adressen zur Strafverfolgung zu speichern. Das ist definitiv falsch. Und insoweit ist der zitierte Hinweis richtig.
Schließlich weisen die Aufsichtsbehörden darauf hin, dass das TMG die Anbieter dazu verpflichtet, das Handeln in sozialen Netzwerken anonym oder unter Pseudonym zu ermöglichen. Dies gilt unabhängig von der Frage, ob ein Nutzer sich gegenüber dem Anbieter des sozialen Netzwerks mit seinen Echtdaten identifizieren muss.
Zwar ist diese Ansicht grundsätzlich richtig. Nach Auffassung der Aufsichtsbehörden kann man also zwar als Social-Network-Anbieter verlangen, dass jemand bei der Anmeldung Echtdaten angibt. Man müsse ihm aber ermöglichen, im Social Network selbst anonym oder zumindest Pseudonym zu agieren. Was in der Empfehlung nicht steht, ist, dass das Gebot der anonymen bzw. pseudonymen Nutzung in § 13 Abs. 6 TMG jedoch unter dem Vorbehalt steht, dass dies einerseits “technisch möglich” und andererseits “zumutbar” ist. Ein XING, LinkedIn oder ein sonstiges Social Network kann aber z.B. nicht sinnvoll anonym oder pseudonym betrieben werden. Außerdem ist § 13 Abs. 6 TMG auch unter Berücksichtigung von Art. 12 GG auszulegen. Es darf im Ergebnis nicht dazu kommen, dass bestimmte Dienste, die man freiwillig nutzen kann und bei denen freiwillig in eine nicht-anonyme-Nutzung “optiert” wird, verpflichtet wären, eine anonyme oder pseudonyme Nutzung zu ermöglichen. Etwas Anderes dürfte m.E. nur gelten, wenn der Anbieter eine marktbeherrschende Stellung hätte. Was die Prüfung dann im Einzelfall ergeben würde, ist offen.
Natürlich gibt es auch Social Networks, die pseudonym genutzt werden bzw. genutzt werden könnten wie z.B. supertopic, in denen es nicht so wichtig ist, wie die Person nun wirklich heißt. Ein XING, LinkedIn oder anderes Business-Netzwerk könnte so aber nicht funktionieren. Ich meine zudem, dass auch anderen eher “privat” genutzten Social Networks nicht eine anonyme oder pseudonyme Nutzung zuzumuten ist. Das hängt allerdings auch stets vom Einzelfall ab.
Die Anbieter sind verpflichtet, die erforderlichen technisch-organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Sie müssen insbesondere einen systematischen oder massenhaften Export oder Download von Profildaten aus dem sozialen Netzwerk verhindern.
Das kann man als Empfehlung unterstützen.
Bei der datenschutzfreundlichen Gestaltung von sozialen Netzwerken kommt den Standardeinstellungen – z. B. für die Verfügbarkeit von Profildaten für Dritte – eine zentrale Bedeutung zu. Die Aufsichtsbehörden fordern die Anbieter sozialer Netzwerke auf, datenschutzfreundliche Standardeinstellungen für ihre Dienste zu wählen, durch die die Privatsphäre der Nutzer möglichst umfassend geschützt wird. Dies Standardeinstellungen müssen besonders restriktiv gefasst werden, wenn sich das Portal an Kinder richtet. Der Zugriff durch Suchmaschinen darf jedenfalls nur vorgesehen werden, soweit der Nutzer ausdrücklich eingewilligt hat.
Auch das würde ich als Empfehlung unterstützen.
Der Nutzer muss die Möglichkeit erhalten, sein Profil auf einfache Weise selbst zu löschen. Schließlich sollten die Anbieter sozialer Netzwerkdienste die Einführung von Verfallsdaten oder zumindest automatische Sperrungen erwägen, die von den Nutzern selbst festgelegt werden können.
Also sollte man gerne einen Link zur Löschung des Profils vorsehen. Das ist gut und sinnvoll, und ich vermisse dies bei vielen Diensten. Die Einführung von Verfallsdaten oder Sperrungen halte ich für wenig sinnvoll und vertragsrechtlich auch problematisch. Auch hier sehe ich Probleme mit der AGB-Kontrolle, wenn die Klauseln nicht geschickt und ordentlich formuliert werden. Man kann keinen Social-Network-Anbieter raten, Daten zu löschen, ohne die Einwilligung des Users zu haben, da hier Schadensersatzansprüche – abhängig von Netzwerk, Vertragsverhältnis und Einzelfall, drohen können.
Alles in allem finde ich diese Empfehlungen gut. Inhaltlich kann ich Vieles, aber eben nicht alles unterstützen. Zumindest kann man jetzt vielleicht endlich sachlich über diese Aspekte diskutieren. Spannend wird auch, wie die Aufsichtsbehörden in den einzelnen Bundesländern, die Einhaltung dieser Empfehlung kontrollieren und ggf. auch Verletzungen ahnden wollen. Die Berliner Aufsichtsbehörde hat ihren Pflock anscheinend ja schon mal in Boden gestampft. Mal sehen, wie es anderenorts aussehen wird.
{ 3 comments… read them below or add one }
Hallo,
weitestgehend stimme ich dem zu.
Insbesondere die Unbedarftheit einiger Jugendlicher bedarf einer besonderen Form der Aufklärung und der nachträglichen Löschbarkeit der Daten.
Deinem Absatz über die IP Adressen finde ich schwierig. Sollte sich dies (das eine “Übermittlung” der IP nicht zulässig ist) durchsetzen wäre es ja das Aus für Flash, Wettereinblendungen, Banner, Anzeigen, etc.
Ich kann als Seitenbetreiber nie sicher sein ob der Anbieter eines solchen Services die IP nicht doch speichert.
Bist Du sicher das twitter.com meine IP nicht auch speichert und auswertet?
Grüße
Thomas
Der “Soll-Zustand” entspricht bei IP-Adressen nicht dem “Ist-Zustand”. Nicht ansatzweise.
Das ändert aber nichts an der Tatsache, dass die herrschende Meinung in Rechtsprechung – soweit bekannt – und die rechtswissenschaftliche Literatur (und die Art. 29 Working Party) nun einmal davon ausgehen, dass IP-Adressen personenbezogene Daten sind, und die Regelungen im TMG zu Nutzungsdaten sind eindeutig. Eine Auslegung entgegen dem Wortlaut ist nicht zulässig. Und dann würde nur noch eine analoge Anwendung von § 100 TKG in Einzelfällen weiterhelfen.
M.E. ist der Gesetzgeber gefordert.
Ich stimme dem schon zu, denn viele muss man wirklich vor sich selbst schützen. Wobei aber bei Business-Communities man schon darauf vertrauen sollte, dass die Leute wissen, was sie tun.
{ 1 trackback }