Oberste Datenschutzbehörden beziehen Position – Beschluss des Düsseldorfer Kreis vom 8.12.11
Am 08.12.2011 hat der „Düsseldorfer Kreis“ einen gemeinsamen Beschluss zu sozialen Netzwerken veröffentlicht. Darin beschreiben die obersten Datenschutzbehörden ihre Anforderungen an ein datenschutzkonformes soziales Netzwerk.Natürlich seien die zuletzt verabschiedeten Selbstverpflichtungen ein Schritt in die richtige Richtung, entbinden die Betreiber von sozialen Netzwerken aber nicht von geltendem Recht. Dem oft von Facebook geltend gemachte Einwurf, das für sie deutsches Datenschutzrecht keine Geltung beansprucht, tritt der Düsseldorfer Kreis entgegen. Denn schließlich kann die Anwendung des BDSG nicht durch das schlichte Gründen einer rechtlich selbstständigen Niederlassung in einem anderen Staat des Europäischen Wirtschaftsraumes (in diesem Fall Irland) umgangen werden. Nur wenn das soziale Netzwerk auch in der Verantwortung dieser europäischen Niederlassung betrieben wird, kann die Verarbeitung der Daten dem Datenschutzrecht eines anderen Staates im Europäischen Wirtschaftsraum unterliegen, heißt es weiter.
Folglich ist nach Ansicht der Datenschützer deutsches Datenschutzrecht anwendbar. Danach bestimmen sich dann auch die Anforderungen an die sozialen Netzwerke:
Es muss eine leicht zugängliche und verständliche Information darüber gegeben werden, welche Daten erhoben und für welche Zwecke verarbeitet werden. […] Die Voreinstellungen des Netzwerkes müssen auf dem Einwilligungsprinzip beruhen, jedenfalls soweit nicht der Zweck der Mitgliedschaft eine Angabe von Daten zwingend voraussetzt. Eine Datenverarbeitung zunächst zu beginnen und nur eine Widerspruchsmöglichkeit in den Voreinstellungen zu ermöglichen, ist nicht gesetzmäßig
Es muss eine einfache Möglichkeit für Betroffene geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung von Daten geltend zu machen. Grundvoraussetzung hierfür ist die Angabe von entsprechenden Kontaktdaten an leicht auffindbarer Stelle, damit die Betroffenen wissen, wohin sie sich wenden können.
Die Verwertung von Fotos für Zwecke der Gesichtserkennung und das Speichern und Verwenden von biometrischen Gesichtserkennungsmerkmalen sind ohne ausdrückliche und bestätigte Einwilligung der abgebildeten Person unzulässig.
Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. Es enthält im Hinblick auf Nutzungsdaten – soweit keine Einwilligung vorliegt ein Verbot der personenbeziehbaren Profilbildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen.
Bildnachweis: MPower. / PHOTOCASE
„Facebook – Button“
Aufgrund der aktuellen Diskussion über die Rechtmäßigkeit des Facebook-Like-Buttons äußert sich der Düsseldorfer Kreis besonders ausführlich zu diesem Thema:
Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und –nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
Vor allem Unternehmer müssen bei der Verwendung von Social Plugins aufpassen. Nach dem Düsseldorfer Kreis ist dabei vor allem folgendes zu beachten:
Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.
Zu diesen Informationen sind die Unternehmen im Moment aber nicht in der Lage. Sie nutzen nur die vorgegebenen Plugins wie bspw. den Facebook-Like-Button. Allerdings wissen sie nicht welche Datenverarbeitungsvorgänge sich hinter diesen Social Plugins verbergen und können somit ihrer Informationspflicht gegenüber ihren Nutzern und Nutzerinnen nicht ausreichend nachkommen. Demnach laufen sie nach Ansicht des Düsseldorfer Kreises Gefahr Rechtsverstöße zu begehen, wenn über Social Plugins Daten erhoben werden. Konsequent bedeutet dies, dass solche Plugins nicht ohne weiteres in das eigene Angebot eingebunden werden können.
Fazit :
Den Beschluss des Düsseldorfer Kreises kann man fast als Antwort auf das am 02.12.2012 erschienene Rechtsgutachten des schleswig-holsteinischen Landtags sehen. In diesem Gutachten wurden die kritischen Standpunkte der landeseigenen Datenschutzbehörde gegenüber sozialen Netzwerken schon fast als absurd dargestellt. Dass die Bedenken aber durchaus begründet sind zeigt nun der Beschluss des Düsseldorfer Kreises, der die Auffassungen des ULD im Großen und Ganzen teilt.
Die Position der Datenschützer hat mit diesem Beschluss an Deutlichkeit gewonnen. Eine endgültige Lösung für die rechtskonforme Nutzung von Social Plugins wurde aber nicht gefunden. Vielmehr wird man abwarten müssen wie die großen Betreiber Facebook und Google auf diesen Beschluss reagieren.
Wenn Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts haben, können Sie uns gerne kontaktieren. Rufen Sie uns einfach unverbindlich unter der Durchwahl 0681-9400543-55 an oder schreiben Sie uns eine E-Mail an info@website-check.de. Gerne informieren wir Sie auch über unser Angebot an Schutz- und Prüfpaketen, die wir Ihnen im Rahmen des Website-Checks anbieten. In unseren Website-Checks erhalten Sie neben einem Prüfungsprotokoll Ihrer Internetseite auch anwaltlich geprüfte Rechtstexte. Weitere Informationen hierzu finden Sie hier.