Facebook: Eine datenschutzrechtliche Analyse

1. Vorbemerkung: Anwendung des deutschen Datenschutzrechts

Das deutsche Datenschutzrecht – allen voran das Bundesdatenschutzgesetz (BDSG) – findet unzweifelhaft immer dann Anwendung, wenn sich Nutzer aus Deutschland bei Facebook anmelden oder sonstige Tools nutzen. Regelungen, die ausländisches Recht Anwendung finden lassen wollen, sind unwirksam, da es sich bei den deutschen Regelungen um zwingende Vorschriften handelt.

Der Artikel beleuchtet Facebook datenschutzrechtlich von zwei Seiten: Einmal aus Sicht eines Facebook-Users und einmal aus Sicht eines unbeteiligten Dritten.

2. Beispiel 1: Die AGB von Facebook

Betrachten wir zunächst Facebook aus der Sicht des Users. Als Beispiel sollen hier die Allgemeinen Geschäftsbedingungen (AGB) des Unternehmens dienen. Facebook fragt eine Vielzahl von Informationen ab, die nicht durch die gesetzlichen Vorschriften des BDSG abgedeckt sind. Vielmehr ist Rechtsgrundlage für das Facebook-Handeln die jeweilige Einwilligung des Nutzers. Frei nach dem Motto: Wenn ich meine Daten nicht preisgeben will, dann muss ich mich bei diesem Social-Web-Dienst ja auch nicht anmelden.

Nach deutschem Datenschutzrecht muss, damit die Einwilligung wirksam ist, die jeweilige Nutzung der Daten hinreichend transparent und eindeutig sein. Ein Blick in die Facebook-Bestimmungen offenbart, dass der Social-Dienst von dieser Vorgabe Lichtjahre entfernt ist.

a. Keine wirksame Miteinbeziehung

Bei der ersten Registrierung auf Facebook findet der User nebenstehende Eingabemaske (vgl. Abbildung 1). Dabei  heißt es u. a. „Indem Du auf Registrieren klickst, bestätigst Du …“ (vgl. Abbildung 2).
Bereits diese Anmeldung entspricht nicht deutschem Datenschutzrecht, denn es bedarf einer aktiven Zustimmungshandlung des Users. Alleine in dem Klicken auf den Button „Registrieren“ liegt noch keine Zustimmung, zumal der darunter stehende Text – im Verhältnis zum übrigen Teil – bewusst in kleinerer Schrift gehalten ist. Damit eine wirksame Miteinbeziehung vorliegt, bedarf es vielmehr einer nicht vorselektierten Checkbox.

Ein solch wildes Hin und Her zwischen unterschiedlichen Bestimmungen erfüllt noch nicht einmal die Minimalanforderungen für eine ausreichende Transparenz.

c. Grob rechtswidrige Inhalte der AGB

Auch inhaltlich sind die Nutzungsbedingungen von Facebook juristischer Nonsens und noch nicht einmal das elektronische Papier wert, auf dem sie stehen.

So wird gleich zu Beginn der Nutzungsbedingungen dreist behauptet, dass im Falle eines sprachlichen Widerspruchs zwischen der deutschen Übersetzung und der englischen Orginal-Fassung allein die englischsprachige Fassung maßgeblich sei. Eine solche Formulierung entlockt dem deutschen Juristen nur ein müdes Lächen: AGB müssen in deutscher Sprache vorliegen. Auch wenn die von Facebook angesprochene jugendliche Klientel sicherlich zum erheblichen Teil die englische Sprache beherrscht, gilt dies ganz sicher nicht für das gesamte Publikum. Insofern sind im Streitfall nicht die englischen, sondern die deutschen Regelungen maßgeblich.

Eine weitere lustige, unwirksame Regelung findet sich in 10.3., wo es heißt: „Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche identifizieren.“ Eine solche Klausel entspricht weder deutschem noch europäischem Recht. Facebook versucht sich hier eine Einfallstür zur Schleichwerbung zu bauen, scheitert damit aber grandios. Das Telemediengesetz (TMG) bestimmt in § 6 ausdrücklich die Informationspflichten bei kommerzieller Kommunikation. Zuwiderhandlungen sind Ordnungswidrigkeiten, die mit einer Geldbuße bis zu 50.000,- EUR geahndet werden können (§ 16 Abs. 1 TMG).

3. Beispiel 2: Der „Like-Button“ von Facebook

Schauen wir uns das Social-Portal nun einmal aus Sicht eines unbeteiligten Dritten an, der kein Facebook-User ist. Als Beispiel soll hier der  „Like_Button“ dienen.

a. Die allgemeinen Pflichten eines Webseiten-Betreibers

Webseiten-Betreiber müssen aus datenschutzrechtlicher Sicht u. a. die Vorgaben des § 13 Abs. 1 TMG beachten:

„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten (...) zu unterrichten (...).“

Das heißt, der Webseiten-Betreiber muss immer dann, wenn personenbezogene Daten gespeichert oder übermittelt werden, den Besucher der Webseite im Vorweg darüber informieren.

b. Der „Like-Button“

Beim „Like-Button“ von Facebook scheitert diese allgemeine Informationspflicht des Webseiten-Betreibers bereits an der einfachen Tatsache, dass niemand – bis auf Facebook – weiß, welche Daten genau die Software wohin schickt. In der September/Oktober-Ausgabe dieser Zeitschrift gibt es hierzu einen lesenswerten Artikel von Mario Fischer und Tim Sebastian.

In der technischen Erläuterung (Quelle: einfach.st/like) des Social Plugins finden sich keine klaren Aussagen dazu, was das Tool denn nun genau speichert und an wen es welche Daten überträgt. Es wird lediglich die technische Vorgehensweise zum Einbinden in die eigene Webseite ausführlich erläutert.

Diese mangelnde Information wurde auch den Betreibern von „hamburg.de“ zum Verhängnis (Quelle: einfach.st/like2). Sie banden – wie viele Hunderttausend andere Webseiten-Betreiber – den „Like-Button“ auf ihrem Portal ein. Im Zuge der Nutzung stellte sich jedoch heraus, dass das Plugin auch Daten von Personen übertrug, die gar keine Facebook-Nutzer waren und den Button gar nicht anklickten. Das heißt, das Tool übertrug von jedem, der die Webseite ansurfte, Informationen an Facebook.

Als die Betreiber von „hamburg.de“ dies bemerkten, fragten sie bei Facebook nach, erhielten dort jedoch kein klares Statement, sondern nur die lapidare Antwort, dass eine Speicherung zwar stattfinde, jedoch die Daten nicht verarbeitet würden. Zudem würden die Informationen ohnehin nach drei Monaten gelöscht.

Da diese Antwort mehr als unbefriedigend war, entfernte „hamburg.de“ den „Like-Button“ wieder.

c. Rechtliche Konsequenzen

aa. Für den deutschen Webseiten-Betreiber

Die rechtlichen Konsequenzen, die sich aus dem „Like-Button“ ergeben, sind mannigfaltig.

Zum einen liegt in der fehlenden Aufklärung durch den Seiten-Betreiber eine eigene Datenschutzverletzung. Nach § 16 Abs. 2 Nr. 2 TMG handelt ordnungswidrig, wer die Besucher seiner Webseite nicht richtig, nicht vollständig oder nicht rechtzeitig informiert. Eine solche Handlung kann mit einem Bußgeld bis zu 50.000,- EUR geahndet werden. Der deutsche Portal-Betreiber kann sich dabei nicht damit herausreden, dass ihm die Tatsache, dass Facebook bestimmte personenbezogene Daten an sich schickt, nicht bekannt war, denn auch ein leicht fahrlässiges Verhalten stellt das Gesetz unter Strafe.

Noch weitreichender sind die wettbewerbsrechtlichen Folgen. Bindet ein Unternehmen den Button auf seine Webseite ein, so haftet es nach ständiger Rechtsprechung als sogenannter Mitstörer. Es ist zwar nicht der eigentliche Rechtsverletzer, jedoch leistet es der Datenschutzverletzung Vorschub, indem es dieses Tool nutzt. Darüber hinaus begeht der Seiten-Betreiber einen eigenen Wettbewerbsverstoß, wenn er seine User nicht ausreichend aufklärt. In einem solchen Fall kann ihn jeder Mitbewerber, jeder Wettbewerbsverein und jede Verbraucherzentrale kostenpflichtig abmahnen und von ihm eine strafbewehrte Unterlassungserklärung einfordern.

bb. Für Facebook selbst

Das BDSG sieht vor, dass derjenige, der unerlaubt personenbezogene Daten erhebt, ordnungswidrig handelt und mit einer Geldbuße bis zu 300.000,- EUR belegt werden kann (§ 43 Abs. 2 Nr. 1 BDSG). Wer – wie Facebook – die Datenschutzverletzungen in Bereicherungsabsicht begeht, der macht sich sogar strafbar (§ 44 Abs. 1 BDSG). Auf das Delikt steht eine Freiheitstrafe von bis zu zwei Jahren.

Speichert Facebook bei seinem  „Like-Button“ somit personenbezogene Daten und überträgt diese an sich, ohne den User zuvor zu fragen, handelt es sich um solche strafbaren Handlungen.

4. Die tatsächliche Situation in der Praxis

Eine kurze Betrachtung von Facebook hat gezeigt: Zahlreiche Regelungen von Facebook sind nach deutschem Datenschutzrecht klar rechtswidrig und stellen sogar Ordnungswidrigkeiten, wenn nicht  Straftaten dar.

Warum passiert denn dann nichts in der Praxis?

Die Antwort ist so enttäuschend wie banal: Die Verfolgung von Datenschutzverletzungen ist grundsätzlich Angelegenheit der Bundesländer. Die zuständigen Aufsichtsbehörden sind in aller Regel sowohl personell als auch sachlich chronisch unterbesetzt. Die Verfolgung von Rechtsverletzungen oder die Verhängung von Bußgeldern hat nach wie vor Seltenheitswert.

Und: Facebook ist nicht das einzige Social-Portal, das sich nicht um geltendes Recht kümmert. Bereits Ende 2008 hat das Fraunhofer-Institut einen mehr als 100-seitigen Bericht (pdf unter einfach.st/fraun) über die gängigen Plattformen (Myspace, Facebook, StudiVZ, Wer-kennt-wen, Lokalisten, XING, Linkedln) vorgelegt und dabei z. T. gravierende datenschutzrechtliche Mängel festgestellt. Will sich die Aufsichtsbehörde somit um den Datenschutz im WWW kümmern, muss sie auch gegen die zahlreichen anderen Anbieter vorgehen.

Auch von Verbraucherschutzseite ist nicht außerordentlich viel zu erwarten. Zwar hat der Verbraucherzentrale Bundesverband Mitte 2009 zahlreiche Social-Portale wegen ihrer AGB abgemahnt (Quelle: einfach.st/vzbv). Außer ein paar Schönheitskorrekturen ist jedoch faktisch nichts passiert.

Es ist daher schon außergewöhnlich, dass der Hamburgische Landesdatenschutzbeauftragte Anfang Juli 2010 ein Bußgeldverfahren gegen Facebook eingeleitet hat (Quelle: einfach.st/hamburg).

Die Prognose für die Zukunft ist daher relativ einfach: Facebook und alle anderen Social-Portale werden weitermachen wie bislang und sich um geltendes Datenschutzrecht nicht kümmern.