Onlinerecht

Facebook & Co: Recht bei neuen Internet-Entwicklungen

Facebook, Tracking-Tools und Voice-over-IP - die modernen Techniken stellen Datenschützer und Anwender vor neue Herausforderungen.

Onlinerecht

© Michael Rohrlich

Onlinerecht

Neue Techniken und Dienste wie etwa Blogs, Twitter, Facebook & Co. bringen nicht nur neue Möglichkeiten mit sich, sondern auch neue Pflichten und Risiken. Ein ganz zentraler Aspekt ist hierbei das Thema Datenschutz.Nach wie vor sind sich viele Nutzer gar nicht bewusst, dass die Daten, die sie über sich persönlich zuhauf preisgeben, zum einen faktisch kaum wieder aus dem weltweiten Datennetz zu entfernen sind und zum anderen auf die Server von zumeist ausländischen Unternehmen gelangen. Was dann dort damit geschieht, entzieht sich jeglicher Kenntnis, es ist schlichtweg nicht nachvollziehbar.Zwar hat insbesondere der Suchmaschinengigant Google die Prämisse "Do no evil", aber dennoch ist es ein großes Geheimnis, was Google tatsächlich mit der Unmenge an personenbezogenen Daten anstellt, die Sekunde um Sekunde in seine Datenspeicher fließen. Und da tröstet es auch wenig, dass hierzulande vergleichsweise hohe Datenschutzanforderungen zu erfüllen sind.

Grundlagen

Jede nicht nur rein private Webseite muss eine Datenschutzerklärung bereithalten. Dies sollte, ähnlich wie beim Impressum auch, durch einen eigenen Menüpunkt in der Hauptnavigationsebene oder im Fußzeilen-Bereich der Site geschehen, sodass er von jeder einzelnen Unterseite aus erreichbar ist. Es sollten nicht allzu exotische Bezeichnungen gewählt werden, "Datenschutz" oder "Datenschutzerklärung" klingt zugegebenermaßen etwas langweilig, erfüllt aber seinen Zweck. Inhaltlich sollten jedenfalls folgende Themen enthalten sein:

  • Grundsatz (Einhaltung der Datenschutzvorschriften)Datenerhebung (Erhebung von Bestandsund / oder Nutzungsdaten)
  • Datenübermittlung (zum Zweck der Vertragsabwicklung oder zu Werbezwecken)
  • Datenverarbeitung (Logfiles, Analyse- & Tracking-Tools, Cookies)
  • Auskunftsrecht (jederzeit, kostenfrei)
  • Ansprechpartner

Die genaue Formulierung der jeweiligen Datenschutzerklärung hängt vom Einzelfall ab und lässt sich so pauschal nicht vorgeben.Bestimmte Unternehmen benötigen darüber hinaus auch noch einen Datenschutzbeauftragten, zu dem sie einen eigenen Mitarbeiter oder einen Externen bestellen können. Die Pflicht zur Bestellung eines Beauftragten für den Datenschutz hängt von verschiedenen Kriterien ab, unter anderem von der Anzahl der mit der Datenverarbeitung beschäftigten Mitarbeiter sowie von der Art der verarbeiteten Daten.Als Datenschutzbeauftragter kann prinzipiell jeder bestellt werden, der zuverlässig und mit dem notwendigen Fachwissen ausgestattet ist. Allerdings bestehen etwa bei Mitgliedern der Unternehmensführung oder Firmeninhabern, Personalverantwortlichen oder auch EDV-/IT-Administratoren potenzielle Interessenskonflikte, sodass diese nicht für die Bestellung infrage kommen. Zur Beantwortung der Fragen rund um den Datenschutzbeauftragten bedarf es einer einzelfallbezogenen Abklärung durch den Fachmann.Darüber hinaus müssen selbstverständlich auch an anderen Stellen Datenschutzbelange Beachtung finden. Dabei sind grundsätzlich ausdrückliche Hinweise notwendig. Soweit Nutzer in speziellen Situationen in die Weiterverwendung ihrer persönlichen Daten auch noch zusätzlich ausdrücklich ihre Einwilligung erklären müssen, so darf dies nicht versteckt etwa im Rahmen von Allgemeinen Geschäftsbedingungen erfolgen. Dies hat jedenfalls das Landgericht Magdeburg in seinem Urteil vom 18. August 2010 (Aktenzeichen: 7 O 456/10) so entschieden.

Somebody likes it

Er ist inzwischen von den meisten Webseiten nicht mehr wegzudenken - der "Like"- Button des sozialen Netzwerks Facebook. Mit dessen Hilfe lassen sich die betreffenden Inhalte mit nur einem Mausklick ganz simpel mit einem Facebook-Profil verknüpfen und dadurch wiederum mit anderen über dieses Medium teilen.Dabei wird eine Verbindung zwischen dem betreffenden Inhalt und der Facebook-Seite dergestalt geschaffen, dass ein laufender Datenaustausch mit dem beliebten Sozial- Netzwerk stattfindet. Und dazu ist es natürlich unerlässlich, dass auch personenbezogene Daten verarbeitet werden. Die datenschutzrechtliche Einordnung dieses Vorgangs wird in Deutschland alles andere als einheitlich beurteilt, es existiert dazu auch noch kein obergerichtliches Urteil oder gar eine herrschende Ansicht.Aufgrund der Vielzahl an persönlichen Daten, die bei Facebook eingestellt werden und zum Teil von jedermann auch ohne Facebook-Account eingesehen werden können, ist hier besonders viel Fingerspitzengefühl gefragt. Die Stammdaten, der Freundeskreis, die Postings oder eben die "Gefällt mir"-Verknüpfungen - das sind alles datenschutzkritische Punkte, die eine genaue Abwägung zwischen Nutzen und Gefahren von Facebook-Seiten und -verknüpfungen erforderlich machen.Da es ebenso viele gute Argumente für das Erfordernis einer zusätzlichen Einwilligung des jeweiligen Nutzers zur Verwendung des Facebook-Like-Buttons und der damit verbundenen Datenübertragung wie dagegen gibt, kann Website-Betreibern derzeit nur geraten werden, zumindest ihre Datenschutzerklärung anzupassen und einen entsprechenden Hinweis auf den "Like"- Button einzubinden.

Google Analytics

Hinsichtlich der IP-Adresse ist nach wie vor nicht abschließend geklärt, ob es sich dabei um ein personenbezogenes Datum handelt. Die überwiegende Meinung in Rechtsprechung und Schrifttum geht jedoch davon aus, dass dem so ist. Das hat zur Konsequenz, dass IP-Adressen etwa mittels Google Analytics & Co. nicht mehr ohne vorherige Einwilligung des Betreffenden gespeichert und weiterverarbeitet werden dürfen. Das ist auf Internetseiten natürlich nur sehr schwer bis gar nicht in der Praxis umzusetzen.Inzwischen hat Google reagiert, um sich von den Konkurrenten etracker & Co. nicht den Rang ablaufen zu lassen. Es gibt inzwischen die Möglichkeit, den Code von Google Analytics so zu modifizieren, dass die IP-Adressen zwar noch ermittelt werden, allerdings nicht mehr vollständig.Nach der Code-Modifikation mittels "anonymize IP" werden bei den IP-Adressen die letzten 8 Bit gelöscht. Das hat zur Folge, dass die Funktionen von Google Analytics nach wie vor nutzbar bleiben, allerdings eine Identifikation des jeweiligen Nutzers nicht mehr möglich ist. Mitbewerber etracker bietet bereits seit Mitte 2009 datenschutzkonforme Analyse-Software, die Freeware Piwik bietet ebenfalls umfangreiche Einstell-Möglichkeiten, um keine kompletten IP-Adressen zu verarbeiten.

Voice-over-IP

Zunehmend setzen nicht nur Privatanwender, sondern auch Unternehmen auf den Einsatz von Voice-over-IP. Diese Technik ermöglicht neben Komfort-Funktionen, wie etwa Video-Konferenz, Übermittlung von Bildschirminhalten oder auch Versand von Dateien, auch die Senkung der Telekommunikationskosten.

www.bfdi.bund.de/bfdi_wiki/index.php/Hauptseite www.rechtssicher.info/Gesetze.601.0.html www.rechtssicher.info/Urteile.599.0.html www.rechtssicher.info/Infos.602.0.html www.ra-rohrlich.de

Allerdings ergeben sich auch hierbei zusätzliche Aspekte, die Datenschützern Kopfzerbrechen bereiten und die nicht zuletzt deswegen auch von den Verwendern beachtet werden müssen.So kann es unter Umständen sein, dass Arbeitgeber, die ihren Angestellten beispielsweise den Einsatz von Skype gestatten, als sogenannte Diensteanbieter nach dem Telekommunikationsgesetz (TKG) einzustufen sind. Die sich daraus ergebende Konsequenz ist, dass dem Arbeitgeber in einem solchen Fall erweiterte Hinweis- und Aufklärungspflichten obliegen und dass er seine Voice-over-IP-Dienste stets technisch auf dem aktuellen Stand halten muss, insbesondere in Bezug auf die Verschlüsselung der Datenübertragung.Erlaubt oder duldet also ein Unternehmen die private Nutzung von IP-Telefonie, aber auch E-Mail oder Internetzugang, so hat es neben den normalen datenschutzrechtlichen Vorgaben auch die des TKG zu befolgen. Daher hat es gemäß den gesetzlichen Vorgaben "bei Vertragsschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten.Dabei sind die Teilnehmer auch auf die zulässigen Wahl- und Gestaltungsmöglichkeiten hinzuweisen. Die Nutzer sind vom Diensteanbieter durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten". Das Auskunftsrecht nach dem Bundesdatenschutzgesetz (BDSG) bleibt davon ausdrücklich unberührt, das heißt, es findet ebenfalls Anwendung.Darüber hinaus müssen Diensteanbieter "in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und, wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahme liegt, über mögliche Abhilfen, einschließlich der für sie voraussichtlich entstehenden Kosten" unterrichten.Über das Erfordernis gemäß BDSG hinaus, alle technischen und organisatorischen Maßnahmen für die gesetzeskonforme Datenerhebung / -verarbeitung zu treffen, schreibt das TKG vor, dass der Diensteanbieter zudem technische und sonstige Vorkehrungen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten sowie der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen hat.Somit besteht gleichermaßen die Verpflichtung, sich nicht nur datenschutzrechtlich, sondern auch technisch stets up to date zu halten bzw. halten zu lassen. Insbesondere in puncto Verschlüsselung ist Aktualität gefordert, da dieser Bereich äußerst dynamisch ist und bisher als sicher eingestufte Verfahren morgen schon veraltet, sprich: unsicher sein können.Den Vorteilen gegenüber auf der Waagschale befinden sich direkt die diversen Nachteile, die moderne Techniken nun einmal mit sich bringen, da bildet Voice-over-IP keine Ausnahme. Hier gilt es zusammen mit IT-Administrator und Datenschutz-Fachmann genau abzuwägen, welche Verfahren und welche Voraussetzungen zum Einsatz kommen sollen.

Mehr zum Thema

Youtube Sperre umgehen GEMA
Videos freischalten

So umgehen Sie die GEMA-Sperre bei Youtube. Was Sie dazu brauchen, und wie es am einfachsten geht.
Neue Fritzboxen unterstützen den AC-Standard.
WLAN-Geschwindigkeit verdoppeln

Mehr WLAN-Geschwindigkeit: Mit dem WLAN-Standard 802.11ac und den richtigen Geräten und Einstellungen verdoppeln Sie den Datendurchsatz.
Netflix auf dem TV
Programm in der Übersicht

Welche Filme und Serien gibt es bei Netflix eigentlich zu sehen? Was ist neu im Streaming-Angebot? Diese Antworten helfen weiter.
Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
Film Amazon Prime Instant Video Warner Bros Emily Browning
Vorschau auf Film- und Serien-Highlights

Prime Instant Video lockt im Oktober mit Highlights wie "Sucker Punch", "Fifty Shades of Grey", "Spotlight" und der zweiten Staffel von "Ash vs. Evil…