Suchen

Kommentar zu Facebook aus Sicht eines Datenschützers Datenschutzaufsicht: letzte Warnung für Unternehmen, die Facebook nutzen (?)

| Redakteur: Natalie Wander

Die Aufsichtsbehörde für den Datenschutz in Schleswig-Holstein hat ein Gutachten zu Facebooks „Gefällt Mir“- Buttons, Fanpages und statistischen Auswertungen veröffentlicht. Für Wirbel sorgte eine entsprechende Erklärung der Behörde.

Firma zum Thema

Die Problematik der Facebook-Reichweitenanalyse aus Sicht der Datenschützer.
Die Problematik der Facebook-Reichweitenanalyse aus Sicht der Datenschützer.
(Bild: Facebook)

Die Reaktionen und Kommentare der Erklärung mit dem Titel „ULD an Webseitenbetreiber: ‚Facebook-Reichweitenanalyse abschalten’“ zeigen, dass wir Datenschützer noch Einiges zu erklären haben – Aufgabe angenommen. Das Gutachten zeigt uns, den Unternehmen, Datenschutzbeauftragten und -beratern, zwischen den Zeilen aber auch den Lösungsweg. Mit dem herkömmlichen Einsatz der „Gefällt Mir“- Buttons verstoßen Unternehmen bisher wohl gegen deutsches und europäisches Datenschutzrecht, ebenso mit den Facebook-Fanpages und anderen Social Plug-Ins. Die Aufsichtsbehörde hat angekündigt, auf Grundlage ihres Gutachtens ab Oktober 2011 formelle Verwaltungsverfahren einleiten zu wollen.

Das Risiko

Bevor wir tiefer ins Thema einsteigen: Betrifft Sie das überhaupt? Wer trägt welches Risiko? In einem Satz: Sitzt Ihr Unternehmen in Deutschland, tragen Sie ein nicht genau kalkulierbares Risiko. Die oben genannte Erklärung betrifft direkt nur Unternehmen mit Sitz in Schleswig-Holstein. Unternehmen mit besonderem Bekanntheitsgrad haben dort als erste mit entsprechenden Verfahren der Behörde zu rechnen, wie nachträglich erklärt wurde. Damit lässt sich arbeiten. Weniger konkret und drastisch kündigt die Behörde in Rheinland-Pfalz an, auf die Beseitigung dieser Datenschutzverstöße hinzuwirken. Aus Niedersachsen sind erste Reaktionen bekannt, die wohl auf unveröffentlichte Hinweise der dortigen Aufsichtsbehörde zurückgehen.

Unkalkulierbar wird das Risiko durch die Möglichkeit jedes Besuchers einer Webseite, „Anfragen“ an die Aufsichtsbehörde zu stellen. Ein so eingeleiteter Behördenvorgang muss untersucht und beantwortet werden. Die Besucher einer Webseite wird man sich kaum aussuchen können. Mit zunehmend datenschutzsensiblen Besuchern, aber auch mit Mitbewerbern und sonst nicht freundlich gesinnten Besuchern muss man rechnen.

Wo wir gerade bei Mitbewerbern sind: Ob ein solcher Datenschutzverstoß einen Wettbewerbsverstoß darstellt, ist umstritten. Liegt ein Wettbewerbsverstoß vor, ist der Weg in juristische Scharmützel mit Abmahnungen, einstweiligen Verfügungen und ähnlichem bereitet. Ein häufig zitiertes Urteil dazu vom KG Berlin erkennt keinen Wettbewerbsverstoß. Allerdings ist in dieser Entscheidung die Reichweitenanalyse, also die Erfolgsmessung des Facebook-Engagements, nicht behandelt worden. Ob diese Funktionalität im wettbewerbsrechtlichen Sinn einen Wettbewerbsvorteil darstellt, den das Gericht im entschiedenen Sachverhalt gerade nicht erkennen konnte, wird früher oder später sicher entschieden.

Tracking – Facebook Insights

Ein Risiko besteht. Bleiben wir bei der Reichweitenanalyse. Mit diesem Instrument kann man den Erfolg von Maßnahmen im Facebook-Umfeld messen und visualisieren, ähnlich dem Webtracking für Ihre Webseite. Die Statistik wird über Webseiten dargestellt, die mindestens 30 Personen dokumentiert gefällt. Grundvoraussetzung ist also, dass ein Plug-In wie der „Gefällt mir“-Button auf der Unternehmenswebseite eingebunden wurde. Die Statistik für die Unternehmensseite berücksichtigt nach meinem Verständnis aber nur Daten authentifizierter Facebook-Nutzer, Facebook erfasst nicht alle Webseitenbesucher. Und genau da liegt ein Problem: Der Besucher der Webseite kann nicht erkennen, ob sein Verhalten zu statistischen Zwecken erfasst wird oder nicht.

Lassen Sie uns zwei Schritte zurückgehen: Unternehmen sind für Informationen verantwortlich, die sie erheben oder nutzen. Webseiten produzieren in unterschiedlicher Gestalt Informationen mit Personenbezug. Bindet ein Unternehmen nun Produkte und Leistungen Dritter in seine Seite ein, beispielsweise Skripte oder Werbung, trägt es die Verantwortung für diese technischen Abläufe mit. Das Unternehmen ist verantwortlich dafür, dass die Erhebung der Informationen mit Personenbezug erlaubt ist, eine eventuelle Übertragung an einen Dritten erlaubt ist und das Ganze für den Besucher der Seite nachvollziehbar erklärt wird.

Einwilligung

Darf man Informationen für das Tracking von Facebook-Maßnahmen erheben? Man darf, wenn der Webseitenbesucher einwilligt. Willigt ein Besucher nicht ein, dürfen seine Informationen nicht einfließen. Soweit die guten Nachrichten. Der Besucher muss seine Einwilligungserklärung jederzeit einsehen und sie (mit Wirkung für die Zukunft) widerrufen können.

Lassen Sie uns das am praktischen Beispiel durchgehen: Eine Facebook-Fanpage ist für den normalen Webseitenbesucher als solche nicht zwingend erkennbar. Durch Aufruf einer entsprechenden Webseite werden über eingebundene Skripte die für die Statistik erforderlichen Informationen erhoben. Die Skripte können dabei nur verwertbare Informationen erheben, wenn der Besucher Facebook-Nutzer ist oder auf andere Weise einen Cookie von Facebook gespeichert hat. Nichts anderes gilt für Webseiten, die den „Gefällt Mir“-Button oder andere Plug-Ins verwenden.

Die Einwilligungen, die der Webseitenbesucher diesbezüglich bei Facebook abgegeben hat, helfen dem Unternehmen auf seiner Webseite leider kaum weiter. Sie liegen dem Unternehmen nicht vor und sind für Zwecke des Unternehmens zu wenig konkret. Der Webseitenbetreiber müsste also eine wirksame Einwilligung des Besuchers verlangen, bevor die Skripte ihre Arbeit aufnehmen. Damit übergebe ich an die Webadministratoren und -designer. Die Einwilligungserklärung muss protokolliert und zum späteren Abruf bereitgehalten werden. Die Einwilligung muss vor allem die Übertragung der Informationen an Facebook umfassen und den Zweck erklären.

Fazit

Die wirksame Einwilligungserklärung ist ein erster Schritt zur Kontrolle des Datenschutzrisikos. Weitere Schritte müssen folgen. Der hiesige Beitrag stellt die Problematik stark verkürzt dar, um einen Einstieg in das Thema zu bieten. Einige wichtige Aspekte fehlen im Interesse der Lesbarkeit. Im Augenblick kündigen sich bei Facebook Änderungen an, und auch aus anderen Richtungen kommen Diskussionsbeiträge. Die Planung und Darstellung der nächsten Schritte erscheint daher für den Augenblick etwas unwägbar. Zu einer umfassenderen Darstellung, Beobachtung der Entwicklung und Umsetzung für Ihr Einsatzszenario steht Ihr Datenschutzbeauftragter sicher bereit.

Autor des Beitrags: Lars Marten Kripko. Er ist Datenschutzbeauftragter (TÜV) und berät somit Unternehmen zum Thema Datenschutz. Zudem verantwortet er den Bereich Datenschutz bei der Bitkom Servicegesellschaft, einer Tochtergesellschaft des BITKOM e.V.. Unter der Marke Bitkom Consult finden sich die angrenzenden Beratungsfelder Arbeitsrecht und Vergaberecht vereint.

(ID:38294410)