Viele Onlinehändler hat die Ankündigung beunruhigt: Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig Holstein forderte in einer Pressemitteilung vom 19.08.2011 alle öffentlichen und nicht öffentlichen Stellen des Landes Schleswig-Holstein auf, ihre Fanpages/Seiten bei Facebook sowie die Plugins wie den „Gefällt mir“- oder „Senden“-Button von Ihren Webseiten zu entfernen. Sofern dies nicht bis Ende September geschieht, droht das ULD den Erlass von Untersagungsverfügungen und Bußgeldbescheiden an.

Onlinehändlern stellen sich nun - auch außerhalb Schleswig-Holsteins - vermehrt die folgenden Fragen:

1.     Wie begründet das ULD sein Vorgehen?
2.     Wie ist der rechtliche Hintergrund?
3.     Wieso will das ULD gegen die Webseitenbetreiber vorgehen und nicht direkt gegen Facebook?
4.     Ist die Drohung mit Bußgeldern ein ernst zu nehmendes Problem?
5.     Sind auch Unternehmen mit Sitz außerhalb Schleswig-Holsteins betroffen?
6.     Was tun?

1. Wie begründet das ULD sein Vorgehen?
Das ULD begründet sein Vorgehen damit, dass viele der angebotenen Facebook-Dienste mit dem Telemediengesetz (TMG) und dem Bundesdatenschutzgesetz (BDSG) nicht vereinbar seien. In der Pressemitteilung des ULD wird zur Begründung angeführt:

„...Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht....“

2. Wie ist der rechtliche Hintergrund?
Facebook selber informiert darüber, welche Daten erhoben werden, wenn eine Seite mit dem Gefällt-mir-Button besucht wird, folgendermaßen:

„Wenn ich eine Webseite aufrufe, die soziale Plug-Ins verwendet, ich aber nicht damit interagiere - werden dann Informationen über mich geteilt?
Nein. Wenn du ein soziales Plug-In auf einer anderen Webseite nur ansiehst, ist das wie ein Fenster zu Facebook. Es wird vielleicht personalisiert dargestellt, doch keine deiner Informationen (dein Name oder deine Profildaten, was dir gefällt, wer deine Freunde sind, was denen gefällt, was sie empfehlen) werden geteilt. Gleichermaßen werden keine persönlichen Daten über deine Aktionen Werbekunden zur Verfügung gestellt.

Welche Informationen erhält Facebook über mich, wenn ich eine Webseite mit einem sozialen Plug-In von Facebook besuche?
Wenn du eine Partnerseite besuchst, dann sieht Facebook das Datum und die Uhrzeit deines Besuchs, die Webseite, auf der du dich befindest (die URL) sowie weitere technische Informationen über die IP-Adresse, den Browser und das von dir verwendete Betriebssystem. Dies sind branchenübliche Daten, mit denen wir dein Erlebnis optimieren können, je nachdem welchen Browser du verwendest und ob du bei Facebook angemeldet bist oder nicht.

Wenn du mithilfe eines sozialen Plug-ins eine Webseite besuchst, erhalten wir ebenfalls nur eine begrenzte Menge von Daten. (...) Wir speichern diese Daten für einen Zeitraum von 90 Tagen. Danach kombinieren wir diese Daten mit den Daten anderer Personen in einer Art und Weise, die keinen Rückschluss auf dich persönlich zulässt.

Facebook informiert seine Nutzer also darüber, welche Daten erhoben und verwendet werden.

Problematisch ist jedoch, dass es aus deutscher Sicht bislang keine abschließende und insbesondere einheitliche rechtliche Bewertung dieser Vorgänge gibt.

So ist zum einen nach wie vor ungeklärt, ob es sich bei den IP-Adressen überhaupt um „personenbezogene Daten“ im Sinne des BDSG handelt. Nur wenn die IP- Adressen auch tatsächlich solche personenbezogenen Daten im Sinne des BDSG sind, bedarf es der vorherigen ausdrücklichen Einwilligung der Nutzer zu deren Erhebung, Speicherung und weiteren Verwendung.

Die deutschen Gerichte haben diese Frage bisher unterschiedlich beurteilt, eine gesicherte Rechtslage existiert derzeit nicht, tendenziell wird man wohl davon ausgehen müssen, dass es sich bei der IP-Adresse um personenbezogene Daten handelt.

Zum andern ist nicht abschließend geklärt, wer den maßgeblichen Verstoß gegen das deutsche TMG bzw. BDSG (so denn einer vorliegt) begeht - Facebook (mit Sitz in Kalifornien/ Irland) oder der norddeutsche Webseitenbetreiber, der das Gefällt-mir-PlugIn auf seiner Seite eingebunden hat?

Die Fachmeinung dazu ist unterschiedlich.

Nach unserer Auffassung müsste der Webseitenbetreiber die Nutzerdaten selber erheben und verwenden, um gegen die Vorgaben aus TMG und BDSG zu verstoßen und damit der richtige Adressat einer Abmahnung oder eines Bußgeldbescheides zu sein. Daran fehlt es aber, wenn der Webseitenbetreiber lediglich Daten an Facebook weiterleitet, ohne diese selber zu verwenden bzw. Facebook mit der Einbindung eines PlugIns lediglich Raum auf der Webseite zur Verfügung stellt.

Dem entgegen vermerkt das Kammergericht Berlin (Beschluss vom 29.04.2011, AZ.: 5 W 88/11)

es spräche
„einiges dafür, den Antragsgegner (d.h. den Seitenbetreiber/Händler; Anm. d. Red.) als denjenigen anzusehen, der die Daten erhebt.“

Weitere gerichtliche Entscheidungen hierzu fehlen.

3. Warum geht das ULD gegen deutsche Webseitenbetreiber vor und nicht direkt gegen Facebook?
Dazu sei zunächst folgendes erwähnt: Die Facebook Inc. hat Sitze in den USA und Irland, nicht jedoch in Deutschland. Es ist daher bereits höchst zweifelhaft, ob sie dem deutschen Recht und damit der Zuständigkeit der deutschen Aufsichtsbehörden unterliegen. Eine derartige Diskussion wird jedoch kaum geführt.

Aus 2 Gründen werden daher den Händlern Bußgelder und Untersagungsverfügungen derzeit in Aussicht gestellt:

  • Zum einen wegen des Verstoßes gegen die Informationspflichten aus § 13 TMG, wenn der Webseitenbetreiber die Seitenbesucher über die Verwendung der PlugIns nicht ausreichend informiert. Nach § 13 TMG müssen die Händler Ihre Seitenbesucher nämlich über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU unterrichten. Diese Verpflichtung trifft die Webseitenbetreiber direkt.
  • Zum anderen wird die Ansicht vertreten, dass der Händler selbst - und nicht Facebook - die Daten der Seitenbesucher erhebt, wenn er die PlugIns nutzt. Die Vertreter dieser Auffassung versuchen daher, direkt gegen die Webseitenbetreiber vorzugehen und nicht gegen die entfernt sitzende Facebook Inc.

4. Ist die Drohung mit Bußgeldern ein ernst zu nehmendes Problem?
Es ist bereits fraglich, ob das ULD überhaupt im konkreten Fall für die Verhängung von Bußgeldern zuständig ist und nicht die Medienanstalt Hamburg/Schleswig-Holstein.

Dafür spricht nach Diskussion in Fachkreisen einiges. Gleichwohl ist die Drohung ernst zu nehmen. Wir raten trotzdem zunächst zur Ruhe.

In der Ankündigung wird Ende September als Beginn des behördlichen Aktivwerdens genannt - es muss also nicht übereilt reagiert werden,  die (auf allen Ebenen) entbrannte Diskussion sollte abgewartet werden.

Wenn tatsächlich Bußgeldbescheide zugestellt werden sollten, empfehlen wir hiergegen Einspruch einzulegen. Die oben aufgeführten Fragen müssten dann auf dem Verfahrensweg geklärt werden.

5. Sind auch Unternehmen mit Sitz außerhalb Schleswig-Holsteins betroffen?
Die gesetzlichen Grundlagen, also das TMG und BDSG gelten für das gesamte Bundesgebiet.

Die Einhaltung der Vorschriften wird allerdings in den einzelnen Bundesländern durch den jeweiligen Landesdatenschutzbeauftragen überprüft.

Das ULD hat in diesem Zusammenhang angekündigt, eine weitergehende datenschutzrechtliche Analyse von Facebook-Anwendungen in Kooperation mit den anderen Aufsichtsbehörden vorzunehmen.

Betroffen sind daher zunächst einmal vorrangig Händler mit Sitz in Schleswig-Holstein. Aber es kann nicht ausgeschlossen werden, dass Händler aus anderen Bundesländern ebenso die angedrohten Konsequenzen treffen. 

6. Was tun?
Sie sollten überprüfen, ob Ihre Datenschutzerklärung aktuell ist. Insbesondere muss Ihre Datenschutzerklärung einen Hinweis auf die Verwendung von Facebook-PlugIns enthalten. Wir empfehlen einen entsprechenden Hinweistext, den wir Ihnen unter folgendem Link zur Verfügung stellen: https://www.haendlerbund.de/hinweisblaetter/finish/1-hinweisblaetter/44-facebook-ilike-button

Wir halten es für sinnvoll, erst die weiteren Entwicklungen in dieser Sache abzuwarten, bevor Unternehmensseiten und Fanpages deaktiviert oder die Nutzung des Gefällt-mir-PlugIn ausgesetzt werden. Lassen Sie sich von uns auf dem Laufenden halten.

Es ist aus unserer Sicht mehr als problematisch, offene Rechtsfragen, deren Klärung bundeseinheitlich nicht gelingt, im Wege der „Kleinstaaterei“ in einzelnen Bundesländern auf dem Rücken deutscher Unternehmer auszutragen.
Wir werden daher im Rahmen unserer Möglichkeiten zur Klärung beitragen und unsere Mitglieder unterstützen. Über die neuesten Entwicklungen informieren wir Sie.