Tag Archives: Nutzungsbedingungen

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar

Bußgeldbescheid der CNIL gegen Google: Wann gilt das EU-Datenschutzrecht?

Die französische Datenschutzaufsichtsbehörde CNIL hat vor einigen Tagen gegen Google Inc. wegen Datenschutzvergehen ein Bußgeld von 150.000 Euro verhängt.
Die Sanktion richtet sich gegen die von Google im Frühjahr geänderten Nutzungs- und Datenschutzbedingungen, die nach Auffassung der Behörde gegen europäisches und französisches Datenschutzrecht verstößt. Dabei geht es im Wesentlichen um den Umfang und die Dauer der Speicherung, die Verknüpfung von Daten aus unterschiedlichen, vom Unternehmen angebotenen Diensten und um die unzureichenden Möglichkeiten der Nutzer, ihre Datenschutzrechte geltend zu machen.
Bemerkenswert an diesem Vorgehen ist nicht nur, dass sich eine nationale Datenschutzbehörde mit einem global agierenden Konzern anlegt – dies gehört zu ihren Aufgaben, wenn sie Verstöße feststellt. Von besonderer Bedeutung ist aber, dass die CNIL – in enger Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten (in Deutschland ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beteiligt) – hiermit den Präzedenzfall schafft, dass das europäische Datenschutzrecht auch dann gilt, wenn ein Unternehmen, das seine Dienste aus einem Drittstaat – hier aus den Vereinigten Staaten – erbringt und dabei personenbezogene Daten europäischer Nutzerinnen und Nutzer verarbeitet.
Google beruft sich darauf, dass die Datenverarbeitung nicht im Verantwortungsbereich einer europäische Niederlassung stattfindet, sondern allein durch die kalifornische Muttergesellschaft. Dementsprechend sei das EU-Datenschutzrecht nicht einschlägig. Dagegen geht die CNIL davon aus, dass das französische Datenschutzgesetz gilt, weil Google Daten französischer Internetnutzer verarbeitet.
Gemäß Art. 4 der EG-Datenschutzrichtlinie ist das Datenschutzrecht der Mitgliedstaaten dann anzuwenden, wenn die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung erfolgt, die sich in dessen Hoheitsgebiet befindet.  Dasselbe gilt, wenn zum Zwecke der Verarbeitung personenbezogener Daten auf „Mittel“ zurückgegriffen wird, die sich in dem Hoheitsgebiet des Mitgliedstaats befinden.
Diese Vorgabe wurde in den Mitgliedstaaten unterschiedlich umgesetzt. Während   Art. 5 Abs. 2 des französischen Datenschutzgesetzes sich eng an den Wortlaut der Richtlinie hält,  sind die Anwendungsregeln des deutschen Rechts allgemeiner gehalten. Gemäß § 1 Abs. 5 Satz 2 BDSG ist das Gesetz stets auch dann anwendbar, wenn  eine in einem Drittsaat ansässige Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Das BDSG fordert in diesem Zusammenhang nicht die Verwendung von technischen Mitteln, die in Deutschland lokalisiert sind.
Im vorliegenden Fall kann die CNIL die Anwendbarkeit des französischen bzw. europäischen Datenschutzrechts damit begründen, dass Google zur Personalisierung seiner Angebote auf Cookies zurückgreift, die auf den Computern der Nutzer gespeichert werden.
Dies ist im Ergebnis zu begrüßen. Denn es wäre nicht einzusehen, dass im Internet auf Grund des Territorialprinzips der Schutz personenbezogener Daten europäischer Nutzerinnen und Nutzer generell nicht gegeben wäre, wenn ein Dienst aus einem Drittstaat wie den USA erbracht wird.
Andererseits ist die Anknüpfung an technische „Mittel“, wie sie die EG-Richtlinie vornimmt, angesichts der zunehmenden Entörtlichung der Informationsverarbeitung kein geeignetes Abgrenzungskriterium mehr. Denn was geschieht, wenn ein Dienst keine Cookies oder andere Identifikationsmerkmale auf den Computern der Nutzer platziert? Und wie steht es mit Cloud-Diensten, die auf Offshore-Servern betrieben werden, bei denen sich die Nutzer mit einer User-ID und einem Passwort anmelden? Soll in diesen Fällen der Schutz des europäischen Rechts wegfallen? Soll etwa die von Google angekündigte Umstellung seines Nutzer-Identifikationsverfahrens auf ein cookie-loses System dafür ausschlaggebend sein, ob sich das Unternehmen an europäisches Recht zu halten hat oder nicht?
Gerade weil IT-Dienste zunehmend global, unabhängig vom Ort der Datenverarbeitung erbracht werden, muss der Schutzanspruch des europäischen und nationalen Datenschutzrechts stets dann gewährleistet sein, wenn Daten im europäischen Rechtsraum erhoben werden. Immer wenn Internet-Dienste sich an Nutze innerhalb der EU wenden und dabei personenbezogene Daten verarbeiten, müssen sie sich an europäisches Recht zu halten haben – unabhängig vom Ort der Niederlassung oder vom Standort irgendwelcher technischen Einrichtungen.
Deshalb ist zu hoffen, dass die heiß diskutierte EU-Datenschutzgrundverordnung endlich beschlossen wird, die genau dieses „Marktortprinzip“ unmissverständlich festschreibt. Die Verordnung ist nach  Art. 3 Abs. 2 lit.a des Kommissions-Entwurfs immer dann anzuwenden, wenn die Verarbeitung personenbezogener Daten „dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten“.
Ihr
Peter Schaar