Datenschützer: Website-Betreiber sind für Social-Plugins verantwortlich

Der Düsseldorfer Kreis, zu dem sich die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich zusammengeschlossen haben, hat am Donnerstag einen weitreichenden Beschluss zu sozialen Netzwerken gefasst. Die Datenschützer machen darin deutlich, dass Anwender von Social Plugins selbst Verantwortung dafür tragen, dass Dritte dadurch nicht unzulässig ausgespäht werden.

Die Einbindung etwa des "Like"-Buttons von Facebook in Webseiten deutscher Anbieter sei ohne "hinreichende Information" der Nutzer über die Datenübertragung an den jeweiligen Betreiber (hier: Facebook) unzulässig, heißt es in dem Papier. Den Betroffenen müsse die Möglichkeit gegeben werden, den Transfer ihrer personenbezogenen Daten zu unterbinden. In Deutschland ansässige Unternehmen, die Social Plugins anbieten wollten, müssten Einverständniserklärungen ihrer Nutzer einholen. Wenn die über entsprechende Dienste verursachte Datenverarbeitung nicht zu überblicken sei, dürften sie "nicht ohne Weiteres in das eigene Angebot" eingebunden werden.

Die Datenschützer schließen sich damit weitgehend der umstrittenen Auffassung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) an. Dieses hatte Webseiten-Betreiber des nördlichen Bundeslandes im Sommer aufgefordert, ihre Fanpages bei Facebook und Social Plugins auf ihren Homepages zu entfernen. Die untersuchten Sachverhalte verstoßen nach Ansicht des ULD klar gegen geltendes Recht.

Der Düsseldorfer Kreis begrüßt Bemühungen der soziale Netzwerke, durch Selbstverpflichtungen den Datenschutz von Betroffenen zu verbessern. Eine Anerkennung durch die Aufsichtsbehörden würde dem Gremium zufolge die Gewähr dafür bieten, dass die Anforderungen des geltenden Datenschutzrechts erfüllt würden und mehr Sicherheit entstehe. Ungeachtet dessen müssten die Anbieter schon heute das Datenschutzrecht in Deutschland beachten, stellt das Gremium klar. Auch Betreiber, die außerhalb des europäischen Wirtschaftsraumes ansässig seien, unterlägen hinsichtlich der Daten von Betroffenen in Deutschland den hiesigen Schutzbestimmungen.

Facebook stellt sich bislang auf den Standpunkt, dass das deutsche Recht nicht zu beachten sei, da der Konzern seine Hauptniederlassung in der EU in Irland hat. Dem halten die Datenschützer laut Beschluss entgegen, dass die Anwendung des Bundesdatenschutzgesetzes nicht durch eine Niederlassung in einem anderen EU-Staat umgangen werden könne. Das Recht eines solchen dritten EU-Landes könne nur greifen, wenn das ganze soziale Netzwerk von diesem Sitz in Europa aus betrieben werde.

Die Anbieter von Social Networks müssen dem Düsseldorfer Kreis nach vor allem leicht zugänglich und verständlich darüber informieren, welche Daten erhoben und für welche Zwecke sie verarbeitet werden. Nur Transparenz gewährleiste das Recht auf informationelle Selbstbestimmung. Voreinstellungen seien möglichst datenschutzfreundlich zu halten. Ferner müssen Betroffene einen Anspruch auf Auskunft, Berichtigung und Löschung ihrer Daten geltend machen können. Die Verwertung von Fotos zur Gesichtserkennung sowie die Verwendung biometrischer Merkmale sei ohne ausdrückliche Einwilligung der Abgebildeten unzulässig. Die Datenschützer erinnern zudem daran, dass das Telemediengesetz zumindest pseudonyme Nutzungsmöglichkeiten erfordere. (vbr)