DatenschĂĽtzer und Facebook-Manager prallen im Bundestag aufeinander
Abgeordnete nahmen bei einer Anhörung im Parlament den Leiter Politik bei Facebook in Europa, Richard Allan, in die Mangel. Datenschutzbeauftragte sehen das soziale Netzwerk unter "massivem Handlungsdruck".
Bundestagsabgeordnete haben bei einer Anhörung (PDF-Datei) im Bundestag am Montag den Facebook-Manager Richard Allan in die Mangel genommen. Der CDU-Netzpolitiker Thomas Jarzombek beschwerte sich, dass der globale Konzern in Berlin keinen echten Ansprechpartner für die Politik habe. Der Grüne Konstantin von Notz legte dem Betreiber nahe, sich an deutsches Recht zu halten.
Thilo Weichert, Leiter des Unabhängigen Datenschutzzentrums Schleswig-Holstein (ULD), sieht das soziale Netzwerk unter "massivem Handlungsdruck". Die aufgrund einer Reihe von Beschwerden unternommene eigene technische Analyse der Datenverarbeitung von Fanpages und Social Plugins von Facebook habe eindeutig ergeben, dass diese nicht mit deutschem und europäischen Datenschutzauflagen vereinbar seien. Dies führe zu einer Wettbewerbsverzerrung. "Im November werden wir entsprechende Sanktionen anwenden", kündigte der Datenschutzbeauftragte an. Das ULD werde aber keine Bußgelder verhängen, sondern eine verwaltungsgerichtliche Klärung anstreben. Die bisherigen Gespräche mit Facebook seien "freundlich, aber bislang ergebnislos" verlaufen.
Der Datenschützer räumte angesichts von Kritik an seiner Rechtseinschätzung ein, dass das ULD die Datenverarbeitung der Kalifornier nicht direkt untersuchen konnte: "Wir mussten uns auf Mutmaßungen verlassen." Diese seien von Facebook aber bestätigt worden. Es gehe vor allem um den Schutz von Nicht-Mitgliedern. Hier müsse ein Cookie, das zwei Jahre lang aufbewahrt werde, Funktionen jenseits von Sicherheitszwecken erfüllen. Zudem missachte der Konzern die Maßgabe der E-Privacy-Richtlinie, wonach entsprechende Web-Dateien nur "per Opt-in" auf den Rechner von Nutzer gekrümelt werden dürften. Das Telemediengesetz erlaube eine Profilbildung zudem nur in pseudonymisierter Form und auch das ebenfall nur, wenn eine Einwilligung vorliege. Die Datenübermittlung in die USA sei schließlich nicht durch das "Safe Harbor"-Abkommen gerechtfertigt.
Weichert empfahl dem Gesetzgeber daher, aktiv zu werden und Rechtssicherheit bei der Nutzung von Daten in sozialen Gemeinschaften zu schaffen. Eine entsprechende Regelung würde ihm zufolge in der EU "mit Begeisterung aufgenommen". Eine Selbstregulierung, wie sie das Bundesinnenministerium anpeilt, mache nur ergänzend Sinn. Das Innenressort habe damit aber überhaupt nichts zu tun, da Selbstkontrollmaßnahmen die Datenschutzaufsichtsbehörden zustimmen müssten. Einer Insellösung für schleswig-holsteinische Nutzer erteilte Weichert allerdings eine Absage.
Allan wehrte sich, dass es keinen Beweis für die Anschuldigungen aus Schleswig-Holstein gebe. Das Unternehmen führe die Nutzungsdaten nicht zu massiven personenbezogenen Profilen zusammen. Man unterliege der allgemeinen EU-Datenschutzrichtlinie. Zudem halte man sich an das irische Recht, da die europäische Konzernzentrale mit mehreren hundert Angestellten in Dublin angesiedelt sei. An Facebook gerichtete Anforderungen zur Sicherung der Privatsphäre der Nutzer würden nach und nach in die eigenen Produkte eingebaut, versicherte der Unternehmensvertreter. Der Konzern strebe zudem einen Selbstregulierungs-Kodex an.
Zur Frage der Speicherung von Verbindungs- und Nutzungsdaten stellte Allan klar, dass Facebook hier eine klare Unterscheidung zwischen Mitgliedern und Drittparteien mache. Die eigenen Nutzer hätten per Vertrag in die Datenverarbeitung eingewilligt. Sie verstünden auch von selbst, dass ihnen personenbezogene Informationen angezeigt würden, wenn sie auf eine Seite mit einem Social Plugin wie dem "Gefällt mir"-Knopf kämen. Bei Nicht-Mitgliedern sorge ein technischer Mechanismus dafür, dass allein generische IP-Adressen etwa für Deutschland aufbewahrt würden. Werbung erhielten Außenstehende auf Facebook-Seiten generell nicht serviert. Die rudimentären Logdateien seien wichtig für Sicherheitszwecke, betonte Allan. Der Konzern gehe damit etwa gegen die Anlage mehrere Profile durch einen Nutzer vor, um Betrug zu verhindern.
US-Anbieter stünden vor einer besonderen Herausforderung, erläuterte Per Meyerdierks, Datenschutzbeauftragter von Google Deutschland: "Sie bedienen eine globale Nutzerschaft auf einer Plattform." Diese müsse technisch einheitlich gestaltet sein und gleichzeitig verschiedene Rechtsordnungen berücksichtigen. Entscheidend seien dabei "Transparenz- und Kontrollmöglichkeiten". Beim hauseigenen neuen sozialen Netzwerk Google+ seien diese als zentraler Bestandteil von Anfang an berücksichtigt worden. Man erwäge, auch Pseudonyme bei dem Netzwerk zuzulassen. Einen Zeitraum für eine solche Entscheidung gebe es aber noch nicht.
Der Bundesdatenschutzbeauftragte Peter Schaar bezeichnete es als besonders wichtig, dass für eine Profilbildung die ausdrückliche Einwilligung des Betroffenen vorliege. Wer auf einer externen Webseite einen "Like"-Button anbringe, habe dafür die datenschutzrechtliche Verantwortung, schloss er sich im Kern der Einschätzung Weicherts an. Es sei daher auch Aufgabe der Kontrolleure, auf die Rechtskonformität entsprechender Dienste zu drängen. Bei Fanpages sei seine Behörde noch nicht zu einem endgültigen Ergebnis gekommen.
Generell sprach sich Schaar für Lösungen bei der automatischen Auswertung personenbezogener Daten auf Webseiten aus, die den Nutzern die Hoheit über die Datenverarbeitung geben. In dieser Hinsicht bezeichnete er den "2-Klick-Ansatz" des Heise Zeitschriften Verlags als "Fortschritt". Ob dieser allen rechtlichen Anforderungen entspreche, könne er aber noch nicht beurteilen. Allan gab dagegen zu bedenken, dass mit einem solchen Verfahren Webseiten zunächst für "tot" erklärt würden und viele Facebook-Funktionen verloren gingen. (vbr)