Hier nochmal die konkreten Schritte, die für einen datenschutzkonformen Einsatz erforderlich sind:

1. Erwähnung des Einsatzes von Google Analytics in der Datenschutzerklärung einer Webseite (unten ist der Text aufgeführt)
2. Implementierung der IP-Masken Funktion in den Webseitenquellcode, damit Google von Besuchern nicht die komplette IP-Adresse speichert und verarbeitet. Die Löschung erfolgt innerhalb Europas, so dass keine vollständige IP-Adresse in ein Drittland übermittelt wird.
3. Hinweis in der Datenschutzerklärung, dass per Add-on im Browser der Erfassung von Nutzungsdaten widersprochen werden kann. Das Add-on ist jetzt auch für Safari und Opera verfügbar, statt wie bisher nur für den Internet Explorer, Firefox und Google Chrome.
4. Regelung einer Auftragsdatenverarbeitung mit Google zur Nutzung des Analysedienstes.

Hinweis in der Datenschutzerklärung für den Einsatz von Google Analytics

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP- Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren [Link hier einfügen. Der aktuelle Link ist http://tools.google.com/dlpage/gaoptout?hl=de].

Verwendete Quellen:

BayLDA überprüft bei 13.404 Homepages den datenschutzkonformen Einsatz eines Auswertungsprogramms zur Nutzung der Homepage, Bayerisches Landesamt für Datenschutzaufsicht, http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2012/pm005.html

• Anstieg von Angriffen gegen eine Vielzahl von Usern, insbesondere auf Privatdaten wie z.B. das Sony Playstation Netzwerk und Cloud Konzepte
• Traditionelle Angriffe mit verseuchten Dateianhängen nehmen ab, Zunahme von Angriffen über Browser, Office Anwendungen und Multimedia Anwendungen
• Starker Anstieg von Angriffen im mobilen Bereich auf das Android Betriebssystem; Auftreten der ersten Würmer und Botnetze auf Androidsysteme
• Anstieg von Spionage von mobilen Endgeräten
• Anstieg von gefälschten Zertifikaten
• Zunehmende Angriffe gegen Hard- und Firmware anstatt der Betriebssystemsoftware
• Anstieg von Hacktivism, also politisch motiviertem Hacking

Die Gefahren im Detail…

Der Wettkampf zwischen Sicherheitsexperten und Cyberkriminellen geht 2012 in eine weitere Runde. Durch die allgemeine Datensammelwut vieler Unternehmen und der großen Bereitschaft von Privatverbrauchern diese in sozialen Netzwerken Preis zu geben,  haben sich für Cyberkriminelle attraktive Angriffsziele ergeben. Der erfolgreiche Angriff gegen das Sony Playstation Netzwerk im vergangenen Jahr gibt einen Vorgeschmack auf das, was uns 2012 drohen kann. Dieser Trend wird durch die zunehmende Verbreitung von Cloud Konzepten in unterschiedlichsten Bereichen verstärkt. Die Anbieter dieser Lösungen werden beweisen müssen, dass sie Sicherheit gegen diese Bedrohungen gewährleisten können.

Eine weitere Professionalisierung der Cyberkriminellen ist zu beobachten. Traditionelle Angriffswege mit z.B. verseuchte Dateianhängen werden zunehmend verschwinden und durch professionellere Angriffe ersetzt. Gerade Angriffe gegen Browser, Office Anwendungen und Multimedia Anwendungen werden zunehmen. 2011 hat schon gezeigt, dass drive-by-exploits Angriffe ein beliebter Angriffsweg sind. Zusätzlich werden bisher als sicher betrachtete Mittel wie Zertifikate kritischer als in der Vergangenheit zu bewerten sein. Der Einsatz gefälschter Zertifikate, wie z.B. bei DigiNotar, korrumpiert bislang als sicher betrachtete Kommunikation mittels Verschlüsselungstechnik und ermöglicht Missbrauch durch Dritte.

Auch im mobilen Bereich wird es neue Herausforderungen für die Sicherheit geben. Die millionenhafte Verbreitung von mobilen Endgeräten wie z.B. Smartphones machen diese für Angreifer interessant. Insbesondere bei Geräten mit Android Betriebssystemen wird durch die offene Architektur des Betriebssystems und die eher offene Freigabe von Anwendungen über den Android Markplatz zu einer Vielzahl von Angriffsmöglichkeiten führen. Sicherheitsexperten befürchten, dass es zu ersten Würmern und zu ersten Botnetzen auf Androidsystemen kommen wird. Auch die verbreitete Nutzung von Bankinganwendungen über Smartphones macht diese zu attraktiven Angriffszielen.

…und was wir dagegen tun können

Nun stellt sich die Frage wie diesen alten und neuen Bedrohungen entgegengewirkt werden kann. Wie können IT-Sicherheitsverantwortliche und Datenschützer wirksame Maßnahmen ergreifen? Teilweise helfen Antworten, die bereits in der Vergangenheit gegolten haben:

• Auch zukünftig wird das schnelle Reagieren auf Sicherheitslücken und Sicherheitsupdates essentiell sein, um Lücken in Browsern, Multimedia- und Officeanwendungen und im Betriebssystem so schnell wie möglich zu schließen. Dies wird insbesondere für mobile Endgeräte im Firmeneinsatz ein wesentlicher Faktor werden.
• Eine verstärkte Sensibilisierung der Mitarbeiter im Umgang mit ihren Endgeräten ist unabdingbar. Um einheitliche Rahmenbedingungen zu schaffen, bieten sich schriftliche Regelungen für den Umgang mit diesen Geräten an.
• Insbesondere der Trend von BYOD (bring your own device), also den Einsatz von privater Hardware im Firmennetz oder zum Arbeiten mit Firmendaten, wird zur großen Herausforderung. Hier gilt es gemeinsame Lösungen mit Mitarbeitern zuschaffen und die Nutzung dieser Geräte genau zu regeln. Ansonsten drohen hier Datenverlust, -diebstahl und potentielle Datenschutzskandale.
• Der Einsatz von Cloud Lösungen erfordert umfassende Kontrollen und Überprüfungen vor der Auswahl des Betreibers der Lösung als auch Kontrollen während der Zusammenarbeit. Hier sind nicht nur die Anforderungen an eine Auftragsdatenverarbeitung sauber umzusetzen, auch die Überprüfung der getroffenen technischen und organisatorischen Maßnahmen und die kontinuierliche Verbesserung dieser sind essentiel.

Verwendete Quellen:

1. Cyberthreat forecast for 2012, Kaspersky Lab, http://www.google.de/url?sa=t&rct=j&q=kaspersky%20report-10-134377&source=web&cd=1&ved=0CD0QFjAA&url=http%3A%2F%2Fwww.kaspersky.com%2Fimages%2FKaspersky%2520report-10-134377.pdf&ei=Zu0vT77iO4rMswbp4b2dDQ&usg=AFQjCNES1p7yFNi0lm8wqL0cpNavLW7QNA&cad=rja
2. 2012 Threats Predictions, McAfee Labs, http://www.google.de/url?sa=t&rct=j&q=mcafee%202012%20threats%20predictions&source=web&cd=1&sqi=2&ved=0CDwQFjAA&url=http%3A%2F%2Fwww.mcafee.com%2Fus%2Fresources%2Freports%2Frp-threat-predictions-2012.pdf&ei=Zu4vT7nREoLSsgbcm-iLDQ&usg=AFQjCNGU4156pGAmm3kC3i24IYPitlaQVw&cad=rja

Schleswig-Holstein wird kein gallisches Dorf für Facebook

Auch wenn es vor knapp einer Woche die Meldung gab, dass in Gesprächen zwischen Facebook und Thilo Weichert “eine gewisse Beweglichkeit” seitens Facebook signalisiert worden sei, so gibt es bisher noch keinen Durchbruch in den Gesprächen.¹ Dass Aussagen leicht misinterpretiert werden können, zeigte dann kurz danach ein Bericht des ndr. Dort war davon die Rede, dass es für Schleswig-Holstein eine Sonderregelung geben könne², dass von dortigen Webseitenbesuchern keine IP-Adresse mehr in die USA übermittelt werden. Nach nicht allzulanger Zeit kam dann das Dementi von Facebook, dass man die Gespräche anders in Erinnerung habe.³

Es Bedarf doch einiger Vorstellung, dass mit Schleswig-Holstein ein “gallisches Dorf” geschaffen werden soll, das eine anderes Facebook bekommt als der Rest der Welt. Diese Lösung kommt nicht und wäre auch nicht ziehlführend. Wenn dann eine datenschutzkonforme Lösung für ganz Deutschland oder Europa, so wie dies Google mit Google Analytics gelöst hat. Aber nicht einen Sonderweg eines einzelnen Bundeslandes. Dann würden plötzlich für Unternehmen in Schleswig-Holstein andere Regeln gelten als in Bayern. Das das nicht der Lösungsweg sein kann, sieht zum Glück auch die Politik so.⁴

Wissenschaftlicher Dienst des Bundestages kommt zu keiner eindeutigen Antwort

Auf Anfrage des FDP-Bundestagsabgeordneten Sebastian Blumenthal beschäftigte sich der Wissenschaftliche Dienst des Bundestages mit der Frage, ob bestimmte Facebookdienste datenschutzrechtliche Bestimmungen verletzen. In dem veröffentlichten Gutachten kommt der Wissenschaftliche Dienst jedoch zu keinem eindeutigen abschließenden Ergebnis:⁵

• Der Argumentation des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wird gefolgt, dass z.B. bei Verwendung der Facebook Cookies ein Verstoß gegen das Telemediengesetz erfolgt.
• Der Wissenschaftliche Dienst folgt auch der Sichtweise des ULD, dass Webseitenbetreiber die Pflicht haben ihre Webseitenbesucher über die Datenübermittlung an Facebook zu unterrichten.
• Die Zuständigkeit zum Verhängen von Bußgeldern liege allerdings nicht beim ULD sondern beim Landesinnenministerium.
• Das geltende Datenschutzrecht ist von Unsicherheiten geprägt und gerichtliche Beurteilungen stehen bislang aus.

Für Webseitenbetreiber lässt dies weiterhin Fragen offen. Aktuell sollen keine Bußgelder verhängt werden, statt dessen werden verwaltungsgerichtliche Klärungen verfolgt. Es führt kein Weg an der Klärung durch Gerichte vorbei. Insofern ist der Vorstoß des ULD einerseits zu hinterfragen und andererseits auch zu begrüßen.

Königstreffen führt zu keinen finalen Ergebnissen

Anfang der Woche trafen sie alle zum Schlagabtausch im Unterausschuss des Bundestags Neue Medien aufeinander: Peter Schaar, Bundesbeauftragter für den Datenschutz, Richard Allan von Facebook, Leiter der Abteilung Public Policy Europa, Thilo Weichert, Leiter des Unabhängigen Datenschutzzentrums in Schleswig-Holsteins, Per Meyerdierks, Datenschutzbeauftragter von Google Deutschland.

Wer auf ein Ende der unterschiedlichen Ansichten gehofft hatte, wurde enttäuscht. Freundlich im Ton aber hartnäckig in der Sache, beschreibt das Zusammentreffen am besten. Während die Datenschützer und Politiker auf der einen Seite ein Einlenken von Facebook oder Google in Sachen Datenschutz forderten,  so beharrte Facebook auf seiner Position, dass der Besuch im Unterausschuss freiwillig sei, nur irisches Datenschutzrecht gelte und von Nichtmitgliedern von Facebook keine Profile gespeichert würden.⁶ Auch die Zwei-Klick-Lösung, über die wir wiederholt berichtet hatten, ist aus Sicht von Facebook keine Lösung. “Wir glauben, dass diese Lösung dazu führen würde, dass man eine tote Seite erst einmal mit fünfzehn Klicks zum Leben erwecken muss”.⁷ Facebook hofft weiterhin auf Selbstregulierung der Industrie und setzt auf Gespräche mit dem Bundesinnenminister, der diesen Weg ebenfalls verfolgt. Im Gegensatz dazu fordern die Datenschützer weiterhin ein Aktiv werden des Gesetzgebers zur Gewinnung von Rechtssicherheit in sozialen Netzwerken.⁸ Im Prinzip beharren beide Seiten auf ihren Positionen und eine Lösung ist nicht in Sicht. Der Vorhang zu und alle Fragen offen. Wir sind gespannt wie es weitergeht.

Verwendete Quellen:

1. Datenschützer sieht bei Facebook “Beweglichkeit”, 21.10.2011, Spiegel Online, http://www.spiegel.de/netzwelt/netzpolitik/0,1518,793125,00.html
2. Datenstreit: Facebook-Ausnahme für den Norden, 21.10.2011, NDR.de, http://www.ndr.de/regional/facebook595.html
3. Geotargeting: Plant Facebook Sonderweg für Daten aus Schleswig-Holstein, 21.10.2011, Golem.de, http://www.golem.de/1110/87211.html
4. Aigner lehnt Facebook-Sonderwege für Länder ab, 24.10.2011, Spiegel Online, http://www.spiegel.de/netzwelt/netzpolitik/0,1518,793550,00.html
5. Die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook Fanpages und Social Plugins, aktualisierte Fassung vom 07. Oktober 2011, Wissenschaftlichter Dienst des Deutschen Bundestages, http://www.sebastian-blumenthal.de/files/35704/Gutachten_Facebook_FINAL.pdf
6. Anhörung zu Facebook bringt kaum Ergebnisse, 26.10.2011, silicon.de, http://www.silicon.de/management/wirtschaft/0,39044010,41556745,00/anhoerung_zu_facebook_bringt_kaum_ergebnisse.htm
7. Facebook lächelt Datenschützer-Kritik weg, 24.10.2011, Spiegel Online, http://www.spiegel.de/netzwelt/netzpolitik/0,1518,druck-793677,00.html
8. Datenschützer und Facebook-Manager prallen im Bundestag aufeinander, 24.10.2011, heise online, http://www.heise.de/newsticker/meldung/Datenschuetzer-und-Facebook-Manager-prallen-im-Bundestag-aufeinander-1365988.html

Über weitere Themen hinaus wurden folgende Entschließungen getroffen:

• Datenschutz bei sozialen Netzwerken jetzt verwirklichen!
• Datenschutz als Bildungsaufgabe
• Anonymes elektronisches Bezahlen muss möglich bleiben!
• Antiterrorgesetze zehn Jahre nach 9/11 – Überwachung ohne Überblick
• Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing
• Einführung von IPv6 steht bevor: Datenschutz ins Netz einbauen
• Vorbeugender Grundrechtsschutz ist Aufgabe der Datenschutzbeauftragten!¹

Besondere Beachtung fand bei uns die nachdrückliche Aufforderung der datenschutzkonformen Gestaltung und Nutzung von Cloud-Computing. Formal angenommen hat die Konferenz dabei eine Orientierungshilfe zur Thematik des Cloud-Computing, die vom Arbeitskreis Technik und Medien der Datenschutzbeauftragten des Bundes und der Länder erarbeitet wurde und zwischenzeitlich veröffentlich ist.²

Hier das zentrale Statement der Datenschutzkonferenz zu dieser Thematik:

“Eine solche Auslagerung von IT-Lösungen an Internetdienstleister stellt die verantwortlichen Stellen vor schwierige rechtliche und technisch-organisatorische Herausforderungen. Die Datenschutzkonferenz hält hierbei insbesondere die Schaffung transparenter, detaillierter und eindeutiger vertraglicher Regelungen zur Cloud-gestützten Datenverarbeitung für wesentlich. Ebenso muss sichergestellt sein, dass die abgestimmten Sicherheits- und Datenschutzmaßnahmen tatsächlich von den Cloud-Anbietern und -Anwendern umgesetzt werden.”

Hilft Ihnen das weiter? – oder eher nicht?

In ihren Ausführungen bietet die Orientierungshilfe zahlreiche Informationen und Abgrenzungen, die den datenschutzkonformen Einsatz dieser “Datenverarbeitung in der Wolke” handhabbarer machen könnten. Der Teufel steckt wie immer im Detail und besonders in der möglichen Gestaltung des IT-Outsourcings. Als problematisch wird dabei durch den Arbeitskreis angesehen, die Compliance-Anforderungen an die Datenverarbeitung der Unternehmen unter den Rahmenbedingungen des Cloud Computing, insbesondere in der Public Cloud, zu erfüllen. Es müsse verhindert werden, dass die Fähigkeit der Organisationen, die Verantwortung für die eigene Datenverarbeitung noch tragen zu können, duch das Cloud-Computing untergraben wird.

Der Grundansatz der obersten Datenschutzbauftragten ist aber entscheidend! Wie heißt es demnach in der Vorbemerkung des Dokuments: “Die Orientierungshilfe … soll den datenschutzgerechten Einsatz dieser Technologien fördern.”

Die notwendigen Vorgehensweisen sind jedoch davon abhängig welchen Cloud-Anbieter der Cloud-Anwender für die gewünschten IT-Dienstleistungen in Anspruch nimmt. Bei den dabei zu berücksichtigenden Besonderheiten (unter anderem die Beachtung der Regelungen zur Auftragsdatenverarbeitung, Verarbeitung in Drittländern etc.) ist die Auswahl des “richtigen Anbieters” für den Datenschutz-Laien schier unmöglich. Umso mehr sehen wir Datenschutzberater uns gefordert hier hilfreich zur Seite zu stehen.

Wir verfügen über die entsprechende Erfahrung, um mit Ihnen die Fallstricke einer solchen Beauftragung zu umgehen (Blogbeitrag vom 26.09.2011).

Fordern Sie uns. Wir unterstützen Sie gerne – kompetent, vertrauensvoll und schnell

Quellenangaben:

¹ Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz als Vorsitzender der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu deren Ergebnissen, http://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/82DSKPressemitteilung.html?nn=408908

² “Orientierungshilfe – Cloud Computing” der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.09.2011, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

Unterschiedliche Auffassungen über Facebook Einsatz zwischen ULD und Staatskanzlei

Am Tag darauf hat ein Gepräch zwischen Weichert und Dr. Arne Wulff, dem Chef der Staatskanzlei, stattgefunden, bei dem die Bedenken besprochen wurden. Es gibt weiterhin unterschiedliche Auffassungen zwischen dem Datenschützer und dem Chef der Staatskanzlei.² Klärung soll nun durch die nächste Innenministerkonferenz erfolgen, in der Hoffnung, dass sich die verschiedenen Bundesländer auf eine einheitliche Linie einigen können. Das widerum könnte im öffentlichen Bereich wegweisend für den Umgang mit Facebook sein, dennoch bleibt der Weg für Klagen selbstverständlich offen.

ULD verteidigt Vorgehensweise und äußert sich zu Bußgeldern

Dass mittlerweile bei den beteiligten die Emotionen hoch kochen ist auch an der Pressemittlung des ULD am 07.10. zu erkennen:

„Wir wissen und wussten von Anfang an genau, was wir tun. Uns ist natürlich klar, dass unsere Vorgehensweise Kritik und Widerspruch findet und dass letztlich eine gerichtliche Klärung der Verantwortlichkeit für und der Rechtswidrigkeit von Fanpages und Plugins stattfinden wird. Deshalb machte das ULD von Anfang an sowohl die festgestellten technischen Fakten als auch die eigene rechtliche Bewertung öffentlich. Die vom ULD festgestellten technischen Fakten wurden ausdrücklich von Facebook bestätigt. Nachdem Facebook seine eigene rechtliche Bewertung dargestellt hat, nämlich, dass für die Datenverarbeitung nicht Facebook in den USA, sondern Facebook in Irland datenschutzrechtlich verantwortlich sei, hat das ULD diese Position berücksichtigt.³

Das ganze hin und her sorgt nicht gerade für Beruhigung – im Gegenteil, viele Unternehmen müssen abwägen, ab wann ein akutes unternehmerisches Risiko mit finanziellen Folgen besteht. Hier kann eine weitere Passage aus der Pressemitteilung vielleicht für etwas Beruhigung sorgen:

“In der Feststellung, dass Verstöße gegen das allgemeine Datenschutzrecht und gegen das Telemediengesetz mit Beanstandungen, Untersagungsverfügungen und Bußgeldern geahndet werden können, besteht kein Zweifel. Das ULD hat nie angedroht, dass es Bußgelder in Höhe von 50.000 Euro verhängen werde – schon gar nicht als ersten Schritt oder gar gegen Betreiber kleiner privater Webseiten. Das ULD sicherte von Anfang an zu, dass die Grundsätze der Verhältnismäßigkeit und der Opportunität strikt beachtet werden.”³

Das mag beruhigend für den Moment sein, dass Bußgelder damit vom Tisch sind ist damit aber auch nicht sicher. Es gilt weiterhin die aktuelle Entwicklung zu verfolgen.

Abschließend noch eine Bemerkung: Man mag zu Thilo Weichert stehen wie man will. Mancheiner wird ihn hassen, ein anderer lieben. Eines sollte man in der aktuellen Situation aber nicht vergessen: Wenn sein Handeln dazu beiträgt, dass es endlich zu einer gerichtlichen Klärung kommt, und im Anschluss Rechtssicherheit über den Einsatz von Social Media Plugins gibt, dann haben alle gewonnen.

Verwendete Quellen:

1. Staatskanzlei ignoriert den Facebook-Kritiker, 05.10.2011, Jens Ihlenfeld, Golem.de, http://www.golem.de/1110/86846.html
2. Datenschutz bei Facebook: Staatskanzlei prüft Bedenken des ULD, 06.10.2011, Der Ministerpräsident des Landes Schleswig-Holstein mit der Staatskanzlei, http://www.schleswig-holstein.de/STK/DE/Startseite/Artikel/111006_Facebook.html
3. ULD: Facebook-Fanpages und -Plugins: Das ULD weiß, was es tut, 07.10.2011, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, https://www.datenschutzzentrum.de/presse/20111007-facebook-fanpages.htm

Wie Jens Ihlenfeld auf Golem.de¹ am vergangenen Freitag berichtete, verstößt die Einbindung von Social Plugins von amerikanischen Anbietern gegen das Bundesdatenschutzgesetz, wenn bereits durch den Besuch von Webseitenbesuchern standardmäßig, d.h. ohne aktive Handlung personenbezogene Daten an Server in den USA übertragen werden. Laut den Datenschutzbeauftragten des Bundes und der Länder gilt dies nun explizit nicht nur für Facebook, sondern genauso für den Einsatz von “Google+, Twitter und anderen Plattformbetreibern in die Webseiten deutscher Anbieter ohne hinreichende Information der Internet-Nutzenden und ohne Einräumung eines Wahlrechtes”². 

Stein des Anstoßes ist hier explizit die Übertragung der IP-Adresse an die Server dieser Anbieter in den USA. Nach dieser Logik dürfte das dann aber nicht nur für die oben genannten sozialen Netzwerke sondern auch für andere Anbieter wie z.B. Youtube gelten.³

Konsequenzen für Unternehmen

1. Das unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) wird wie am 19. August angekündigt “ausgewählte öffentliche und private Anbieter in Schleswig-Holstein im Oktober zu Stellungnahmen auffordern und Verwaltungsverfahren einleiten.”⁴ Als Folge könnte es dann auch zu ersten Bußgeldern kommen. Ob dies tatsächlich passiert wird sich zeigen.
2. Da sich alle Landesdatenschutzbehörden gemeinsam dieser Stellungnahme gegenüber sozialen Netzwerken angeschlossen haben, könnte es sehr bald auch in anderen Bundesländern zu einem Vorgehen gegen Unternehmen kommen.
3. Für Unternehmen ist abzuwägen, ob das Risiko eingegangen wird, weiterhin diese Elemente in Webseiten einzusetzen. Wenigstens der Einsatz einer 2-Klick-Lösung zur Deaktivierung der Elemente sollte als Mindestmaßnahme getroffen werden.

Die Entspannung in Sachen Facebook ist damit wieder vorbei. Die Beteuerung von Thilo Weichert als Leiter des ULD, “unser Ziel ist die Verwirklichung des Datenschutzes, uns geht es nicht um Wettbewerbsverzerrungen oder das Drangsalieren kleiner Betreiber,”⁴ hilft Unternehmen aktuell auch nicht weiter.

Auch in den USA Vorgehen gegen Facebook?

Die deutschen Aufsichtsbehörden sind derzeit nicht die einzigen, die Stellung gegen Facebook beziehen. Mittlerweile sind auch in den USA Bedenken gegen das zukünftig weitgehend automatisierte Daten sammeln mit dem neuen Feature Open Graph laut geworden. Mehrere Lobbygruppen haben sich an die Federal Trade Commission gewandt und monieren, dass die Neuerungen mit den ursprünglichen Datenschutzregelungen, denen die User bei der Anmeldung in der Vergangenheit zugestimmt haben, nicht abgedeckt sein könnten.⁵ Ob dies tatsächlich zu Aktivitäten der FTC führt, bleibt abzuwarten.

Österreichischer Student klagt gegen Facebook auf Herausgabe seiner Daten

Bereits seit einigen Wochen ist ein österreichischer Student sehr aktiv gegen das soziale Netzwerk. Mittlerweile hat er mehrere Klagen gegen Facebook eingereicht, unter anderem auch auf die Herausgabe seiner bei Facebook gespeicherten Daten. Wie Computer T-Online⁶ berichtet, hat er nun ein über 1200 Seiten starkes pdf Dokument auf CD erhalten. Interessanterweise waren in dem Dokument noch Inhalte aufgeführt, die seit längerer Zeit hätten gelöscht sein sollen. Nicht besonders überraschend. Wer ebenfalls erfahren möchte, welche Daten Facebook über einen gespeichert hat, kann dies über folgenden Link erwirken: https://www.facebook.com/help/contact.php?show_form=data_requests 

Abschließend bleibt nur zu hoffen, dass all diese Bestrebungen ein Umdenken bei Facebook bewirken, dass die vorhandenen gesetzlichen Regelungen zukünftig eingehalten werden. Dies wäre nicht nur für die Nutzer sondern insbesondere auch für Unternehmen eine wichtige Entwicklung, da für viele Unternehmen der Einsatz von sozialen Netzwerken ein wichtiger Bestandteil der Marketingaktivitäten geworden ist.

Verwendete Quellen:

1. Datenschützer: Social Plugins in Deutschland nicht zulässig, 30.09.2011, Jens Ihlenfeld, Golem, http://www.golem.de/1109/86778.html
2. Datenschutz bei sozialen Netzwerken jetzt verwirklichen, Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29. September 2011 in München, http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/82DSK_SozialeNetzwerke.html?nn=408908
3. Datenschützer: Social Plugins in Deutschland nicht zulässig, 30.09.2011, Jens Ihlenfeld, Golem, http://www.golem.de/1109/86778.html
4. ULD: Dialog mit Facebook hindert nicht Durchsetzung des Datenschutzes, 30.09.2011, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, https://www.datenschutzzentrum.de/presse/20110930-facebook-datenschutz-durchsetzen.html
5. Netzwelt Ticker: FTC soll Facebooks Open Graph prüfen, 30.09.2011, Carolin Neumann, Spiegel Online, http://www.spiegel.de/netzwelt/web/0,1518,789305,00.html
6. Student zwingt Facebook zur Datenherausgabe, 27.09.2011, Andreas Lerg, Computer T-Online, http://computer.t-online.de/facebook-student-erzwingt-herausgabe-persoenlicher-daten/id_50124872/index

Begeisterung für Facebooks Privatsphäreeinstellungen?

Wer sich den Spass macht und sich die neuen Privatsphäreeinstellungen im Detail anschaut, hat tatsächlich deutlich bessere Möglichkeiten seine Privatsphäreeinstellungen individuell anzupassen. Dennoch bleibt beim Konfigurieren der Eindruck zurück, dass die Einstellungsmöglichkeiten bewusst kompliziert, teilweise missverständlich und zu Ungunsten der Nutzer angelegt sind. Nur wer sich die Zeit nimmt, alle Einstellungen im Detail zu betrachten und die Auswirkungen zu prüfen, kann seine Privatsphäre schützen.

Das heißt aber noch lange nicht, dass damit alles erledigt ist. Neben den eigenen Einstellungen sind die Einstellungen von Freunden ebenfalls entscheidend. Es hilft wenig, wenn man beispielsweise selbst einstellt, dass die eigene Wall nur für bestimmte Personen zugänglich ist, gleichzeitig ein befreundeter Kontakt dies aber nicht so konfiguriert hat. Kommentiert man dort einen Beitrag, kann dieser trotz der eigenen strikten Einstellungen dennoch für die Öffentlichkeit einsehbar sein. Das bedeutet, dass der Schutz der Privatsphäre nur funktioniert, wenn alle befreundeten Kontakte ähnlich strikte Einstellungen vornehmen.

Es gehört schon eine gewisse Portion “Begeisterung für Facebooks Privatsphäreeinstellungen” dazu, sich durch alle Privatsphäreeinstellungen zu arbeiten. Dass dies nicht passiert, zeigen die Hoaxes¹ der letzten Tage deutlich. Immer wieder hatten Nutzer ihre Kontakte aufgefordert bei der neuen Abo-Funktion eine Änderung bei der Sichtbarkeit von  “Kommentare und “Gefällt mir”-Angaben” vorzunehmen, da ansonsten die Öffentlichkeit Kommentare frei sehen könnte. Wer dem gefolgt ist, hat einzig und allein deaktiviert, dass er weiterhin Kommentare und “Gefällt mir”-Angaben von dieser Person erhält. Statt dessen wäre das Prüfen der Privatsphäreeinstellungen der richtige Schritt gewesen. Das zeigt wiedereinmal, dass User in den wenigsten Fällen diese Einstellungen prüfen und privacy by default, wie er ja auch von Verbraucherschützern gefordert wird, der richtige Ansatz wäre.

Facebook Timeline: Alle Inhalte von Usern von der Geburt bis zur Bahre

Dass dies aber gar nicht gewollt ist und wohl auch nicht zu erwarten ist, zeigen die Entwicklungen der vergangenen Woche. So berichteten z.B. Spiegel Online² und n-tv³, dass sich Facebook zu einem Lebensarchiv nach dem Motto „alle Inhalte von Usern von der Geburt bis zu Bahre“ entwickeln soll. Zukünftig sollen verstärkt Inhalte wie Musik, Filme oder Nachrichten mit anderen geteilt werden. So dass User z.B. erfahren, wer von den Freunden den neuesten Musikhit anhört, wer die neueste Folge einer Lieblingsserie ansieht usw.

Zusätzlich sollen mit der Timeline Funktion wichtige Ereignisse des Lebens auch Jahre später noch einsehbar sein. Dass dieses tolle Feature Facebook in die Lage versetzt Lebensprofile ihrer Nutzer über alle Vorlieben, Aktivitäten, Entwicklungen, Beziehungen etc. zu erhalten, scheint dabei nebensächlich. Warum Facebook diesen Weg geht dürfte auch klar sein: enorme Werbemöglichkeiten entstehen und ein Absprung eines Users soll diesem richtig weh tun.

Wer einen genaueren Blick auf die Funktionalitäten werfen möchte, kann dies auf dem Social Media Blog⁴ tun. Aus Datenschutzsicht dürfte interessant werden, inwieweit die Nutzer weiterhin die Kontrolle über die neuen Funktionen haben. Insbesondere wenn zukünftig verstärkt automatisch Neuigkeiten dem Bekanntenkreis mitgeteilt werden sollen, wie dies Spiegel Online⁵ berichtet.

Der Tanz um den Datenschutz geht weiter

Ob diese Entwicklungen tatsächlich vom Nutzer gestaltbar sind und über jeden Beitrag entschieden werden kann, wer diesen sehen kann, wird sich zeigen. Ob Innenminister Friedrich diese Neuerungen im kürzlich stattgefundenen Gespräch mit Richard Allan von Facebook bereits erfahren hat, scheint fraglich. Vielleicht wäre er dann zu einem anderen Ergebnis gekommen als zu seiner “deutlichen Entschärfung”⁶ in Sachen Facebook. Der Tanz um den Datenschutz geht auf alle Fälle weiter.

Verwendete Quellen:

1. Facebook: Ein Datenschutz-Hoax und eine echte Lücke, 27. September 2011, heise online, http://www.heise.de/newsticker/meldung/Facebook-Ein-Datenschutz-Hoax-und-eine-echte-Luecke-1350605.html
2. Facebook als Lebensgeschichte, 23. September 2011, Spiegel Online, http://www.spiegel.de/netzwelt/web/0,1518,788029,00.html
3. Große Änderungen: Facebook wird Lebensarchiv, 23. September 2011, n-tv, http://www.n-tv.de/ticker/Computer/Grosse-Aenderungen-Facebook-wird-Lebensarchiv-article4373686.html
4. Neu auf Facebook: Die Timeline des Lebens,  25. September 2011, Das Social Media Blog, http://stueber.welt.de/2011/09/25/so-sieht-das-neue-facebook-profil-aus/
5. Netzwerk Relaunch: Facebook will Lebensarchiv werden, 22. September 2011, Spiegel Online, http://www.spiegel.de/netzwelt/web/0,1518,787927,00.html
6. Innenminister Friedrich bringt Datenschützer auf die Palme, 08. September 2011, Zeit Online, http://www.zeit.de/digital/datenschutz/2011-09/friedrich-facebook-datenschutz