Am 8. Dezember 2011 hat der informelle Zusammenschluss der deutschen Datenschutzbehörden, der sog. Düsseldorfer Kreis, zu den aktuell vielfach diskutierten datenschutzrechtlichen Fragen im Zusammenhang mit sozialen Netzwerken Stellung genommen. Für deutsche Unternehmen und Webseitebetreiber ist der Beschluss von besonderer Bedeutung, da der Düsseldorfer Kreis sich auch zu den Rechtmäßigkeitsanforderungen für die Einbindung von Social Plugins, wie etwa dem 'like'-Button, auf Webseiten äußerte.
Soziale Netzwerke sind in der Vergangenheit immer wieder in den Fokus der Datenschutzbehörden geraten. Dabei wurde seitens der Datenschützer insbesondere kritisiert, dass Nutzer über den Umfang und den Zweck der Erhebung und Verarbeitung ihrer Daten unzureichend informiert würden. Überdies wäre es teilweise nicht oder nur schwer möglich, der für intransparent erachteten Verwertung der Nutzerdaten zu widersprechen.
In seinem Beschluss wendet sich der Düsseldorfer Kreis zwar primär an die Betreiber von sozialen Netzwerken. Er spricht aber auch in Deutschland ansässige Unternehmen an, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen.
Die Betreiber von sozialen Netzwerken müssen nach dem Beschluss des Düsseldorfer Kreises zumindest die folgenden Rechtmäßigkeitsanforderungen beachten:
- Informationen darüber, welche Daten für welche Zwecke erhoben werden, sind in leicht zugänglicher und verständlicher Form bereitzustellen. Es gilt das Einwilligungsprinzip, wonach eine Verarbeitung erst begonnen werden darf, nachdem der Nutzer infolge ausreichender Information zugestimmt hat. Dies muss sich in den Voreinstellungen des Netzwerkes widerspiegeln (sog. 'privacy by default').
- Dem Nutzer muss die Möglichkeit eingeräumt werden, seine Rechte auf Auskunft, Löschung und Berichtigung seiner Daten auf möglichst einfache Art und Weise geltend zu machen.
- Die Verwertung von Fotos für Zwecke der Gesichtserkennung sowie Vorgänge in Zusammenhang mit biometrischen Gesichtsmerkmalen bedürfen einer gesonderten Einwilligung.
- Der Nutzer muss die Möglichkeit der Pseudonymisierung haben, ohne dass der Anbieter des sozialen Netzwerkes die Möglichkeit hat, ein personenbezogenes Profil bilden zu können.
- Der Betreiber des sozialen Netzwerkes muss die Daten nach Beendigung der Mitgliedschaft im sozialen Netzwerk löschen.
- Der Nutzer muss über die Datenübertragung durch Social Plugins hinreichend informiert werden und die Möglichkeit haben, dieser widersprechen zu können.
- Die personenbezogenen Daten der Nutzer müssen durch geeignete technisch-organisatorische Maßnahmen geschützt werden, die vom Betreiber des Sozialen Netzwerkes ggf. nachzuweisen sind.
- Daten Minderjähriger erfordern besonderen Schutz. Überdies muss bei der Information über die Datenverarbeitung an Minderjährige auf deren Empfängerhorizont Rücksicht genommen werden.
- Betreiber außerhalb der Europäischen Wirtschaftsraumes haben gemäß § 1 Abs. 5 S. 3 BDSG einen Inlandsvertreter als Ansprechpartner der Datenschutzaufsicht zu bestellen.
Der Beschluss des Düsseldorfer Kreises richtet sich aber auch an in Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen:
Nach Auffassung des Düsseldorfer Kreises ist die Einbindung derartiger Plugins auf Webseiten datenschutzrechtlich nur zulässig, sofern die Nutzer zuvor hinreichend über den Umfang und den Zweck der Erhebung und die Vorgänge informiert und diesen zugestimmt haben. Die Zustimmung sei aber nur dann wirksam, wenn der Webseitenbetreiber selbst über verlässliche Informationen vom Anbieter der sozialen Netzwerke über die mit den Plugins verbundene Datenverarbeitung verfüge. Dies sei jedoch derzeit in Deutschland regelmäßig nicht der Fall. Folgt man dieser Einschätzung, könnte die Verwendung vieler der in Deutschland aktuell genutzten Social Plugins als unzulässig angesehen werden.
Diesem Beschluss zufolge, ist es nun unerlässlich, sich in einem ersten Schritt vor Einbindung von Social Plugins genau darüber zu informieren, welche Nutzerinformationen zu welchen Zwecken an den Anbieter des sozialen Netzwerkes überträgen werden. Denn nur dann kann in einem zweiten Schritt dem Erfordernis, die Nutzer der eigenen Webseite ausreichend über das Social Plugin zu informieren, nachgekommen werden. Sollten die Webseitenbetreiber die über das Social Plugin mögliche Datenverarbeitung nicht überblicken, sollte das Social Plugin nicht ohne Weiteres verwendet werden, um keinen Verstoß gegen das deutsche Datenschutzrecht zu riskieren.
Besten Dank an Herrn Carl Renner für diesen Beitrag.