Dem ULD gefällt es gar nicht
Was? Sie haben auf Ihrer Internetseite noch einen Facebook-Like-Button? Dann haben Sie hoffentlich Ihren Sitz nicht in Schleswig-Holstein oder eine andere gute Ausrede. Das Unabhängige Landeszentrum für Datenschutz (ULD) als die dortige Datenschutzaufsichtsbehörde hat nämlich allen Webseitenbetreibern im nördlichsten Bundesland ein Ultimatum für die Entfernung der "Gefällt-Mir-Buttons" gesetzt, das Ende September abgelaufen ist. Den Unbeugsamen droht das ULD in seiner Pressemitteilung vom 19. 8. 2011 ordnungsbehördliches Einschreiten und Bußgelder an.
Das Feedback auf den Paukenschlag aus Kiel ist kontrovers: zahlreiche Stimmen pflichten dem ULD in der Bewertung bei, die Facebook-Funktionen seien tatsächlich datenschutzwidrig. Es gibt auch viele kritische Stimmen, die von "Bevormundung" und "Datenschutzwahn" sprechen. Bei Facebook selbst existiert seither sogar eine neue Profilseite: "ULD - Unheimlich Lustiges Datenschutzzentrum".
Zwei Aspekte, die das Vorgehen des ULD im Ergebnis sehr fragwürdig erscheinen lassen, sind bisher kaum betrachtet worden: die Frage der Verantwortlichkeit der Webseitenbetreiber für die - vermeintlichen - Datenschutzverstöße einerseits und die Frage der Ermessensausübung auf der Rechtsfolgenseite andererseits.
Das ULD begründet die datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber damit, dass durch die Integration des Like-Buttons ein Verarbeitungsprozess bei einem Dritten (Facebook) ausgelöst wird, für die sie selbst einzustehen hätten. Das ist nicht frei von Zweifeln, da das ULD selbst zu dem Schluss kommt, dass eine direkte Datenerhebung und -speicherung durch den Webseitenbetreiber gar nicht erfolge. Das ULD bedient sich hier deshalb des Kunstgriffs, die "Initiierung" der Datenweitergabe an Facebook als einen datenschutzrelevanten Datenumgang einzustufen. Die datenschutzrechtliche Tragfähigkeit dieses Ansatzes darf bezweifelt werden. Das BDSG enthält in § 3 sehr präzise Definitionen des vom Gesetz erfassten Umgangs mit personenbezogenen Daten, unter die das Auslösen einer Datensammlung durch einen Dritten kaum zu subsumieren ist. Die Webseitenbetreiber nehmen durch die Einbindung des Like-Button-Quellcodes allenfalls eine Handlung im Vorfeld der Datenerhebung durch Facebook vor. Etwas anderes ergibt sich auch nicht daraus, dass die Seitenbetreiber später Daten im Zuge der Reichweitenanalyse von Facebook erhalten, denn insoweit fehlt es wohl - für den Seitenbetreiber - am Personenbezug.
Die Inanspruchnahme der Seitenbetreiber lässt sich auch nicht pauschal mit einer "gemeinsamen Verantwortlichkeit" mit Facebook in Anlehnung an die Stellungnahme 2/2010 der Art. 29-Datenschutzgruppe rechtfertigen. Das ULD übergeht die darin enthaltene Differenzierung völlig. So geht die Datenschutzgruppe in vergleichbar gelagerten Fällen beim Behavioural Advertising davon aus, dass Seitenbetreiber nur eine begrenzte Verantwortung innehätten, die mit derjenigen einer verantwortlichen Stelle zwar "verwandt ist", die ausdrücklich aber nur "eingeschränkte Datenschutz-Verpflichtungen" mit sich bringe. Eine ähnliche Differenzierung wäre auch hier datenschutzrechtlich geboten gewesen - und nicht eine pauschale 1:1-Übertragung des Verantwortlichkeitsmaßstabes von Facebook auf alle Webseitenbetreiber.
Anzukreiden ist dem ULD auch - gerade eingedenk der diffizilen Bestimmung des für die Webseitenbetreiber geltenden Verantwortlichkeitsmaßstabes -, dass es jegliche Ermessensausübung vermissen lässt. Das ULD verknüpft mit der Feststellung der Datenschutzwidrigkeit reflexartig Untersagungsverfügungen nach § 38 Abs. 5 BDSG und Bußgeldverfahren. Selbst wenn man davon ausginge, dass sämtliche Eingriffsvoraussetzungen vorlägen, wäre die pauschale Verhängung von Untersagungsverfügungen und Bußgeldern rechtswidrig. Es ist nicht ersichtlich, dass das ULD an irgendeiner Stelle dem ihm zustehenden Ermessen Raum einräumt. Das ULD folgert aus der von ihm angenommenen Rechtswidrigkeit der Einbindung der Like-Buttons automatisch, dass dieser Dienst zu deaktivieren sei.
So verständlich das Tätigwerden der Aufsichtsbehörden in Sachen Datenschutz bei Facebook ist, so bedauerlich ist es, wie wenig Gescheites dabei herauskommt. Und dies lässt sich nun wirklich nicht auf den Gesetzgeber schieben. Die Aufsichtsbehörden haben im Rahmen der Auslegung des BDSG und des TMG und deren Anwendung auf die deutschen Seitenbetreiber hinlängliche Möglichkeiten, praxisgerechte Lösungen zu erreichen, die den Betroffenen einen hinreichenden Schutz ihres informationellen Selbstbestimmungsrechts angedeihen ließen. Nur welche unerschrockene Aufsichtsbehörde hat den Mut, die ungesunde Meinungsführerschaft des ULD zu durchbrechen - auf die Gefahr hin, dass dem ULD auch dies nicht gefallen mag?