Datenschutz Facebook ist der Täter

Datenschützer können nur gegen jene vorgehen, die den umstrittenen Like-Button einbinden. Doch Facebook müsste dafür haften, fordert Christoph Kappes im Gastbeitrag.

© Justin Sullivan/Getty Images

Der "Gefällt-mir"-Button von Facebook gefällt deutschen Datenschützern nicht.

Der Gefällt-Mir-Button, den Facebook seit eineinhalb Jahren anbietet, hat viele Irritationen ausgelöst. 16 Monate brauchte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als erste Datenschutzbehörde, um ihr Missfallen öffentlich zum Ausdruck zu bringen. Doch was missfiel ihr überhaupt? Wie hätten Websites dem Surfer das Gefallen seiner Freunde beim Surfen auf verschiedenen Rechnern anzeigen können, wenn nicht durch die Identifikation des Surfers?

Die Exekutive in Kiel schilt nun das ULD ob seiner Unabhängigkeit. Landespolitiker kritisieren das Ergebnis, also die Ankündigung des ULD, Bußgeld gegen Betreiber von Websites in Schleswig-Holstein zu verhängen, die Fanseiten bei Facebook behalten oder den Gefällt-mir-Button auf ihren Seiten einbinden  – obwohl es das Ergebnis eines von ihnen gewollten legislativen Prozesses ist.

Dass Facebook protestiert, dass Wirtschaftsverbände protestieren, wundert nicht. Aber welche Instanz stärkt dem ULD den Rücken, das nur das Gesetz ausführt, ja nach dem Prinzip der Gesetzmäßigkeit der Verwaltung zwingend ausführen muss? Was wäre davon zu halten, wenn Exekutive und Legislative die Bankenaufsicht oder die Atomaufsicht öffentlich wegen ihrer Ergebnisse kritisierten, nachdem sie deren Behördenkürzeln ein "U" vorangestellt haben?

Christoph Kappes

© Christoph Kappes

Kappes ist Chef von Fructus, einer Agentur, die Unternehmen bei ihren Aktivitäten im Internet berät. Er selbst beschäftigt sich seit Jahren mit den Entwicklungen des Internets und bloggt und twittert auch dazu. Immer wieder veröffentlicht er entsprechende Beiträge in Blogs und Zeitungen.

Dabei wären die Datenschützer lieber gegen Facebook vorgegangen, als die Website-Betreiber zu behelligen. Welchen Grund hat es sonst, dass das ULD nicht wie jede andere Ordnungsbehörde massenhaft Bescheide verschickt, sondern "selektiv vorgehen" will? Warum droht sie mit Bußgeld bis 50.000 Euro? Jeder weiß doch, dass die Höhe in den meisten Fällen völlig unverhältnismäßig und damit rechtswidrig wäre. Hier bedroht man den Sack, um den Esel zu schlagen: Niemand will so recht die Bürger haften lassen.

Kein Zweifel: Viele Experten sind überfordert. Juristen streiten über viele Tatbestandsmerkmale. Einige haben Schwierigkeiten, fehlerfreie Gutachten zu erstellen: Zum Beispiel wird die Bedeutung des Cookies falsch interpretiert und übersehen, dass seine ID ausnahmsweise eben doch den Nutzer identifizierbar macht, und nicht nur den Computer.

Fachverlage empfehlen eine "Zwei-Klick-Lösung", die im Netz gefeiert und von Sachverständigen der Internet-Enquete empfohlen wird. Dabei würde diese Lösung das Problem der rechtswidrigen Auslandsspeicherung und der unklaren Speicherungszwecke auch nicht lösen. Deutsche Gerichte sind sich auch nach mehr als einer Dekade nicht einig darin, wie IP-Adressen rechtlich einzuordnen sind.

Und wieso eigentlich bauen alle Sitebetreiber weiter +1-Buttons von Google ein, als hätte es den Streit um Facebooks Button nie gegeben?

So gut wie kein Betreiber versteht die Technik, die er da einsetzt. Wer sendet denn die Daten an Facebook und wann? Was ist daran im nicht eingeloggten Zustand kritisch? Wo ist das Problem, wenn doch nur ein Cookie verwendet wird – was doch auch viele andere Anbieter tun? Welcher Betreiber fühlt sich eigentlich verantwortlich und meint nicht, sich mit dem Verweis auf Facebook exkulpieren zu können?

Datenschutzrechtliche Gedanken werden von Nutzern häufig nicht nachvollzogen. Während die einen betonen, die Nutzung sei doch freiwillig (was den Punkt nicht trifft, weil ein Mangel an Kenntnis eben gerade die Entscheidungsautonomie in Frage stellt), haben die anderen eine diffuse Angst, Facebook würde ihr ganzes Surfen überwachen. Und wer versteht, warum es bei der alten Ein-Klick-Lösung an einer Einwilligung mangelt, und wo genau das Problem bei der Auslandspeicherung ist? Nutzer wie Experten sind verwirrt – und vier Gewalten werden des Problems nicht Herr.

Das Mediensystem überschlägt sich in taggenauer Meldung jedes Einzelvorganges, aber stellt es die Fragen nach Ursache und Sinn, ordnet es den Vorgang ein? Gutes Recht ist leicht verständlich, führt zu vorhersagbaren Ergebnissen und kann von jedermann materiell nachvollzogen werden.

Was wir hier aber vorfinden, wird kaum verstanden, führt bei Gerichten und Gutachtern zu aleatorischen Ergebnissen und wird von vielen Betreibern und Nutzern faktisch ignoriert. Wer erst nicht weiß, was man von ihm erwartet, wer dann nicht weiß, ob er einen Bußgeldbescheid zu erwarten hat, und wer dann das Urteil nicht vorhersehen kann, befindet sich im Post-Rechtsstaat, der formell-prozessual funktioniert, aber willkürliche Ergebnisse zeitigt.

Die Ursache für diesen Zustand ist nicht bei der Judikative und nicht bei der Exekutive zu suchen, sondern bei den Parlamenten. Die Datenschutzaufsicht gegenüber Privatunternehmen hat in Zeiten des Internets auf föderaler Ebene nichts zu suchen, wenn sie die Grundlinien des Rechts auf informationelle Selbstbestimmung betrifft und daher bundeseinheitlich geregelt werden muss. Die Menschenwürde in Kiel ist unter den Annahmen des Grundgesetzes die gleiche wie in Kempten.

An der Lösung ist etwas falsch

Aber selbst wenn bundeseinheitlich eine klare Regelung getroffen würde, auf der ein einheitliches Verwaltungshandeln mit verlässlicher Rechtsprechung fußen würde, blieben Zweifel. Die solitäre Position des ULD im politischen Umfeld macht stutzig. Es sieht so aus, als wäre niemandem wohl dabei, Hunderttausenden Websitebetreibern Unterlassungsverfügungen mit Bußgeldbescheid zu schicken. Und schließlich findet die Diskussion kein Ende, sondern verbleibt in einem Schwebezustand. Dieses sind drei gewichtige Indizien dafür, dass an der Lösung etwas falsch ist.

Denken wir versuchsweise das Undenkbare: Das Trackingverhalten von Facebook sei zwar falsch, weil autonomiebeeinträchtigend, es gäbe aber kein Gesetz darüber. Wen würden wir für den Zustand haften lassen?

Die erste Frage ist, wer der Profiteur des unerwünschten Verhaltens ist. Allein Facebook zieht einen unmittelbaren wirtschaftlichen Vorteil aus dem Gefällt-Mir-Button, weil Facebook den Kunden besser vermarkten kann, der auf den Button geklickt hat: Werbeplatz wird effizienter, die Klickrate steigt. Zwar binden Websitebetreiber den Button ein, sie können jedoch zunächst nur Reichweite dadurch gewinnen, dass ein Gefällt-Mir-Klick auf Facebook angezeigt wird. Diese Betreiber handeln entweder privat (genau genommen: ohne Gewinnerzielungsabsicht), oder sie handeln gewerblich, haben aber dann nur Seitenabrufe als geldwerten Vorteil – und selbst das ließe sich bestreiten, wenn alle Wettbewerber Facebook nutzen und der Markt nicht wächst. Ein gewichtiger Grund, Facebook haften zu lassen: Facebook ist der einzige Beteiligte, der zwingend einen monetären Vorteil hat.

Zu den Vorteilen gehören auch Rechtspositionen: Facebook hat die Nutzungsrechte an den Gefällt-mirs. Der Websitebetreiber hat nichts, nicht einmal Nutzungsrechte an den Gefällt-Mir-Informationen seiner eigenen Leser beziehungsweise Kunden. Das bestätigt den ersten Punkt.

Die nächste Frage ist, wer die Kontrolle über den datenschutzrechtlich relevanten Vorgang hat. Zwar hat der Betreiber den Button einmalig eingebaut, doch Facebook hat die Herrschaft über den Vorgang der Datenerhebung. Wer kann die Zuordnung von Cookie-ID zu Facebook-ID vornehmen, wer kann die Daten aggregieren, wer kann anonymisieren? Nur Facebook. Dies zeigt sich nicht nur in Kontrolle, sondern auch in Kenntnis: Der Betreiber kann den Code affengleich kopieren, ohne ihn zu verstehen; die Aktivitäten während der Laufzeit wird er noch weniger verstehen, zumal dies ohnehin nicht dokumentiert ist. Wenn Facebook den Code und den Verarbeitungsprozess ändern würde, würde das dem Betreiber regulär nicht zur Kenntnis gelangen – dieser Vorgang ist dem Betreiber nicht transparent. Dritter Punkt zu Lasten Facebooks: Volle Kontrolle und Kenntnis hat Facebook.

Bleibt der Einwand, dass der Betreiber der Handelnde ist, der den Code Facebooks einbaut und daher für seine Handlung haften muss. Aber stimmt dieses Argument wirklich? Wer handelt denn zum maßgeblichen Verletzungszeitpunkt?

Es wirken nämlich zwei Server-Systeme während der Laufzeit gleichzeitig miteinander zusammen, die jeweils einem Haftungssubjekt zuzuordnen sind. Dabei ist zwar der Betreiber-Server das führende System, das den Aufbau der Seite steuert. Der Vorgang der Datenanalyse liegt jedoch ausschließlich bei Facebook. Ein zweiter Aspekt der technischen Implementierung zeigt in diese Richtung: Wer ist der Versender der Daten? Es versendet nämlich nicht "eine Seite des Betreibers" die Daten. Der Code von Facebook, veranlasst den Browser des Surfers, die Daten direkt an Facebook zu senden, nämlich IP-Adresse und Cookie. Nach den Regeln über Täterschaft und Teilnahme würde man also den Betreiber nicht als Täter ansehen, sondern nur als Gehilfen, von Facebook nämlich. Täter ist, wer die Tatherrschaft hat, und der Betreiber setzt nur eine notwendige Bedingung. Er ist das unvorsätzliche, gar ahnungslose Werkzeug. Kann es sein, dass diese Wertung dem allgemeinen Unwohlsein zugrunde liegt, dass man nämlich mit dem Betreiber den Falschen erwische?

Wir haben es hier mit einem Mashup zu tun, das eben aus zwei Diensten besteht – eine Struktur, die das deutsche Datenschutzrecht gar nicht kennt. Wenn man sich vorstellt, dass es im Internet der Web Services bald Zigtausende von Mashups gibt, die auf Hunderte von Diensten zugreifen, wird es sinnvoller sein, primär gegen den Diensteanbieter vorzugehen – und nicht gegen den Integrator. Verbote müssen allerorten gleich sein (und nicht in Hamburg anders als im Allgäu), und sie müssten durch eine Verfügung gegenüber allen Anwendern unmittelbar wirken.

Richtigkeit des Bauchgefühls

Wie sehr die abstrakte Lage sich im konkreten Fall spiegelt, zeigt die konkrete Begründung des ULD, warum der Websitebetreiber nach TMG / BDSG haften soll. Facebook habe "nicht die Alleinverantwortung" und sei unter diejenigen Websitebetreiber zu subsumieren, welche "nach Würdigung aller Gesamtumstände aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern". Das aber ist, wie oben gezeigt wurde, nicht der Fall.

Zusammen mit einem dritten Argument, der schnöden Prozessökonomie, zeigt sich also ganz rational die Richtigkeit des Bauchgefühls, dass man nicht die Bürger mit Bußgeldbescheiden überziehen sollte, sondern Facebook. Der Betreiber darf erst sekundär haften, die Lösungen wären vielfältig.

In der gegenwärtigen Rechtswirklichkeit solche Fälle klären zu wollen, ist allerdings aussichtslos. Zum ersten gibt es viele Handelnde (Surfer, Websitebetreiber, Facebook-Nutzer, Fanpage-Betreiber; Facebook), ohne dass die Rechtsordnung in dieser Hinsicht durchdacht wäre. Soll Kausalität irgendeines Handelns immer reichen – der Rest ist egal?

Zum zweiten ist die parallele Anwendung von TKG, TMG, BDSG, RStV und EU-Richtlinien angesichts der Wirklichkeit des bald zwanzigprozentigen Anteils der sozialen Netzwerke an der Internetnutzung systematisch unbefriedigend. Wie soll etwas Recht genannt werden, das Nutzern für den wichtigsten Typus an Internet-Kommunikationssystemen auf einfache Fragen zu Datenschutz, Inhaltehaftung, Impressumspflicht sowie Altersklassifizierung ohne Fachanwalt keine Antworten gibt?

Wenn es nicht bald wieder zu einer mehrjährigen Irritation vieler Beteiligter kommen soll, muss der Gesetzgeber zügig aufräumen und auch die Normierungstechnik überdenken.