Deutscher Bundestag – 17. Wahlperiode
75 –
–
–– 75
Im Januar 2011 habe ich die behördlichen Datenschutzbeauftragten der Obersten Bundesbehörden um entsprechende
Prüfung aller Internetangebote sowohl ihrer eigenen Stellen
als auch der jeweils nachgeordneten Behörden gebeten.
Von den angeschriebenen 43 behördlichen Datenschutzbeauftragten wurden bis zum März 2011 insgesamt 77 Internetseiten benannt, die von Bundesbehörden betrieben
werden.
Laut diesen Rückmeldungen gab es dabei 22 verschlüsselte sowie 34 unverschlüsselte Kontaktformulare. Von
den unverschlüsselten Formularen war aber bei sieben
eine entsprechende Verschlüsselung bereits in der Vorbereitung. Bei weiteren 20 Internetangeboten waren gar
keine Kontaktformulare vorhanden. Positiv ist auch anzumerken, dass allein aufgrund meiner Anfrage einige Formulare auf den verschlüsselten Betrieb umgestellt wurden
und ein unverschlüsseltes Formular unmittelbar entfernt
wurde. Im April 2011 habe ich die behördlichen Datenschutzbeauftragten der Obersten Bundesbehörden über
das Abfrageergebnis informiert und dazu aufgefordert,
bei allen noch unverschlüsselt betriebenen Kontaktformularen geeignete Verschlüsselungsmaßnahmen umgehend
zu etablieren. Nach meinem jetzigen Kenntnisstand ist
dieses Verfahren überall abgeschlossen.
Ergänzend zu meinem o. g. Schreiben habe ich im Januar 2011 auch darauf hingewiesen, dass die Verwendung
des „Facebook-Like-Buttons“ aus datenschutzrechtlicher
Sicht bei Internetangeboten der Bundesbehörden nicht
akzeptiert werden kann. Zu diesem Zeitpunkt war auf den
Internetseiten der Bundesbehörden noch kein „FacebookLike-Button“ implementiert; lediglich eine Bundesbehörde plante die Einbindung dieses Social-Plugins (vgl.
auch Nr. 5.8.3).
Ich werde auch zukünftig die Internetangebote der Bundesbehörden auf die Einhaltung des Datenschutzes kontrollieren. Aufgrund der Vielzahl sowie der stetigen
Erweiterungen und Anpassungen der betriebenen Internetangebote wird mir eine flächendeckende und aktuelle
Kontrolle aber leider auch in Zukunft nicht möglich sein.
5.8
Soziale Netzwerke
Auch in dieser Berichtsperiode haben sich die Nutzerzahlen und die Bedeutung interaktiver Internetdienste weiter
verstärkt. Dabei sind soziale Netzwerke von besonderer
Bedeutung – nicht allein wegen des schieren Umfangs der
Mitgliederzahlen, sondern auch wegen der Art ihrer Nutzung. Stehen für den Privatnutzer die Möglichkeiten zur
Kontaktpflege mit „Freunden“ (… dabei kann es sich sogar um echte Freunde handeln oder aber auch nur um entfernte Bekannte) im Vordergrund, ergeben sich für kommerzielle und behördliche Nutzer neue Wege, mit ihrer
Kundschaft bzw. mit den Bürgerinnen und Bürgern in
Kontakt zu treten. Diese neuen Möglichkeiten werden
aber mit Risiken für den Datenschutz erkauft. Grund genug, sich mit diesen Diensten weiterhin kritisch auseinanderzusetzen und auf datenschutzfreundliche Lösungen zu
drängen.
Drucksache 17/13000
Unter den sozialen Netzwerken ist Facebook das erfolgreichste weltweit und wohl auch das beliebteste. Ob die
Millionen von Nutzern die – aus Datenschutzsicht – richtige Wahl getroffen haben, sollte eine Prüfung zeigen, die
einen Blick in die Verarbeitung der Nutzerdaten erlaubte.
Interesse an einem solchen Audit bestand bei allen europäischen Datenschutzbehörden gleichermaßen, kamen
doch immer wieder neue „Streiche“ ans Licht. Das Audit
wurde durch die irische Datenschutzbehörde durchgeführt.
5.8.1
Alles gut? Facebook nach dem Audit
Die irische Datenschutzbehörde hat das soziale Netzwerk
Facebook geprüft und die Ergebnisse in einem Bericht
veröffentlicht. Trotzdem bleiben viele datenschutzrechtliche Fragen unbeantwortet.
Manch einer wird sich sicherlich fragen, warum die irische Datenschutzbehörde ein US-amerikanisches soziales
Netzwerk prüft und dabei auch die notwendige Unterstützung durch das Netzwerk erhält. Und warum nicht deutsche Datenschutzbehörden dies in gleicher Weise tun
können. Die Antwort ist einfach und lässt doch viele Fragen offen: Facebook Ltd. in Irland sei die verantwortliche
Stelle für die Datenverarbeitung in Europa, die Datenverarbeitung selbst erfolge in deren Auftrag durch Facebook Inc. in den USA. Sagt Facebook Inc.
Will man dieses Konstrukt anerkennen, so ergibt sich aus
der EU-Datenschutzrichtlinie 95/46/EG und dem BDSG
die Anwendbarkeit des irischen Datenschutzrechts und
damit die Kontrollzuständigkeit der irischen Datenschutzbehörde. Eine alleinige Zuständigkeit beansprucht diese
jedoch nicht. Auch aus diesem Grunde konnten die europäischen Datenschutzbehörden in der Artikel-29-Gruppe
die Probleme aus den eigenen Ländern ansprechen und
den irischen Datenschutzbeauftragten um Berücksichtigung bitten.
Wenig Zustimmung findet die Position von Facebook bei
einigen deutschen Landes-Aufsichtsbehörden, die auch
ihre Zuständigkeit gegeben sehen, weil Daten von Facebook-Nutzern in Deutschland erhoben und verwendet
werden. Facebook beharrt jedoch auf seiner Position, und
so blieben Forderungen aus den deutschen Datenschutzgesetzen letztendlich immer dann unberücksichtigt, wenn
vergleichbare Regelungen im irischen Recht nicht bestehen.
Dies ist z. B. der Fall bei der sog. Klarnamenpflicht, die
Facebook in seinen Nutzungsbedingungen festgeschrieben hat. Die Begründung: Die Idee des sozialen Netzwerks sei, dass jeder wisse, mit wem er es zu tun habe.
Und: Die Sicherheit müsse gewährleistet werden. Das
deutsche Telemediengesetz sieht nun aber vor, dem Nutzer eine anonyme Nutzung oder die Verwendung eines
Pseudonyms zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Im irischen Datenschutzrecht fehlt
eine solche Vorschrift, die Klarnamenpflicht wurde daher
bei der Prüfung nicht beanstandet. Solche und ähnliche
Probleme, die durch die globalisierte Informationsverarbeitung bei unterschiedlichen oder fehlenden nationalen
BfDI 24. Tätigkeitsbericht 2011-2012