Positionspapier der Konferenz der Datenschutzbeauftragten der Evangelischen Kirche in Deutschland zu sozialen Netzwerken (Facebook-Papier) Beschluss der Datenschutzkonferenz 15. November 2012 Inhaltsverzeichnis 1 Anlass

1

2 Position

1

3 Gründe

2

4 Anlage Beispiele

3

5 Anlage Auszüge Nutzungsbedingungen

4

6 Anlage Auszüge Datenverwendungsrichtlinie

5

1 Anlass Der Wunsch kirchlicher Stellen sowie diakonischer Einrichtungen und Dienste, am Leben in sozialen Netzen bzw. in Social Media teilzunehmen, nimmt zu, obwohl soziale Netze vordergründig der Privatkommunikation dienen, die Risiken eher weniger bekannt sind und deshalb zunächst vernachlässigt werden. In diesem Papier werden die Risiken bei der Nutzung von Social Media aus datenschutzrechtlicher Sicht erläutert, um Hilfestellung für oder gegen die Entscheidung zur Teilnahme an Social Media zu bieten. Die dargestellten Faktoren beziehen sich größtenteils auf das Angebot des US-amerikanischen Unternehmens Facebook Inc., nachfolgend Facebook genannt.

2 Position Aus Sicht der Datenschutzbeauftragten der Evangelischen Kirche Deutschland wird, 1. nach derzeitiger Rechtslage von der Teilnahme an Social Media auf nicht eigenverantworteten Servern oder Plattformen abgeraten (wirtschaftliches Risiko aufgrund von Defiziten bei der Beachtung des Urheber- , Wettbewerbs-, Datenschutz- und Telemedienrechtes), 2. eine rechtskonforme Fanpage-Betreibung insbesondere bei Einrichtungen, deren Arbeitsfelder den Tatbestandskreis des § 203 StGB (Verletzung von Privatgeheimnissen z.B. bei Beratungsstellen) berühren, aufgrund der besonderes sensiblen Daten aus datenschutzrechtlicher Sicht nicht für möglich gehalten (wegen der Schweigepflicht besteht ein besonders hohes Haftungsrisiko sowie die Gefahr der Anreicherung der Angaben im Nutzerprofil zu einem Sozialstigma), 3. die Verwendung von Facebook-Anwendungen (sog. Apps) auf Smartphones wegen nicht genehmigungsfähiger Auftragsdatenverarbeitung abgelehnt.

1

Entscheidet sich eine kirchliche Einrichtung gleichwohl aus anderen Gesichtspunkten zur Teilnahme an Social Media, so ist auf jeden Fall zu beachten: 1. Gestaltung eigener Social Media durch Einrichtung einer eigenen datenschutzkonformen Plattform, 2. Verzicht auf die Einbindung von Social-Plugins. Der “Gefällt-mir“-Button ist in “normale“ Internetseiten ausschließlich über eine 2-Klick-Lösung einzubinden, 3. Impressumsgestaltung gem. § 5 TMG nebst eigener Datenschutzerklärung sowie Ausführungen zu den wichtigsten Warnhinweisen (ggf. über Verlinkung zur Webseite des ULD Schleswig Holstein u. ä.). Da es noch keine gerichtliche Klärung über die Recht- oder Unrechtmäßigkeit von Fanpages im unternehmerischen Bereich gibt, besteht die Gefahr, dass beim Betreiben von Fanpages ggf. auch die Kompromisslösungen 2. bis 3. einer gerichtlichen Prüfung nicht Stand halten. Hierzu sind bereits Gerichtsverfahren anhängig, Entscheidungen stehen jedoch noch aus. Ein Haftungsrisiko sowie das wirtschaftliche Risiko bleiben bestehen.

3 Gründe Deutsche Fanpage-Betreiber und Datenschutz-Aufsichtsbehörden haben keine gesicherten Kenntnisse über die Datenverarbeitungsvorgänge bei Facebook (in den USA). Es ist dem Betreiber einer Fanpage daher unmöglich, den Nutzern eine allumfassende Transparenz über die Erhebung, Verarbeitung und Nutzung ihrer Daten zu vermitteln. Daher kann auch keine wirksame Zustimmung der Betroffenen zur Nutzung ihrer personenbezogenen Daten eingeholt werden. Unstrittig ist, dass beim Aufruf einer Facebook-Fanseite oder einer Internetseite mit “Gefällt-mir“Button im Hintergrund etliche personenbezogene Daten an Facebook übertragen werden. Dies geschieht unabhängig davon, ob der Nutzende selbst Facebook Mitglied ist oder nicht. Es geschieht außerdem, ohne dass der Nutzende eine wirksame Einwilligung in die Weitergabe seiner Daten abgegeben hätte oder ihm die Möglichkeit eingeräumt worden wäre, der Weitergabe zu widersprechen. Besondere Problematik beim Betreiben einer Fanpage ist, dass Facebook sich über die Nutzungsbedingungen erhebliche Rechte an eingestelltem Material (Texte, Bilder, Animationen etc.) einräumen lässt. Dabei wird von deutschen Juristen zwar davon ausgegangen, dass eine solche pauschale, nicht konkrete und nicht zweckbestimmende Übertragung von Urheberrechten nicht wirksam ist (vgl. § 31 Abs. 5 UrhG), dies ändert jedoch nichts daran, dass Facebook die Werke nutzt (Haftungsfalle). Damit verliert der Betreiber nach dem Einstellen seines Materials jegliche Einflussmöglichkeit auf dessen weitere Verwendung durch Facebook. Ferner ermöglichen die Nutzungsbedingungen Facebook, auf der Seite eines Betreibers beliebig Werbung anderer Betreiber zu platzieren. Ein Mitspracherecht obliegt dem Fanpage-Betreiber nicht. Facebook darf auch jederzeit die Fanpage einer (kirchlichen) Einrichtung oder Stelle als Image- oder Werbemittler einsetzen, selbst dann, wenn deren Verhältnis zu Facebook belastet ist. Ein Mitspracherecht oder das Recht auf Veröffentlichung einer Gegendarstellung haben die Betreiber von Fanpages dabei nicht. Solange es nicht anderslautende Gerichtsurteile gibt, sind die jeweils geltenden Nutzungsbedingungen von Facebook die geltende Grundlage bei der Rechtsbeziehung zwischen Facebook und dem Fanpage- Betreiber. Erschwerend kommt hinzu, dass Facebook die Nutzungsbedingungen oftmals ändert.

2

4 Anlage Beispiele Im Folgenden werden einige bedenkliche Beispiele dafür genannt, auf welche Daten Facebook wie zugreift: 1. Abgefragt werden bei der Anlage eines Facebook-Accounts: a) Name b) Geburtstag (Zweck: Platzierung altersgerechter Werbung) c) Politische Gesinnung (gehört gem. § 2 Abs. 11 DSG-EKD zu den besonders geschützten Daten.) d) Religiöse Gesinnung (gehört gem. § 2 Abs. 11 DSG-EKD zu den besonders geschützten Daten.) e) E-Mail-Passwort (Facebook erhält damit Zugang zum persönlichen E-Mail-Account der Nutzer und den damit gespeicherten Informationen und Kontaktdaten.) Die Buchstaben a) und b) sind Pflichtangaben. •

Bei der Nutzung von Facebook-Anwendungen (sog. Apps) für Smartphones werden übermittelt: f) Upload zu Facebook aller auf dem Smartphone befindlichen Kontaktdaten (Name, EMail-Adressen, Telefonnummern, Postanschrift, Fotos, Geburtsdaten). Die Angaben unterliegen sodann den Facebook- Datenschutzbestimmungen. g) Download aus Facebook der Profilbilder der Freunde des Smartphone-Nutzers und weitere Informationen. Die Daten werden dabei dem Smartphone-Adressbuch des Nutzers hinzugefügt. h) Upload zu Facebook der Daten von Newsletter-Abonnenten bei Fanpages mit einem Newsletter-Add-On. Auch wenn diese nicht Mitglied bei Facebook sind, verknüpft Facebook nach Möglichkeit deren Angaben bei der Newsletter-Anmeldung mit anderen zu ihnen gesammelten Daten (z.B. infolge des Besuchs einer “normalen“ Internetseite mit “Gefällt mir“-Button), sendet im Namen des Fanpage-Betreibers ohne dessen Veranlassung Emails an diese Nicht-Mitglieder und lädt selbige ein, dessen Freund/in zu werden. Nach Möglichkeit stellt Facebook dabei Verknüpfungen zu weiteren Personen her und schickt beispielsweise deren Foto mit, um die Empfänger zu animieren, über Facebook Kontakte zu diesen Personen herzustellen und dabei Facebook-Mitglied zu werden.

Die in der folgenden Anlage aufgeführten Auszüge aus den Nutzungsbedingungen und der Datenverwendungsrichtlinie von Facebook zeigen weitere bedenkliche Regelungen auf.

3

5 Anlage Auszüge Nutzungsbedingungen (Stand August 2012) ... Erklärung der Rechte und Pflichten ... 9. Besondere Bestimmungen für Entwickler/Betreiber von Anwendungen und Webseiten ... 12. Wir können eine Pressemitteilung veröffentlichen, in der wir unsere Beziehung zu dir beschreiben. ... 14. Wir garantieren nicht, dass die Facebook-Plattform stets kostenlos sein wird. ... 16. Du gibst uns das Recht, Links zu deiner Anwendung zur Verfügung zu stellen, deine Anwendung einzurahmen sowie andere Inhalte, einschließlich Werbeanzeigen, zusammen mit deiner Anwendung anzuzeigen. 17. Wir können deine Anwendung, Inhalte und Daten zu jeglichem Zweck, einschließlich kommerziellen Zwecken (wie die Bereitstellung von Werbung für bestimmte Zielgruppen und die Indexierung von Inhalten für die Suche), analysieren. ... 11. Besondere Bestimmungen für Werbetreibende ... 10. Wir können deine Werbeanzeigen und die damit verbundenen Inhalte und Informationen zu Marketing- oder Werbezwecken verwenden. 11. Du wirst ohne unsere vorherige schriftliche Erlaubnis keine Pressemitteilung veröffentlichen bzw. keine öffentlichen Erklärungen über deine Beziehung zu Facebook abgeben. ... 13. Besondere Bestimmungen für Software 1. Wenn du unsere Software herunterlädst, wie beispielsweise ein eigenständiges SoftwareProdukt oder ein Browser-Plug-in, stimmst du zu, dass die Software von Zeit zu Zeit Neuerungen, Aktualisierungen und zusätzliche Funktionen von uns herunterlädt, um die Software zu verbessern bzw. weiterzuentwickeln. ... 17. Besondere Bestimmungen für Nutzer außerhalb der USA ... Die folgenden Bestimmungen gelten für Nutzer sowie Nicht-Nutzer, die mit Facebook außerhalb der USA interagieren: 1. Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

4

6 Anlage Auszüge Datenverwendungsrichtlinie ... Daten, die wir erhalten, und ihre Verwendung Daten, die wir über dich erhalten ... •

Deinen Namen, deine Profil- und Titelbilder, dein Geschlecht, deinen Nutzernamen, deine Netzwerke und deine Nutzerkennnummer behandeln wir ebenso wie Informationen, die du auf eigenen Wunsch öffentlich zugänglich machst.

•

Durch die Angabe deines Geburtsdatums können wir dir altersangemessene Inhalte und Werbeanzeigen anbieten.

... Sonstige uns bereitgestellte Daten über dich Wir erhalten auch andere Arten von Informationen über dich: •

Jedes Mal, wenn du mit Facebook interagierst, erhalten wir Daten über dich, beispielsweise wenn du die Chronik einer anderen Person aufrufst, eine Nachricht sendest oder empfängst, nach einem/einer FreundIn oder einer Seite suchst, irgendwelche Dinge anklickst, aufrufst oder auf sonstige Art mit ihnen interagierst, eine Facebook-Handy-Anwendung nutzt oder Facebook-Gutschriften bzw. andere Dinge über Facebook erwirbst.

•

Wenn du Dinge wie Fotos oder Videos auf Facebook postest, erhalten wir gegebenenfalls auch zusätzliche, ergänzende Daten (oder Metadaten), etwa die Uhrzeit, das Datum und den Ort, an dem du das Foto oder Video aufgenommen hast.

•

Wir erhalten Daten von dem Computer, Handy oder sonstigen Gerät, mithilfe dessen du auf Facebook zugreifst, also auch darüber, wenn sich mehrere Nutzer vom selben Gerät anmelden. Bei diesen Daten kann es sich um deine IP-Adresse oder andere Informationen über Dinge wie beispielsweise deinen Internetdienst, deinen Standort, die Art (einschließlich IDs) des von dir genutzten Browsers oder die von dir besuchten Seiten handeln. Beispielsweise können wir dir mitteilen, wer von deinen Freunden in deiner Nähe ist, wenn wir deinen Standort per GPS bzw. einer anderen Lokalisierungssoftware erhalten.

•

Wir erhalten Daten immer dann, wenn du ein Spiel, eine Anwendung oder Webseite nutzt, welches die Facebook-Plattform verwendet, oder wenn du eine Webseite besuchst, auf der eine Facebook-Funktion (wie zum Beispiel ein soziales Plug-in vorhanden ist), manchmal auch über Cookies. Diese Daten können das Datum und die Uhrzeit deines Besuchs auf der betreffenden Webseite enthalten; dies gilt auch für die Internetadresse oder die URL, auf der du dich befindest, und ebenso für die technischen Daten über die IP-Adresse und den von dir genutzten Browser sowie das von dir verwendete Betriebssystem; enthalten ist auch deine Nutzerkennnummer, wenn du auf Facebook angemeldet bist.

•

Manchmal erhalten wir von unseren Werbepartnern, Kunden und anderen Dritten Daten, die uns (oder ihnen) bei der Schaltung von Werbeanzeigen sowie dem Verständnis der OnlineAktivität behilflich sind und Facebook allgemein verbessern. Beispielsweise unterrichtet uns ein Werbetreibender unter Umständen darüber, wie du auf eine auf Facebook oder auf einer anderen Webseite platzierte Werbeanzeige reagiert hast, um so die Wirksamkeit der betreffenden Werbeanzeige zu messen und ihre Qualität zu verbessern.

Wir stellen auch Daten aus denjenigen Informationen zusammen, die wir bereits über dich und deine Freunde haben. Beispielsweise stellen wir gegebenenfalls Daten über dich zusammen, um festzulegen, welche Freunde wir dir in deinen Neuigkeiten anzeigen oder welche Freunde wir dir zur Markierung in den von dir geposteten Fotos vorschlagen. Wir können deinen derzeitigen Wohnort mit GPS-Daten und anderen Ortsangaben, die wir über dich haben, zusammenführen, um dich und deine Freunde beispielsweise über Personen oder Veranstaltungen in eurer Nähe zu informieren oder dir Angebote anzubieten, an denen du eventuell interessiert bist. Gegebenenfalls stellen wir auch Daten über dich zusammen, um dir Werbeanzeigen anzuzeigen, die für dich von größerer Relevanz sind.

5

Wenn wir deinen GPS-Standort erhalten, führen wir ihn mit anderen Ortsangaben zusammen, die wir über dich haben (wie deinen derzeitigen Wohnort). Allerdings speichern wir diese Angaben nur so lange, wie sie uns nützen, um dir Dienstleistungen anzubieten; so behalten wir deine letzten GPSKoordinaten, um dir entsprechende Benachrichtigungen zu senden. Wir stellen unseren Werbepartnern und Kunden nur Daten zur Verfügung, nachdem wir deinen Namen sowie alle anderen personenbezogenen Informationen von diesen entfernt haben oder sie auf eine Weise mit den Daten anderer Nutzer kombiniert haben, durch die sie nicht mehr mit dir in Verbindung gebracht werden können. ... Öffentliche Informationen ... Deine Daten auf eigenen Wunsch öffentlich zugänglich machen heißt genau das, wonach es sich anhört: Jeder, also auch Personen außerhalb von Facebook, kann diese Daten sehen. ... Wie wir uns bereitgestellte Daten verwenden Wir verwenden die uns bereitgestellten Informationen über dich im Zusammenhang mit den Dienstleistungen und Funktionen, die wir dir und anderen Nutzern, wie zum Beispiel deinen Freunden, unseren Partnern, den Werbetreibenden, die Werbeanzeigen auf Facebook buchen, sowie den Entwicklern der von dir genutzten Spiele, Anwendungen und Webseiten anbieten. Beispielsweise können wir die über dich erhaltenen Informationen folgendermaßen verwenden: •

als Teil unserer Bemühungen, Facebook-Produkte, -Dienste und -Integrationen sicher zu gestalten;

•

um die Rechte bzw. das Eigentum von Facebook bzw. Dritten zu schützen;

•

um dir Ortsfunktionen und -dienstleistungen zur Verfügung zu stellen, z. B. um dich und deine Freunde über Ereignisse in eurer Nähe zu informieren;

•

um die Effektivität der Werbeanzeigen, die du siehst bzw. andere Personen sehen, zu messen und zu verstehen; dazu gehört auch, dass wir dir relevante Werbeanzeigen bereitstellen;

•

um dir und anderen Facebook-Nutzern Vorschläge zu unterbreiten, wie etwa: vorzuschlagen, dass dein/e FreundIn unseren Kontaktimporter verwenden soll, weil du festgestellt hast, dass deine Freunde diese Funktion verwendet haben; dass ein anderer Nutzer dich als FreundIn hinzufügt, weil der Nutzer dieselbe E-Mail-Adresse importiert hat wie du; oder dass einer deiner Freunde dich auf einem von ihm/ihr hochgeladenen Foto, das dich zeigt, markiert; und

•

für interne Prozesse, u. a. Fehlerbehebung, Datenanalyse, Testen, Forschung, und Leistungsverbesserung.

Indem du uns die Erlaubnis hierzu erteilst, gestattest du uns nicht nur, Facebook in seinem heutigen Zustand zur Verfügung zu stellen, sondern dir zukünftig auch innovative Funktionen und Dienstleistungen anzubieten, die wir unter neuartigem Einsatz der Daten, die wir über dich erhalten, entwickeln. Obwohl du uns gestattest, die Informationen zu verwenden, die wir über dich erhalten, bleiben diese doch stets dein Eigentum. Dein Vertrauen ist uns wichtig. Darum machen wir Informationen, die wir über dich erhalten, anderen nicht zugänglich, es sei denn wir haben •

deine Genehmigung dazu erhalten;

•

dich beispielsweise in diesen Richtlinien darüber informiert; oder

•

deinen Namen sowie alle anderen personenbezogenen Informationen von diesen Daten entfernt.

...

6