Dieses Bild ist leider nicht mehr verfügbar
(picture alliance) Datenschützer Thilo Weichert

Facebook - „Datenschutz bleibt unverbindlich“

Er verbietet nicht, er setzt Verbote um. Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert spricht mit CICERO ONLINE über die Blockadehaltung von Facebook und Google sowie den Zustand von Social Communities und Datenschutz

Google und Facebook haben sich im Bundestag mit Ihnen und dem Bundesdatenschutzbeauftragten Peter Schaar ausgetauscht. Wie bewerten Sie deren Aussagen?

Die Antworten von Facebook und Google waren für mich überhaupt nicht überraschend. Das war alles schon vorher bekannt, speziell bei Facebook. Sie wollen nicht, dass die Nutzer sich in den sozialen Netzwerken mit Pseudonymen  bewegen. Sie erstellen zwar keine Profile von Nichtmitgliedern, erheben von ihnen aber trotzdem eine ganze Menge Daten. Sie berufen sich darauf, dass Mitglieder zu allen Vorgängen eine Einwilligung unterzeichnen müssen und versprechen, sich weiter um Transparenz und Datenschutz zu bemühen. Der Dialog ist zwar freundlich, aber unverbindlich. Facebook versprach Aufklärung über die von uns kritisierte Datenverarbeitung – bisher haben wir aber noch keine überprüfbaren Informationen erhalten. Im Prinzip ist die Datenverarbeitung auch das wichtigste Problem.

Was sagen Sie zu den anderen Gesprächspartnern von Facebook und Google?

Sehr erfreut hat mich die Qualität der Fragen der Abgeordneten. Anders als beim Bundesinnenministerium, welches signalisierte, in diesem Bereich überhaupt nicht selbst aktiv werden zu wollen - obwohl es als Datenschutzministerium dafür verantwortlich wäre.

Was waren das für Signale?

Einerseits verwies das Innenministerium auf Europa. Deutschland ist in der Diskussion über Datenschutz im Internet am weitesten, insofern könnten wir da wirklich stil- und vorbildend sein. Europa braucht aber Zeit, weshalb eine Regelung in Deutschland umso dringender notwendig ist.
Andererseits fordert die Behörde eine freiwillige Selbstverpflichtung der Wirtschaft. Die ist so lange unsinnig, so lange sie ohne die Aufsichtsbehörden passiert, die eine Selbstregulierung ohnehin zuerst genehmigen müssen. Der einzige Kodex, den es bisher zu Panoramadiensten gibt, ist nicht einmal genehmigungsfähig, weil er hinter den gesetzlichen Anforderungen zurückbleibt. Genau dies befürchte ich auch bei einer Selbstverpflichtung in Sachen Social Communities.

Welche Funktionen können Selbstverpflichtungen denn überhaupt erfüllen?

Eine Selbstverpflichtung hat die Funktion, gesetzliche Regelungen zu konkretisieren und auf die konkreten Angebote zu münzen. Da gibt es wahnsinnig viel Bedarf. Zum Beispiel bei allgemeinen Geschäftsbedingungen, Einwilligungserklärungen, technische Einstellungen, Stichwort „privacy by default“ und „privacy by design“. Es stellt sich die Frage, welche Daten wem zur Verfügung gestellt werden und wie mit Bildern umgegangen wird, speziell bei der Gesichtserkennung. Außerdem liest Facebook bei der Suche nach Bekannten die Adressbücher der Mitglieder einfach aus und gibt diese weiter.Auch das ist derzeit rechtlich nicht in Ordnung.

Lesen Sie auf der nächsten Seite, ob es eine Sonderregelung für Schleswig-Holstein geben wird und warum die bestehende Sonderregelung für Deutschland wenig bringt.

Letzte Woche war zu hören, Facebook würde für Schleswig-Holstein in Zukunft gesonderte Regelungen einführen?

Dieses Gerücht sollte inzwischen nicht mehr kursieren. Bei uns entstand der Eindruck, dass ernsthaft darüber nachgedacht wird. Diese Lösung ausschließlich für Schleswig Holstein wurde am Montag im Bundestag aber zurückgewiesen und Herr Allan hat signalisiert, dass es sich um ein Missverständnis handelte.

Lehnt er denn generell Sonderregelungen ab?

Diese Aussage bezieht sich auf Schleswig-Holstein. Eine deutsche Sonderregelung ist denkbar, zumal Facebook die IP-Adresse ausschließlich für Deutschland anonymisiert. Das ist heute schon Praxis.

Aber die Daten werden – mit anonymisierter IP-Adresse – trotzdem in die USA übertragen?

Genau. Die IP-Adresse ist anonymisiert, alle anderen personenbezogenen Daten sind weiterhin in den USA vorhanden.

Das heißt letztendlich, wenn die Daten mit einem Facebook-Account verknüpft sind...

... über Cookies und ähnliches lässt sich dann eine Re-Identifizierung vornehmen, ja. Der Nutzer könnte also wieder erkannt werden.

Könnte es einen Interessenskonflikt geben, wenn sich das Innenministerium – Stichwort Trojaner und Vorratsdatenspeicherung – mit den Datenschutzfragen Facebooks auseinandersetzt?

Das könnte so sein, würde mich aber sehr irritieren. Dass eine illegale, verfassungswidrige Datenverarbeitung von Privaten mit dem Ziel geduldet wird, für die eigenen Ermittlungsbehörden neue Ansätze zu liefern, kann ich mir nicht vorstellen. Aber ausschließen kann ich es natürlich auch nicht.

Die „Gefällt mir“-Buttons senden sogar Daten über den Nutzer und von ihm aufgferufene Seiten an Facebook, wenn sie nicht geklickt werden. Ihre Behörde fordert eine Strafe für Websitebetreiber aus Schleswig Holstein, die diese Knöpfe einsetzen. Geht das nicht an der Netz-Realität zwischen Google-Optimierung und Klick-Wettkampf vorbei?

Zunächst ist es eine zwar weitverbreitete, aber etwas falsche Wahrnehmung, dass wir etwas verboten hätten. Nicht wir verbieten etwas, sondern das Gesetz . Wir wollen möglichst wenig eingreifen und nicht gegen alle solche Websiten vorgehen, aber natürlich müssen wir auch Sanktionen verhängen können. Wir  wollen vor den Verwaltungsgerichten weiter kämpfen.

Lesen Sie auf der nächsten Seite Weicherts Meinung zur "Zwei-Klick-Lösung", zu einer dubiosen Gesetzesänderung in Schleswig-Holstein und zu den gefährlichsten "Netz-Riesen".

Reicht es für einen Websitebetreiber aus, die "Zwei-Klick-Lösung" zu nutzen, bei welcher der „Gefällt mir“-Button erst aktiviert werden muss, bevor er Daten sendet?

Diese Zwei-Klick-Lösung ist ein Weg in die richtige Richtung, aber so lange wir keine kontrollierbaren Informationen darüber haben, was Facebook mit den Daten macht, ist sie auch nicht das Papier wert, auf dem sie steht. Eine Einwilligung ist dann wirksam, wenn man informiert ist, also auch die Zwecke der Datenverarbeitung kennt. Wenn wir feststellen, dass Facebook die Daten tatsächlich nur so verwendet, wie sie es derzeitig darstellen, dann könnte eine zwei-Klick-Lösung tatsächlich auch eine Lösung sein.

Was wird als nächstes passieren?

Wir werden unsere Aktivitäten zu Facebook Insights, also zu Fanseiten und Social Plugins wie dem "Gefällt mir"-Button, weiter treiben. Außerdem wollen wir  zentrale Fragen – etwa über die Zulässigkeit von Fanseiten und Gefällt-mir-Buttons die Gesichtserkennung, den Freunde-Finder oder Angebote von Dritten – gerichtlich klären lassen

Vor einigen Wochen gab es eine Gesetzesänderung in Schleswig-Holstein, durch welche unter anderem die Möglichkeit eingeführt wurde, Sie als Datenschützer mit einer 2/3-Mehrheit abzuwählen. Wie kam das zustande?

Das basiert auf Vorschlägen von uns.

Hier sollte also nicht die Möglichkeit geschaffen werden, Sie, wenn Sie zu unangenehm werden...

Aber nein! Das hatte die Piratenpartei auch erst einmal vermutet. Hintergrund ist aber, dass die demokratische Legitimation des ULD-Leiters gegeben sein muss, um exekutiv tätig sein zu können. Eine parlamentarische Kontrolle muss also anderweitig gewährleistet sein als über die klassische Regierungskontrolle. Genau deshalb ist jetzt zusätzlich diese Abwahlmöglichkeit vorgesehen worden, was voll im Einklang mit unseren Vorstellungen ist.

Abschließend: von welchem Netz-Riesen gehen denn Ihrer Meinung nach die größten Gefahren aus?

(lacht) So was kann ich Ihnen nicht beantworten. Es gibt zu viele Netz-Riesen, wenn Sie diesen Begriff verwenden wollen. Da sind Microsoft, Apple, Facebook, Google. Die befinden sich beim Datenschutz auf unterschiedlichen Niveaus. Microsoft hatte sein Datenschutzrechtliches Coming-Out schon Ende der neunziger Jahre mit Palladium (heute NGSCB) und der digitalen Rechteverwaltung (DRM). Die haben also zumindest ansatzweise kapiert, was die anderen Unternehmen absolut noch lernen müssen.

Es geht von keinem Unternehmen eine Gefahr aus, wenn sie entsprechend reguliert werden und diese Regulierungen auch durchgesetzt werden. Natürlich gibt es dabei Defizite. Die wollen alle Geld verdienen – und zwar so viel wie möglich. Dabei scheren sie sich um deutsches oder europäisches Recht nur insoweit, als sie dazu gezwungen werden.

Vielen Dank für das Interview!

Das Interview führte Woody Mues. Bildrechte: picture alliance

Bei älteren Beiträgen wie diesem wird die Kommentarfunktion automatisch geschlossen. Wir bedanken uns für Ihr Verständnis.