Tracking und Analyse durch Facebook

Transkript

1 Moritz Karg, Sven Thomsen Tracking und Analyse durch Facebook Das Ende der Unschuld Facebook betreibt mit seinem Social Network eines der größten Werbenetzwerke 1 im Internet. Die hierfür verwendete Plattform analysiert das Verhalten der Nutzerinnen und Nutzer und bringt dieses mit persönlichen Vorlieben, Alter, Geschlecht und Interessen in Verbindung. Die Autoren stellen die Ergebnisse ihrer Analyse vor. 1 1 Einleitung 2 Facebook ist mittlerweile im Internet und außerhalb des Internets allgegenwärtig. Kaum ein Unternehmen oder eine öffentliche Stelle kommt um die Frage herum, ob man nun mitmachen oder draußen bleiben soll. In der Medienbranche ist der Dienst der Facebook Inc. derart etabliert, dass man fast von einem marktüblichen Standard sprechen muss. Auch staatliche Stellen greifen zur Kommunikation und Vermittlung von Inhalten immer stärker auf die Dienste des kalifornischen Unternehmens zurück. Fast schon trivial ist die Feststellung, dass die Facebook Inc. die immensen Kosten der Zurverfügungstellung ihrer Dienste für die fast eine Milliarde Nutzer maßgeblich durch Einnahmen aus der Werbung deckt. Zahlenden Kunden verspricht das Unternehmen dabei nicht nur, zielgruppengenau ihre Werbung nach Alter, Geschlecht und Interessen platzieren zu können. 3 Über die durch 1 We are largely an advertising company..., Doug Purdy, Facebook, (Stand ) 2 Dieser Beitrag gibt die persönliche Auffassung der Autoren wieder. 3 Dr. Moritz Karg Referent beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit moritz.karg@datenschutz.hamburg.de Sven Thomsen Referatsleiter Technik im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein die Facebook Inc. angebotenen Statistiktools lassen sich umfassende Berichte über Art, Umfang und Dauer der Nutzung des eigenen Angebots auf der Plattform der Facebook Inc. abrufen. 4 Abb. 1 Übergreifende Darstellung der Kommunikation Von zentraler Bedeutung für den wirtschaftlichen Erfolg des Unternehmens sind die Fanpages, Social-Plugins sowie die angebotenen Programmschnittstellen für den direkten Zugriff auf die Facebook Plattform (API). Das wirtschaftliche Kapital des Unternehmens ist die soziale Interaktion der angemeldeten Nutzerinnen und Nutzer. Vor allem mit den Social-Plugins können Webseitenbetreiber ohne großen technischen Aufwand die Funktionalitäten von Facebook in ihre Dienste integrieren und unterstützen dabei die Vernetzung des eigenen Angebots mit den Angeboten von Facebook. Maßgeblich für die Entwicklung des Dienstes der Facebook Inc. ist die Messung und Auswertung der Nutzeraktivitäten zwischen den externen Seiten und den durch die Nutzer angelegten Profilen sowie der Interaktion mit sonstigen medialen Inhalten und der Kommunikation der Nutzerinnen und Nutzer untereinander. 5 Die datenschutzrechtliche Brisanz der Erfassung und Analyse ergibt sich aus der Kombination von Profilinformationen, geteilten und ausgetauschten Nachrichten und Inhalten und der Analyse des Verhaltens in- und außerhalb der Plattform. Letztere Auswertung ist insoweit von Bedeutung, da dieser Vorgang wenig transparent ist und den Nutzerinnen und Nutzern in der Regel verborgen bleibt. Dieser Beitrag wird auf der Grundlage einer sthomsen@datenschutzzentrum.de 4 (Stand 5 Gerlitz, Die Like Economy in: Leisert/Röhle (Hrsg.), Generation Facebook, 2011, S: 102 f. DuD Datenschutz und Datensicherheit

2 technischen Analyse des Verfahrens zur Auswertung der Nutzeraktivitäten eine datenschutzrechtliche Bewertung vornehmen. Trotz der mittlerweile auch in den Medien umfassend geführten Diskussion hat Facebook bisher keine Transparenz über die analysierten Verfahren hergestellt. Andererseits hat das Unternehmen bisher den technischen Feststellungen nicht widersprochen. 2 Übergreifende Darstellung der Kommunikation Die Nutzung von Facebook über das Webinterface auf facebook. com oder über auf anderen Webseiten eingebundene sogenannte Social-Plugins (wie z. B. die in deutschen Webseiten mittlerweile weit verbreiteten Gefällt mir - bzw. Like -Buttons) folgt einem in seinen Grundzügen größtenteils gleichartigen Muster. Ein Großteil der Daten wird hierbei durch ein eigenes Netzwerk von Rechnern ausgeliefert. Dieses so genannte Facebook Content Delivery Network (FBCDN) besteht aus seiner Vielzahl von Systemen, die für unterschiedliche Teile der Webschnittstelle von Facebook zuständig sind. 6 Über die Systeme static.ak.fbcdn.net werden wahrscheinlich vor allem nicht-personenbezogene Daten wie Grafiken und Icons, Zusammenstellungen von HTML-Elementen und die JavaScript- Bibliotheken ausgeliefert. Die Systeme profile.ak.fbcdn.net liefern großvolumige Daten aus den Profilen der Facebook-Nutzerinnen und -Nutzer, wie die Profilbilder, Videos, Fotoalben etc. Der initiale Aufruf sowohl der Webschnittstelle facebook.com als auch von Social-Plugins erfolgt stets direkt bei Servern von Facebook und nicht von Systemen, die zum FBCDN gehören (vgl. Abbildung 1). Als Antwort auf den initialen Aufruf sendet Facebook eine HTML-Seite oder einzelne HTML-Elemente zurück. In diesem HTML-Elementen finden sich dann zahlreiche Verweise auf nachzuladende Grafiken, Formatierungsangaben (Cascading Stylesheets, CSS) und Programmcode (JavaScript) sowie Anweisungen zum Setzen von Cookies. Mit Hilfe des Programmcodes, der Cookies und auf Basis der abgerufenen Inhalte ist Facebook in der Lage, das Nutzungsverhalten von angemeldeten, nicht-angemeldeten und vermutlich auch Nicht-Facebook-Nutzerinnen und Nutzern nachzuvollziehen (Tracking). 3 Tracking-Mechanismen Auf Basis der nachfolgend beschriebenen technischen Analyse 7 kommen die Autoren zum Schluss, dass Facebook eine Plattform zur Verfügung stellt, auf der die Analyse des Nutzungsverhaltens angemeldeter und nichtangemeldeter Nutzerinnen und Nutzer ermöglicht wird. Insoweit muss Facebook neben den Elementen des Sozialen Netzwerks auch als eine technische Infrastruktur zur Messung des Gebrauchs von Angeboten im Internet verstanden werden. Dabei sind drei Bereiche zu trennen, für die jeweils unterschiedliche technische Verfahren zum Einsatz kommen. 3.1 Nutzungs-Analyse angemeldeter Nutzerinnen und Nutzer Der erste Bereich dient der Analyse des Verhaltens angemeldeter Nutzerinnen und Nutzer auf der Internetpräsenz des Unternehmens, d. h. derjenigen Nutzerinnen und Nutzer, die sich bei Facebook registriert und ein Nutzerkonto erhalten haben. Gemäß der unternehmensseitig veröffentlichten Privacy Policy nunmehr Datenverwendungsrichtlinie genannt protokolliert Facebook das Verhalten seiner Nutzerinnen und Nutzer auf der Webseite. Welchen konkreten Umfang diese Protokollierung erreicht, erläutern die Facebook-Richtlinien nicht. Facebook kann auch die Interaktion nicht-angemeldeter Internet-Nutzerinnen und Nutzer (in Bezug auf Facebook: Nichtnutzer ) erfassen. Dies geschieht zum einen dann, wenn nicht-angemeldete Nutzerinnen oder Nutzer die Webschnittstelle von Facebook aufrufen. Eine Erhebung von Nutzungsinformationen erfolgt zum anderen aber auch durch die auf fremden Webseiten eingebundenen Social-Plugins. Die Nutzung von Internetdiensten, die Social-Plugins von Facebook in ihr Angebot eingebunden haben, wird durch Facebook registriert und ausgewertet. Eine Analyse des Nutzungsverhaltens authentifizierter (aktiv angemeldeter) Nutzerinnen und Nutzer über die Social-Plugins ist über die bereits erwähnte Nutzungsanalyse ebenfalls möglich. Unklar bleibt, welche konkreten Zwecke Facebook mit der Analyse des Nutzungsverhaltens vor allem bei nicht-authentifizierten Nutzerinnen und Nutzern verfolgt. Im Abschnitt Sonstige uns bereitgestellte Daten über dich der Facebook-Datenverwendungsrichtlinien werden die erhobenen Daten nur vage beschrieben. 8 Die Daten werden unter anderem benutzt, um Facebooks sonstige Rechte und Eigentum zu schützen, Dienstleistungen anzubieten, die wir unter neuartigem Einsatz der Daten, die wir über dich erhalten, entwickeln und um Werbung personenbezogen einzublenden. 9 Hinsichtlich der Erfassung des Nutzungsverhaltens nicht-authentifizierter Nutzerinnen und Nutzer finden sich in der Daten- Abb. 2 Beispiel Nutzungsanalyse Insights (Auszug) 6 Das Facebook-Profilbild des Bundesbeauftragten für Datenschutz und Informationsfreiheit ist bei Akamai unter hprofile-ak-snc4/49151_ _7279_n.jpg abrufbar. 7 Die vollständige Analyse ist auf den Webseiten des Unabhängigen Landeszentrums für Datenschutz (ULD) veröffentlicht: 8 Datenverwendungsrichtlinie, your-info#inforeceived 9 Datenverwendungsrichtlinie, your-info#howweuse 730 DuD Datenschutz und Datensicherheit

3 schutzerklärung und in der sonstigen durch Facebook zur Verfügung gestellten Dokumentation zum aktuellen Zeitpunkt keine Hinweise. Facebook hat die in der Analyse der Autoren getroffenen Aussagen bestätigt und die Existenz und den Einsatz der nachfolgenden Analysewerkzeuge in der Vergangenheit eingeräumt. 10 Obwohl es sich laut Aussagen Facebooks um Komponenten handelt, deren Nutzung wir aber später aufgegeben haben 11, sind diese zum aktuellen Zeitpunkt noch aktiv. Cavalry-Logging In nahezu jeder JavaScript-Datei, die beim Aufruf eines Social- Plugins oder der Webschnittstelle facebook.com übertragen wird, wird zu Beginn eine Protokollierung (Logging) durchgeführt. Die Protokollierung erfolgt für jede JavaScript-Datei mit einer für die jeweilige JavaScript-Datei eindeutigen Identifikationszeichenkette (ID). EagleEye-Logging Facebook führt für zahlreiche Nutzeraktionen eine Protokollierung durch. Diese Protokollierung wird an mehreren Stellen verwendet. Die Verteilung der Logfunktionen folgt keinem erkennbaren Muster; nicht alle über die Webschnittstelle oder die Social-Plugins abrufbaren Aktionen in der Nutzeroberfläche sind mit Logfunktionen ausgestattet. Nectar-Logging An verschiedenen Stellen wird eine Protokollierung ausgeführt, die nach aktuellem Kenntnisstand eher der klassischen Nutzungsanalyse (Impression-Logging) als rein technischen Zwecken dient. 3.2 Nutzungs-Analyse nicht-angemeldeter Nutzerinnen und Nutzer Auch bei nicht-angemeldeten und somit nicht-authentifizierten Nutzerinnen und Nutzern kann eine Analyse der Nutzung erfolgen. Cookies Bei der Nutzung der Webschnittstelle setzt Facebook mehrere Cookies: Cookie datr mit zufälliger ID (zwei Jahre gültig); Cookie lsd mit kurzer ID (nur für die Dauer der Sitzung gültig); Cookie reg_fb_gate mit Domain (nur für die Dauer der Sitzung gültig); Cookie: reg_fb_ref mit Domain und Referrer (nur für die Dauer der Sitzung gültig). Der Cookie datr enthält eine ID, die nachfolgend bei jeder Kommunikation mit Facebook, unabhängig davon, ob es sich um die Webschnittstelle oder ein Social-Plugin handelt, gesendet wird und zumindest zwei Jahre erhalten bleibt. Der Cookie lsd wird unter anderem zur Initialisierung der Protokollierungskomponenten genutzt und dient wahrscheinlich zur Session-Verwaltung. Die Cookies reg_fb_gate und reg_ fb_ref werden wahrscheinlich genutzt, um die Einstiegsseite 10 Umdruck 17/2684 des Schleswig-Holsteinischen Landtags. 11 Schreiben von Facebook vom , und verweisende Seite für die Registrierung zu speichern. Der Verwendungszweck ist unklar. Denkbar ist, dass Facebook hierüber Kampagnen erkennt oder im Rahmen von Partnermodellen die über diese Partnerseiten durchgeführten Registrierungen unterscheidet. Webseiten und Social-Plugins Facebook bietet über Social-Plugins die Möglichkeit, einzelne Funktionen der Facebook-Plattform auf eigenen Webseiten einzusetzen. Social-Plugins werden durch kurze Fragmente von HTML- oder JavaScript-Anweisungen in die Webseiten eingebunden. Die Kommunikation verläuft hier ähnlich wie oben beschrieben: Einem Aufruf bei Facebook folgen zahlreiche Aufrufe bei dem FBCDN. Bei der Nutzung der Social-Plugins wird stets die einbindende Webseite mit einer eindeutigen, von Facebook vergebenen ID und teilweise auch der URL angegeben. Diese Informationen werden an Facebook übertragen. Facebook erhält somit ein detailliertes Bild über die auch außerhalb von Facebook aufgerufenen Internet-Angebote. Werden diese Funktionen eingebunden, so wird ohne weitere Interaktion des Nutzers kein Cookie gesetzt. Erst wenn der Nutzer die eingebetteten Facebook-Funktionen aufruft, erfolgt das Setzen eines Cookies. Facebook erhält generell bei jedem Aufruf eines in einer Webseite eingebundenen Social-Plugins: die Grunddaten eines Webseitenaufrufs: IP-Adresse, Browserstring erweiterte Daten aus dem Social-Plugin: Adresse der Webseite, eindeutige ID der Webseite aktiv abgefragt: Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins, Sprache nach einmaliger Interaktion mit Facebook: über datr-cookie eine zwei Jahre gültige, eindeutige ID der Browserinstanz, im allgemeinen einer Nutzer-ID gleichzusetzen 3.3 Facebook Insights Facebook stellt mit Hilfe des Werkzeugs Insights detaillierte Statistikinformationen über Nutzerinnen und Nutzer zur Verfügung, die von Betreibern von Facebook-Seiten (Administratoren von sog. Fanpages) und Facebook-Plattform-Anwendungsentwicklern sowie Webseitenbetreibern, die Funktionen der Facebook-Plattform in ihrer Webseite per Social-Plugin wie dem Like-Button integrieren, abrufbar sind. Diese Statistiken beziehen sich auf authentifizierte Nutzende und die ihnen zugeordneten Facebook-Seiten, Anwendungen oder Webseiten. Sie sind von dafür eingetragenen Administratoren mit Facebook-Konto über abrufbar. Die durch Facebook erstellte Statistik erlaubt Rückschlüsse auf die Nutzung der Angebote. Zu diesen Bereichen gehören laut Facebook Angaben über den Nutzerzuwachs, Demographie, Nutzung und Erstellung von Inhalten. Die Statistik-Funktion wird durch Facebook kostenfrei auf sämtlichen Facebook-Seiten und Plattform-Anwendungen sowie Webseiten mit Open Graph-Protokoll durch das Unternehmen zur Verfügung gestellt. Nutzerinnen und Nutzer von Fanpages können die Erstellung dieser Statistiken nicht beeinflussen oder unterbinden. DuD Datenschutz und Datensicherheit

4 Abb. 3 Analyse soziodemograhischer Daten in Insights (Ausschnitt) 4 Datenschutzrechtliche Bewertung Bei den beschriebenen Verfahren handelt es sich um Verfahren der Webanalyse (Reichweitenanalyse) unter Verwendung der bei der Nutzung entstandenen Verkehrsdaten. Unter Webanalyse 12 (Web Analytics, Web Controlling, Traffic-Analyse, Clickstream- Analyse oder Reichweitenanalyse) wird das Sammeln, Analysieren und Auswerten des Nutzungsverhaltens der Nutzerinnen und Nutzern von Telemediendiensten verstanden. 13 Die Analyse des Nutzungsverhaltens wird aus datenschutzrechtlicher Sicht in 15 Abs. 3 des Telemediengesetzes geregelt. Der gewährte Nutzerschutz greift jedoch nur, wenn das Telemediengesetz auf die oben beschriebenen Verfahren Anwendung finden. Datenschutzgesetze, wie andere Gesetze auch, adressieren keine Verfahren oder Gegenstände, sondern Personen. Zu klären ist daher, wer für die durch das Verfahren Facebook Insights durchgeführte Datenverarbeitung verantwortlich ist und welche Rechtsordnung darauf Anwendung findet. 4.1 Verantwortliche Stelle Die Festlegung der verantwortlichen Stelle ist maßgeblich für die Bestimmung des anwendbaren Rechts und die daraus folgende Zuweisung der datenschutzrechtlichen Verpflichtungen. Der Begriff der verantwortlichen Stelle wird im Telemediengesetz nicht definiert. Daher muss auf 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) zurückgegriffen werden. Danach ist verantwortliche Stelle eine natürliche oder juristische Person, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Nicht ausgeschlossen ist nach dieser Definition, dass auch zwei oder mehrere Stellen für ein Verfahren die rechtliche Verantwortung innehaben. Zwar ist dies in der deutschen Datenschutzpraxis bisher kaum rechtlich erörtert worden 14 bzw. wird diese Ansicht unter dem Schlagwort des Fehlens des Konzernprivilegs abgelehnt. 15 Unter Letzterem wird die Zuweisung der datenschutz- 12 Auch Webtracking, siehe Gateway, DuD 11/2010, S U.a. Buchner in: Taeger/Gabel (Hrsg.), BDSG, 3, Rn. 52 f. 15 Wedde, Verantwortliche Stellen, in Roßnagel (Hrsg.), Handbuch des Datenschutzrecht, Kap. 4.3, Rn. 50. rechtlichen Verantwortung innerhalb eines Konzerns auf die jeweils eigenständigen Konzerntöchter verstanden. Andererseits lässt die Europäische Datenschutzrichtlinie eine geteilte Verantwortung zu, in dem sie in Art. 2 Buchst. d) die Ausübung den Stellen zuweist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Insoweit wäre eine extensivere Auslegung des Begriffes im Einklang mit den europäischen Vorgaben. Faktisch würde dies auch nicht zu einer Verengung, sondern vielmehr Erweiterung der Verantwortlichkeit führen, indem verschiedene Stellen für Teilbereiche eines Verfahrens die Verantwortung übernehmen. 16 Gerade bei komplexen Verarbeitungsverfahren unter Beteiligung mehrerer rechtlich selbständiger Stellen würde damit ein Verlust der datenschutzrechtlichen Verantwortung im Zuständigkeitswirrwarr vermieden werden. Eine extensive Auslegung des Begriffs der verantwortlichen Stelle entspräche auch dem Ziel des BDSG, den Kreis der von der Normierung erfassten Unternehmen und Behörden im Sinne einer effektiven Sicherung des Rechts auf informationelle Selbstbestimmung weit zu fassen. 17 Die Verpflichtung zur Beachtung der datenschutzrechtlichen Vorgaben obliegt der Stelle, welche in tatsächlicher Hinsicht die Möglichkeit hat, auf die inhaltliche Ausgestaltung des Verarbeitungsvorganges einzuwirken. 18 Dies ist regelmäßig nicht bei Unternehmen der Fall, die als Auftragsdatenverarbeiter tätig werden. Denn diese sind von den inhaltlichen Vorgaben der Auftraggeber abhängig. 19 Für das Verfahren der Verhaltens- und Nutzungsanalyse Facebook Insights sind damit sämtliche Stellen im datenschutzrechtlichen Sinn verantwortlich, die auf die Erhebung, Verarbeitung und Nutzung der Daten Einfluss nehmen können. In Betracht kommen dabei neben den Nutzerinnen und Nutzern die Unternehmen des Facebook Konzerns, wie z. B. Facbook Inc., Facebook Irland Ltd. oder Facebook Germany GmbH, sowie die Unternehmen und Stellen, die zur Erreichung ihrer Aufgaben oder Geschäftszwecke die Dienste des Netzwerksbetreibers in Anspruch nehmen. Abzugrenzen sind diese Unternehmen von den erstgenannten Nutzerinnen und Nutzern, die hauptsächlich zu privaten Zwecken den Dienst einsetzen und wohl gemäß 1 Abs. 2 Nr. 3, 27 Abs. 1 S. 2 BDSG die datenschutzrechtlichen Vorgaben nicht zu beachten haben. 20 Facebook Inc. als verantwortliche Stelle 16 Unabhängiges Landeszentrum für Datenschutz, Wer ist datenschutzrechtlich verantwortlich für Facebook-Fanpages und Social-Plugins?, datenschutzzentrum.de/facebook/facebook-verantwortlichkeit.html (Stand 17 OLG Hamburg, Urt. v U 134/10, DuD 2011, 897, Ebda. 19 Gola/Schomerus, BDSG, 10. Aufl., 11, Rn Vgl. Data Protection Commissioner, Report of Audit, S DuD Datenschutz und Datensicherheit

5 Der Stammsitz des Facebook Konzerns befindet sich in den USA und wird durch die Facebook Inc. repräsentiert. Das Unternehmen unterhält verschiedene, rechtlich selbstständige Tochterunternehmen. Die für Deutschland bzw. Europa relevanten Unternehmen sind die Facebook Irland Ltd. und die Facebook Germany GmbH. Letztere ist aus datenschutzrechtlicher Sicht irrelevant, da diese als reines Marketing-Unternehmen fungiert und keinen maßgeblichen Einfluss auf die Datenverarbeitungsprozesse hat. Streitig ist hingegen die Verteilung der datenschutzrechtlichen Verantwortlichkeiten zwischen der Facebook Inc. als Konzernmutter und deren Tochter Facebook Irland Ltd. Die Nutzungsbedingungen bzw. das Impressum weisen die Facebook Irland Ltd. als Vertragspartner der Nutzerinnen und Nutzer des Dienstes aus. Auch behauptet die Facebook Inc., nur Auftragsdatenverarbeiter der eigentlich datenschutzrechtlich zuständigen Facebook Irland Ltd. zu sein. 21 Insoweit sprechen die ersten Indizien für die Verlagerung der Verantwortung auf die Facebook Irland Ltd. Jedoch reicht eine rein rechtliche Zuweisung der datenschutzrechtlichen Verantwortung für deren Begründung nicht aus. Sie kann lediglich Indiz, nicht jedoch Beweis für eine Zuständigkeitsverortung sein. Maßgeblich ist vielmehr, welche Stelle faktisch die Kontrolle über die Verarbeitungsprozesse ausübt. 22 Daher ist der Abschluss von entsprechenden Verträgen, die eine Übertragung der Verantwortung von der Facebook Inc. auf die Facebook Irland Ltd. regeln, für eine rechtswirksame Verschiebung der Verantwortung unzureichend. 23 Auch der Bericht des Irischen Datenschutzbeauftragten über die Verteilung und Ausübung der Aufgaben gibt keine Hinweise darauf, dass die Facebook Irland Ltd. faktisch die Kontrolle über Art und Umfang der Erstellung der Nutzungsprofile hat. 24 Facebook nutzt die durch den Dienst Facebook Insights erhobenen Daten nicht allein zur Erstellung von Statistiken für die Verwender von Social-Plugins bzw. Betreiber von Fanpages. Sie sind vielmehr der Geschäftszweck des Unternehmens, die verhaltensbasierte Werbung. Somit muss (zumindest auch) die Facebook Inc. sowohl aus telemedienrechtlicher Sicht als Diensteanbieter für kommerzielle Kommunikation ( 2 S. 1 Nrn. 1, 5 TMG) als auch als datenverarbeitende Stelle i. S. d. BDSG angesehen werden, da sie ein eigenes geschäftliches Interesse an der Verwendung der erhobenen Daten hat und diese eigenverantwortlich steuert. Anwender der Social-Plugins und Betreiber von Fanpages Die weite Auslegung der Definition des Begriffs der verantwortlichen Stellen bezüglich der Teilung der Verantwortung für Verfahren bedingt es, die Frage nach der datenschutzrechtlichen Verantwortung für die Verwender von Social-Plugins, wie dem Like-Button, und Betreibern von Fanpages auf der technischen Plattform des Unternehmens Facebook zu stellen. Unbestritten ist, dass sie auf die konkrete technische Ausgestaltung des Verfahrens Facebook Insights keinen Einfluss haben und Art und Umfang der Datenverarbeitung auch nicht steuern können. Dies spricht gegen die Inanspruchnahme als datenschutzrechtlich verantwortliche Stelle. Andererseits wäre die Erstellung der Nutzungsstatistiken ohne die Einbindung der Social-Plugins auf externen Seiten und der Fanpages für Facebook nicht möglich. Facebook ist auf die Mitwirkung der Fanpage- und Webseitenbetreiber angewiesen, um seine Dienste in der Qualität anbieten zu können. Facebook hat die Erhebung der Daten durch die Verwendung von Social- Plugins und Fanpages auf externe digitale Räume dezentralisiert und auf andere verantwortliche Stellen übertragen. Die technische Aus- und wirtschaftliche Verwertung der Daten hingegen erfolgt nicht dezentral, sondern liegt im ausschließlichen Einflussbereich des Unternehmens Facebook Inc. 25 Dieses neuartige, arbeitsteilig organisierte Verfahren führt auch zu einer Dezentralisierung der datenschutzrechtlichen Verantwortung. Die Erhebung der Nutzungsdaten ist integraler Bestandteil des gesamten Verfahrens Facebook Insights und conditio sine qua non für die Erstellung der Nutzungsprofile. Letztlich entspricht die Zuweisung einer eigenen Verantwortung auch dem Wortlaut des Telemediengesetzes, wonach Dienstanbieter auch diejenigen Stellen sind, die den Zugang zur Nutzung vermitteln, 2 Nr. 1 TMG. 26 Diese Erwägung liegt wohl auch der Zögerlichkeit der Kritiker der hier vertretenen Ansicht zugrunde, Verwender von Social-Plugins und Fanpagebetreiber von der datenschutzrechtlichen Verantwortung vollständig freizusprechen Anwendbares Recht In Abhängigkeit davon, welche Stelle die datenschutzrechtliche Verantwortung für das Verfahren Facebook Insights trägt, ergeben sich unterschiedliche Szenarien zum anwendbaren Recht. Die Anwendbarkeit des Telemediengesetzes richtet sich gemäß 3 Abs. 1 TMG nach dem Herkunftslandprinzip. Für den Schutz personenbezogener Daten verweist jedoch 3 Abs. 3 Nr. 4 TMG auf die allgemeinen Regeln des Datenschutzrechts und damit auf 1 Abs. 5 BDSG. Danach gilt für die jeweils verantwortliche Stelle mit Sitz innerhalb der Europäischen Union das in dem Sitzstaat geltende nationale Datenschutzrecht. Abweichend davon kommt gemäß 1 Abs. 5 S. 2 BDSG aus deutscher Sicht das nationale Datenschutzrecht zur Anwendung, wenn der Betreiber seinen Sitz außerhalb der Europäischen Union hat und zur Verfolgung der Geschäftszwecke in Deutschland personenbezogene Daten erhebt, verarbeitet oder nutzt. Der Rechtsbegriff der innerstaatlichen Datenerhebung i. S. d. 1 Abs. 5 BDSG muss im Licht der Europäischen Datenschutzrichtlinie 21 Schreiben Facebook an das ULD, Landtag Schleswig-Holstein, Umdruck 17/2781, 22 Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter WP 169, S Vgl. Data Protection Commissioner, Report of Audit, S. 25, 24 Data Protection Commissioner, Report of Audit, S. 26, (Stand 25 Gerlitz, Die Like Economy in: Leisert/Röhle (Hrsg.), Generation Facebook, 2011, S: 108 f. 26 Landtag Schleswig-Holstein, Luch, Stellungnahme des wissenschaftlichen Dienstes zur Facebook-Kampagne des ULD, 17/2988, S Deutscher Bundestag, Schröder/Hawxwell, Die Verletzung datenschutzrechtlicher Bestimmungen durch so genannte Facebook Fanpages und Social- Plugins, WD /11 neu, , S. 8; Landtag Schleswig-Holstein, Luch, Stellungnahme des wissenschaftlichen Dienstes zur Facebook-Kampagne des ULD, 17/2988, S. 19 f. DuD Datenschutz und Datensicherheit

6 ausgelegt werden, 28 denn die europarechtliche Grundlage des 1 Abs. 5 S. 2 BDSG findet sich in Art. 4 Abs. 1 lit. c) RL 95/46/EG. Greift danach eine nicht in der Europäischen Union belegene verantwortliche Stelle auf automatisierte oder nicht automatisierte Mittel zurück, die im Hoheitsgebiet eines Mitgliedsstaats belegen sind, um personenbezogene Daten zu verarbeiten, kommt das in dem jeweiligen Mitgliedstaat geltende Datenschutzrecht zur Anwendung. 1 Abs. 5 BDSG soll sicherstellen, dass das bestehende Datenschutzniveau für die Betroffenen auch dann gewahrt bleibt, wenn die Datenverarbeitung durch außereuropäische Unternehmen erfolgt. Die dadurch aufgeworfene Frage nach der innerstaatlichen Datenverarbeitung i. S. d. 1 Abs. 5 BDSG muss unter Heranziehung normativer und technischer Faktoren bestimmt werden. 29 Art. 4 Abs. 1 lit. c) RL 95/46/EG stellt zwischen dem Unternehmen und dem Territorium des Staates eine Verbindung über die Belegenheit der Mittel her. Betreiber mit Sitz außerhalb der Europäischen Union nutzen danach im Inland belegene Mittel, wenn verantwortliche Stellen technische Einrichtungen mit Standort im jeweiligen Mitgliedsstaat zur Datenverarbeitung verwenden oder wenn die verarbeiteten Daten dort gespeichert werden. 30 Nach Auffassung der Art. 29-Datenschutzgruppe reicht es zur Erfüllung des Tatbestandes, wenn auf den Endgeräten der Nutzer z. B. Cookies oder Java-Skripte zum Einsatz kommen. 31 Somit fallen nicht nur Mittel im Sinn einer technischen Ausrüstung unter den Begriff. Vielmehr erfasst Art. 4 Abs. 1 lit. c) RL 46/95/EG und damit in europarechtskonformer Auslegung auch 1 Abs. 5 BDSG sämtliche Maßnahmen oder Medien, mittels derer die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten realisierbar ist, solange ein technischer Bezug zu den jeweiligen Endgeräten der Nutzer herstellbar ist. Wie gezeigt, erfolgt die Erhebung der Verkehrsdaten zur Nutzungsanalyse unter Verwendung von Cookies. Das objektive Tatbestandsmerkmal der innerstaatlichen Datenverarbeitung ist damit erfüllt. Aufgrund der technischen Bedingungen des Internets muss jedoch ein subjektives Tatbestandsmerkmal in teleologischer Auslegung des 1 Abs. 5 BDSG gefordert werden. Denn eine übermäßige Belastung der dem europäischen Datenschutzrecht unterworfenen Unternehmen muss zum einen verhindert, zum anderen aber die Wahrung des Schutzniveaus bei Anbietern mit Sitz außerhalb der Europäischen Union sichergestellt werden. 32 Daher ist zu fordern, dass nur Unternehmen, die ziel- und zweckgerichtet die Erhebung, Verarbeitung und Nutzung von Daten der unter den Schutz der europäischen Rechtsordnung fallenden Nutzerinnen und Nutzer betreiben, sich den Anforderungen der europäischen Rechtsordnung zu stellen haben. Anderenfalls erhielten das Europarecht und darüber hinaus die jeweiligen nationalen Datenschutzregeln eine unbegrenzte und universelle Geltung. Nicht-europäische Anbieter würden anderenfalls allein deswegen unter die Regeln fallen, weil Nutzerinnen und Nutzer aus Europa ihre Dienste aufrufen. Vor allem für Anbieter, die keinen territorialen Bezug herstellen möchten, weil sich das Angebot nicht an europäische Nutzerinnen und Nutzer 28 OLG Hamburg, Urt. v , 7 U 134/10, DuD 2011, 897, Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232, 236f. 30 Dammann, in: Simitis, BDSG, 7. Aufl., 2011, Rn. 21; LG Hamburg, Urt. v , 324 O 650/08,, GRUR-RR 2012, 40, Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht v. 16. Dezember 2010, WP 179, /10/DE, S Gola/Schomerus, BDSG, 10. Aufl. 2011, 1 Rn. 27 f. richtet, wäre dies eine übermäßige Belastung. Eine innerstaatliche Datenverarbeitung i. S. d. 1 Abs. 5 BDSG liegt daher vor, wenn im Inland belegene Mittel durch die verantwortliche Stelle zielund zweckgerichtet zur Datenverarbeitung eingesetzt werden. Ernsthaft wird sich nicht bezweifeln lassen, dass die Facebook Inc. ihr Angebot auch an die deutschen Nutzerinnen und Nutzer richtet und auch bezüglich dieser bewusst und gezielt Verkehrsdaten zur Erstellung von Nutzungsprofilen erhebt, verarbeitet und nutzt. Dies lässt sich auch an der Nutzung der entsprechenden Top-Level-Domain (TLD).de und der Ausgestaltung des Angebots in deutscher Sprache erkennen. Für die Facebook Irland Ltd. käme zwar irisches Datenschutzrecht zur Anwendung, 3 Abs. 1 u. 3 Nr. 4 TMG i. V. m. 1 Abs. 5 BDSG. Jedoch übernimmt nach der hier vertretenen Auffassung die Facebook Irland Ltd. keine eigene Verantwortung in Hinblick auf das Verfahren der Nutzungsanalyse. Die für dieses Verfahren relevante Datenverarbeitung wird durch die Facebook Inc. und die Verwender von Social-Plugins und Fanpages verantwortet. Damit muss die Nutzungsverhaltensanalyse an den rechtlichen Vorgaben des deutschen Datenschutzrechts gemessen werden. 4.3 Personenbezug der erhobenen Daten Die bei Fanpages und den Social-Plugins zum Einsatz kommenden Dienste der Nutzungsanalyse, u. a. Facebook Insights, erheben und verarbeiten personenbezogene Daten der angemeldeten und nicht angemeldeten Nutzerinnen und Nutzer. Personenbezogene Daten sind Angaben über die persönlichen und sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, 3 Abs. 1 BDSG. Für angemeldete Nutzerinnen und Nutzer ist der Personenbezug der erhobenen Daten einfach festzustellen. Denn aufgrund der Existenz eines Profils (Accounts) sind die Daten, die bei der Nutzung erhoben werden, einer Person eindeutig zuzuordnen. Auch wenn eine Individualisierung für die Herstellung des Personenbezuges ausreicht, 33 kann die Facebook Inc. mit einer hohen Wahrscheinlichkeit davon ausgehen, dass die in den Profilen angegebenen Daten den Tatsachen entsprechen, d. h. für Facebook die Personen sogar namentlich identifizierbar sind. 34 Auch die Nutzungsangaben für nicht angemeldete Nutzerinnen und Nutzer sind keine reinen Sachdaten. So gehört u. a. die IP-Adresse nach einer sich im Vordringen befindlichen und von sämtlichen Aufsichtsbehörden vertretenen Auffassung zu den personenbezogenen Daten. 35 Auch wenn Facebook nach eigenen, bisher nicht nachprüfbaren Angaben IP-Adressen deutscher Nutzerinnen und Nutzer mit einer einheitlichen IP-Adresse überschreibt, können sich Nutzungsprofile auch bei nicht angemeldeten Personen unter der verwendeten Cookie ID derart verdichten, dass eine Individualisierung möglich ist und ein Eingriff in geschützte Rechtsgüter der Betroffenen nicht ausgeschlossen werden kann Art-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff personenbezogene Daten, WP 136, 16 f. 34 Fröhlich, Facebook macht Jagd auf Pseudonyme, 09. Juli 2012, Ott, Datenschutzrechtliche Zulässigkeit von Webtracking, K&R 2009, 308, 310; a.a. Meyerdierks, Sind IP-Adressen personenbezogenen Daten?, MMR 2009, 8 ff. 36 Vgl EuGH, Urt v , C-360/10 Netlog, Rn DuD Datenschutz und Datensicherheit

7 4.4 Zulässigkeit der Erstellung von Nutzungsprofilen Aufgrund der dargestellten gemeinsamen datenschutzrechtlichen Verantwortung für die durch die Verwendung von Social-Plugins und Fanpages angestoßene und kontrollierte Datenverarbeitung müssen sowohl Verwender der Social-Plugins und Fanpagebetreiber als auch die Facebook Inc. sicherstellen, dass die Webanalyse datenschutzrechtlich zulässig ist, 12 Abs. 1 TMG. Die Zulässigkeit kann sich aus gesetzlichen Regelungen ergeben oder auf einer ausdrücklichen Einwilligung des Betroffenen beruhen. Einwilligung Nach der Darstellung von Facebook liegt bereits in der Anmeldung auf der Plattform durch die Nutzerinnen und Nutzer eine Einwilligung in die Erstellung von Profilen vor. Facebook Inc. versucht, über die Einrichtung des Nutzerkontos eine Einwilligung zu fingieren. Auf der Registrierungsseite findet sich folgender Hinweis: Durch Klicken auf Registrieren stimmst du unseren Allgemeine [sic!] Geschäftsbedingungen zu und bestätigst, dass du unsere Datenverwendungsrichtlinien, einschl. unserer Bestimmungen zur Cookie-Verwendung, gelesen und verstanden hast. 37 Gemäß 12 Abs. 1 TMG und Art. 7 Buchst. a) EU-DSRL) kann eine Einwilligung eine Datenverarbeitung nur legitimieren, wenn die Nutzerinnen und Nutzer eine vorherige Information über die konkrete Erhebung und Verwendung von Daten erhalten haben und die Erklärung auf deren freier Entscheidung beruht. Die Einwilligung muss inhaltlich bestimmt sein, indem sich aus ihr der konkrete Zweck und Umfang, die Art der erhobenen Daten und die daraus resultierenden Konsequenzen erkennen lassen. Pauschale Erklärungen, in denen Betroffene ihre Zustimmung zu nicht klar und eindeutig beschriebenen Verarbeitungsprozessen erteilen, sind unwirksam. 38 Bereits nach formellen Aspekten kann nicht von der Erteilung einer rechtswirksamen Einwilligung i. S. d. 13 Abs. 2 TMG ausgegangen werden. Danach kann die Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. So ist bereits fraglich, in welchem Umfang bei der Registrierung in welche Verarbeitungsprozesse eingewilligt wird und auf welche Teile der Einwilligung ein Widerruf anwendbar ist. Auch an dem Merkmal der eindeutigen Erfassung des Nutzerwillens scheitert die behauptete Einwilligungslösung. Erst aufgrund der durch die Irische Aufsichtsbehörde geforderten, konkretisierten Beschreibungen der Nutzungsanalyse und personalisierten Werbung änderte Facebook die Datenverwendungsrichtlinien bzw. die Erläuterungen und gab überhaupt zu, Nutzungsanalyse zu betreiben. 39 Mittlerweile beschreibt Facebook die Nutzungsanalyse wie folgt: 37 Die jeweiligen Dokumente sind verlinkt Artikel-29-Datenschutzgruppe, Opinion 15/2011 on the definition on consent, , WP 187, S. 17, wpdocs/2011/wp187_en.pdf; Simitis, in ders., Bundesdatenschutzgesetz, 7. Aufl., 2011, 4a Rdn Data Protection Commissioner, Report of Audit, S. 44 f., (Stand Wir erhalten immer dann Daten, wenn du ein Spiel, eine Anwendung oder Webseite nutzt, welche/s die Facebook-Plattform verwendet, oder wenn du eine Webseite besuchst, auf der eine Facebook-Funktion (wie zum Beispiel ein soziales Plug-in) vorhanden ist. Manchmal geschieht dies durch durch [sic!] Cookies. Diese Daten können das Datum und die Uhrzeit deines Besuches auf der betreffenden Webseite enthalten; dies gilt auch für die Internetadresse oder die URL, auf der du dich befindest, und ebenso für die technischen Daten über die IP-Adresse und den von dir genutzten Browser sowie das von dir genutzte Betriebssystem; enthalten ist auch deine Nutzerkennnummer, wenn du auf Facebook angemeldet bist. 40 Zwar ist ansatzweise erkennbar, welche Daten erhoben und verarbeitet werden; auch im weiteren Verlauf der Datenverwendungsrichtlinie wird teilweise über den Zweck der Verarbeitung Transparenz erzeugt. Jedoch fehlen die vorherigen Information der Nutzerinnen und Nutzer und die Mitteilung über die Konsequenzen der Erstellung der Profile. Maßgeblich ist jedoch das Defizit bezüglich der eindeutigen Einwilligungshandlung durch die Nutzerinnen und Nutzer, durch welche diese zum Ausdruck geben, in Kenntnis der Sachlage ihre Einwilligung in die Erstellung der Analyse erteilt zu haben. 41 Die Registrierung hat nicht die gleiche rechtliche Wirksamkeit wie eine datenschutzrechtliche Einwilligung. Denn eine ausdrückliche Einbeziehung des Willens der Nutzerinnen und Nutzer in sämtliche vorgesehenen und als Standard konfigurierten Formen der Datenverarbeitung erfolgt dadurch nicht. 42 Zulässigkeit der Reichweitenanalyse 15 Abs. 3 TMG Das Telemediengesetz bietet eine Rechtsgrundlage für die Erstellung von personenbeziehbaren Nutzungsanalysen, womit eine Einwilligung der Betroffenen sich als entbehrlich erweisen könnte. In 15 Abs. 3 Telemediengesetz (TMG) hat der deutsche Gesetzgeber die Rahmenbedingungen für die datenschutzrechtliche Zulässigkeit der Webanalyse formuliert. Danach ist die Erhebung und Verarbeitung von Verkehrsdaten zum Zweck der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung des Dienstes zur Erstellung von Nutzungsprofilen zulässig, wenn die folgenden Voraussetzungen erfüllt sind. So darf die Profilbildung nur unter Verwendung von Pseudonymen erfolgen, die Nutzerinnen und Nutzer müssen vorab über den Umstand, Art und Umfang der Analyse informiert werden und es muss ihnen ein Widerspruchsrecht gegen die Erstellung der Profile eingeräumt werden. Zu guter Letzt ordnet das Gesetz eine strenge Trennung der unter Pseudonym gespeicherten Nutzungsinformationen mit den identifizierenden Angaben über den Träger des Pseudonyms an. 43 Diese Vorgabe bezweckt, eine Vertiefung des ohnehin be (Stand 41 Artikel-29-Datenschutzgruppe, Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten, , WP 131, S. 26, ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp131_de.pdf; Simitis, in ders., Bundesdatenschutzgesetz, 7. Aufl., 2011, 4a Rdn Vgl. dazu ausführlich Unabhängiges Landeszentrum für Datenschutz, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, S. 20 ff.; 43 Vgl. dazu auch Beschluss des Düsseldorfer Kreises vom 27. November 2009, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichwei- DuD Datenschutz und Datensicherheit

8 reits gravierenden Eingriffs in das Persönlichkeitsrecht der Nutzerinnen und Nutzer zu verhindern. Der Dienstanbieter hat sicherzustellen, dass der jeweiligen Nutzerin oder dem jeweiligen Nutzer nicht die Maske vom Gesicht gerissen und eine Re-Identifikation möglich wird. Sowohl die Facebook Inc. als auch die Betreiber von Fanpages und Webseitenbetreiber, die Social-Plugins von Facebook auf ihren Seiten einbinden, sind somit nach 15 Abs. 3 TMG verpflichtet, bei der Erstellung von Nutzungsprofilen auf pseudonymer Basis die Nutzer hierüber sowie über ihre Möglichkeit zum Widerspruch zu unterrichten. Sie müssen bereits dem Grund nach überhaupt eine Widerspruchsmöglichkeit vorsehen. Für Webseitenbetreiber, die Social-Plugins einsetzen, bietet sich als Alternative zu einem Widerspruch die so genannte 2-Click-Lösung an. Durch eine entsprechende Gestaltung der Webseite werden Nutzerinnen und Nutzer vor der eigentlichen Interaktion mit einem Social-Plugin aufgefordert, in die Datenverarbeitung durch die Facebook Inc. einzuwilligen. In der Rechtstheorie stellt dies eine tragfähige Lösung dar. Jedoch scheitert diese an den Realitäten. Denn rechtlich handelt es sich dabei um eine Einwilligung i. S. d. 12 TMG mit der Konsequenz, dass die bereits oben beschriebenen Defizite in Hinblick auf die Transparenz der Datenverarbeitung seitens der Facebook Inc. sich hier fortsetzten. Unwirksam hingegen ist die 2-Click- Lösung für das Betreiben von Fanpages. Denn zur Umsetzung einer Einwilligungslösung auf diesen Seiten müsste die Facebook Inc. eine entsprechende Lösung anbieten. Dies ist derzeit nicht in Sicht. Der vom Gesetz geforderte Widerspruch ist im Verhältnis zur Einwilligung ein rechtliches Minus im Hinblick auf die Steuerung der Datenverarbeitung durch Nutzerinnen und Nutzer. Selbst diese Möglichkeit sieht die Facebook Inc. trotz eines geringen technischen Aufwandes 44 bei der Implementierung nicht vor. Betreiber von Fanpages und Verwender von Social-Plugins können den Widerspruch daher systemseitig derzeit nicht anbieten. Eine wesentliche Rechtmäßigkeitsbedingung für einen datenschutzkonformen Betrieb der Reichweitenanalyse wird nicht erfüllt. Verstoß gegen das Trennungsgebot Neben der durch das Fehlen der Umsetzung des Widerspruchs entstehenden Unzulässigkeit der Verkehrsdatenverarbeitung verstößt die Reichweitenanalyse in dem von Facebook betrieben Modus außerdem gegen das in 15 Abs. 3 TMG festgelegte Trennungsgebot. Ein Verstoß gegen dieses Gebot stellt zugleich eine Ordnungswidrigkeit gemäß 16 Abs. 2 Nr. 5 TMG dar, die mit einer Geldbuße bis zu Euro geahndet werden kann. Bei authentifizierten und angemeldeten Nutzerinnen und Nutzern werden neben den standardmäßig gesetzten Cookies, die aus jeder Interaktion mit Facebook hervorgehen (u. a. datr), tenmessung bei Internet-Angeboten, 44 Opt-put Cookie, Zscherpe, in: Taeger/Gabel (Hrsg.), Bundesdatenschutzgesetz, TMG 15, Rn. 71 f. Cookies gesetzt. Diese dienen der Authentifizierung der Nutzer und der Profilbildung. Zur Erstellung der demographischen Nutzungsanalyse wird zudem auf Informationen aus dem Facebook-Nutzerkonto zugegriffen. Die Facebook Inc. führt die gesammelten Nutzungsinformationen aus der Reichweitenanalyse, die unter dem Pseudonym des Cookies erstellt wurden, mit den Angaben aus dem Profil (Account) zusammen. Dies bedeutet, dass die gesetzliche geforderte Maskierung der Nutzerinnen und Nutzer umgangen wird und auf jede Nutzerin und jeden Nutzer bezogen individualisiert ein Interessen- und Nutzungsprofil erstellt wird. Eine derartige Auswertung von Verkehrsdaten ist durch das Telemediengesetz nicht mehr gedeckt und verstößt gegen das gesetzliche Verbot, die erstellten Nutzerprofile dahingehend zu qualifizieren, dass sie Aussagen über eine identifizierte Person zulassen. Die Besonderheit des Dienstes Facebook Insights und das gesamte technische Design der Plattform sind darauf ausgerichtet, derartige Nutzungsprofile zu erstellen. Die Unzulässigkeit dieses Vorgehens und die Konsequenzen daraus schlagen aufgrund der beschriebenen eigenen datenschutzrechtlichen Verantwortung der Verwender von Social-Plugins und der Fanpagebetreiber auf diese durch. 5 Fazit und rechtspolitische Forderungen Der Dienst Facebook Insights sowie die anderen dargestellten Analysedienste sind wahrscheinlich das Herzstück der technischen Plattform der Facebook Inc. Die durch das ULD getroffenen Feststellungen zur Unzulässigkeit und den entsprechenden rechtlichen Konsequenzen des Einsatzes dieses Dienstes hat, über einige Änderungen der Datenverwendungsrichtlinie hinaus, nicht zu einer Verbesserung der Einflussnahme der Nutzerinnen und Nutzer auf die Verwendung ihrer Daten geführt. Auch die Verwender der Dienste des Netzwerkbetreibers scheinen es vorzuziehen die Rechtswidrigkeit zu ignorieren. Dies ist vor allem deswegen erstaunlich, weil in der Sache bisher keine ernstzunehmenden Stimmen den tatsächlichen und rechtlichen Feststellungen eindeutig widersprochen haben. Lediglich die Frage der datenschutzrechtlichen Verantwortung wurde problematisiert. Mit der Erstellung von Nutzungsprofilen namentlich bekannter und identifizierbarer Nutzerinnen und Nutzer steht eine der grundlegenden Bedingungen einer freien und unbeeinflussten Nutzung des Internets in Frage. Facebook ist in der Lage, detaillierte Aussagen über die individuellen Vorlieben, Interessen, sozialen Kontakte etc. seiner Nutzerinnen und Nutzer zu treffen. Die Plattform hat sich zu einem maßgeblichen Medium der Kommunikation im privaten, wirtschaftlichen und politischen Bereich etabliert. Unter diesem Eindruck sollten, selbst wenn entgegen der hier vertretenen Auffassung eine eindeutige Zuordnung der datenschutzrechtlichen Verantwortung aufgrund der unklaren Gesetzeslage nicht möglich ist, die Verwender der Dienste und auch der Gesetzgeber diese gravierende Schutzlücke endlich ernst nehmen und entsprechende Maßnahmen ergreifen. 736 DuD Datenschutz und Datensicherheit