Datenschutzrechtliche Betrachtung der Einbindung von Social Plugins

BACHELORARBEIT

Datenschutzrechtliche Betrachtung der Einbindung von Social Plugins

zur Erlangung des akademischen Grades Bachelor of Laws (WU), abgekürzt LL.B. (WU)

eingereicht von Thomas Schreiber, BSc.

Matrikelnummer 1054647

Betreuer: Assoz.Prof Dr. Christoph Bezemek Mitbetreuerin: Michaela Helmreich, LL.M. (WU)

Institut für Österreichisches und Europäisches Öffentliches Recht, Wirtschaftsuniversität Wien

Wintersemester 2013/14

Inhaltsverzeichnis

I. Forschungsfrage 1

II. Social Plugins 2

A. Begriff 2

B. Funktionsweise 2

1. Inlineframes („iframe“) 3

a. Übertragbare Daten 4

b. Aktuell übertragene Daten 5

2. JavaScript 7

a. Übertragbare Daten 7

b. Aktuell übertragene Daten 11

3. 2-Klick-Plugins und reine Verlinkungen 13

a. Übertragbare Daten 15

b. Aktuell übertragene Daten 15

C. Datenabfrage durch Einbindenden 16

III. Datenschutzrechtliche Betrachtung 18

A. Anwendbarkeit DSG 18

1. Inlandsbezug 18

2. Personenbezogene Daten 19

B. Rollenverteilung 22

1. Webseitenbesucher 24

2. Social Plugin-Einbinder 24

3. Social Plugin-Anbieter 26

C. Zulässigkeit der Datenverarbeitung 28

D. Zulässigkeit der Datenübermittlung 31

E. Zulässigkeit der Datenübermittlung ins Ausland 32

F. Genehmigungs-, Informations-, Vertrags- und Meldepflichten des Einbinders 33

IV. Fazit 35

V. Anhang: Verzeichnisse 37

A. Literaturverzeichnis 37

B. Judikaturverzeichnis 40

C. Abbildungsverzeichnis 41

I. Forschungsfrage

Sogenannte „Social Plugins“ wie beispielsweise der Facebook „Like“-Button, eingebettete YouTube-Videos oder Google Plus-Beiträge ermöglichen Webseitenbetreibern eine bessere Präsentation ihres Contents mit einfachsten Mitteln und einen Mehrwert für den Seitenbesu- cher. Doch oftmals von beiden Seiten unbemerkt entsteht durch die bloße Einbindung solcher Plugins die Möglichkeit der umfangreichen Sammlung persönlicher Daten durch den Social Plugin-Anbieter, unabhängig davon, ob diese durch die Webseitenbenutzer auch genutzt wer- den.

In der vorliegenden Arbeit wird untersucht, auf welchen Umfang sich diese übertragenen Daten aktuell erstrecken, auf welchen Umfang der Social-Plugin-Anbieter diese Daten unbe- merkt erweitern könnte und welche Schritte der einbindende Webseitenbetreiber ergreifen muss, um seine Webpräsenz konform zum geltenden österreichischen Datenschutzrecht zu gestalten.

ABBILDUNG 1 Eine Facebook-Kommentarbox (links) und ein eingebetteter Beitrag von Google Plus (rechts)

II. Social Plugins A. Begriff

Unter „Social Plugins“ werden gemeinhin diverse technische Einrichtungen bezeichnet, die es Webseitenbetreibern ermöglichen, Funktionen sozialer Netzwerke auf ihren eigenen Web- seiten nutzen zu können.¹ Die Einrichtung ist wird seitens des sozialen Netzwerkes oft in einfach verständlichen Schritt-für-Schritt-Anleitungen oder vorgefertigten Zusatzfunktionen für verbreitete Content Management Systeme angeboten.²

Social Plugins sind an sich kein Phänomen der letzten Jahre, sondern spätestens mit Entwick- lung des sozial orientierten Web 2.0 und den damit verbundenen Social Bookmarking- Services, wie delicious oder Digg technisch nichts Unbekanntes. Massenmarkttauglich wur- den Social Plugins spätestens mit dem Launch und der zunehmenden Verbreitung von Face- book. Statistiken zufolge binden heute bereits 20 % der größeren Websites einen Facebook Like-Button oder ein vergleichbares Plugin ein.³

Aufgrund der weiten Begriffsdefinition werden aber nicht nur Einrichtungen zum sozialen Verbreiten von Websites unter dem Begriff aufgefasst, sondern auch alle anderen Einbindun- gen sozialer Netzwerke, wie beispielsweise YouTube-Videos oder Facebook- Kommentierfunktionen.⁴

B. Funktionsweise

Aufgrund der Vielzahl an erhältlichen Social Plugins gibt es viele technisch unterschiedliche Implementierungsansätze, die sich jedoch nicht nur in ihrer Funktion, sondern auch in ihrer Art, Daten an den Anbieter des Plugins zu übertragen, differenzieren. Im Folgenden werden diese Ansätze in drei Gruppen geteilt und deren technische Funktion kurz erklärt. Anschlie- ßend wird untersucht, wie sich diese in ihrem Kommunikationsverhalten unterscheiden.

1 <websiteboosting.com/glossar/eintrag/S.html>.

2 So gibt es beispielsweise ein offizielles Facebook-Plugin für das beliebte CMS Wordpress

<wordpress.org/plugins/facebook/>.

3 <w3techs.com/technologies/overview/social_widget/all>.

4 <developers.facebook.com/docs/web/gettingstarted>.

1. Inlineframes („iframe“)

Zuerst werden iframe-basierte Lösungen betrachtet. Diese lassen sich daran erkennen, dass der einzubindende Code grundsätzlich nur aus einem einzigen HTML-Element,⁵ einem In- lineframe, besteht. Verwendet wird diese Lösung beispielsweise von YouTube, wo man sich der Technik zum Einbetten von Videos bedient.

<iframe width="560" height="315" src="//www.youtube.com/embed/4KNNYTmaLoY"

frameborder="0" allowfullscreen></iframe>

ABBILDUNG 2 Code zum Einbinden eines YouTube-Videos auf einer Webseite

Im konkreten Codeschnipsel wird der einbindende Browser⁶ angewiesen, einen iframe mit der Größe von 560 x 315 Pixel in die Webseite einzubinden und in diesem iframe die Seite

<www.youtube.com/embed/4KNNYTmaLoY> zu laden.

Folgt man dem Link, gelangt man auf eine Seite, die im Grunde wie ein im Vollbild einge- bundener YouTube-Player aussieht. Das liegt daran, dass ein Frame (und damit auch ein iframe) im Grunde nichts anderes als genau das ist: Eine Seite innerhalb einer anderen Seite. ⁷ Die Webseite, die ein iframe-basiertes Social Plugin einbindet, weist den Browser des Besu- chers an, in einem bestimmten Bereich der Webseite eine andere Webseite zu laden und an- zuzeigen. Für den Besucher selbst geschieht dieser Vorgang im Hintergrund, dieser merkt davon unmittelbar nichts.

Um mögliche Sicherheitslücken durch Cross-Site Scripting⁸ zu unterbinden, werden fremde Frames, also Inhalte einer anderen Domain, in einer sog. „Sandbox“ eingebunden. Diese ver- hindert jede Kommunikation zwischen Skripts der einbindenden und der eingebundenen Sei-

5 Hypertext Markup Language: Auszeichnungssprache für Webseiten. Ermöglicht Einbindungen, Strukturie- rung, Querverweise und graphische Aufbereitung von Reintext durch den Browser. HTML wird vom Word Wide Web Consortium (W3C) weiterentwickelt und stellt gemeinsam mit HTTP einen der Bausteine des mo- dernen World Wide Webs dar. Zur Entstehungsgeschichte siehe auch: Lubkowitz, Webseiten programmieren und gestalten (2005) Kapitel 7.1f.

6 Browser: Software, die zur Darstellung von Seiten des WWW verwendet wird. Beispiele: Mozilla Firefox, Microsoft Internet Explorer, Apple Safari, Google Chrome.

7W3C, HTML5 Specification (2011) 4.8.2ff.

8 Cross-Site Scripting (XSS): Eine Angriffstechnik, dessen Ziel es ist, eigenen Code auf eine fremde Webseite einzuschleusen und dort ausführen zu lassen. Weiterführend siehe: Zalweski, Tangled Web (2013) Kapi- tel 16.2.2 und Kapitel 18.1.3 sowie Ziegler, Cross-site scripting (2008).

te. Dadurch ist es einerseits unmöglich für die Seite im Frame, an Informationen außerhalb ihres designierten Bereiches zu gelangen, andererseits für den Einbinder unmöglich, Teile innerhalb des Frames auszulesen oder zu manipulieren.

a. Übertragbare Daten

Durch das oben vorgestellte Sandbox-Konzept ist der Umfang der Daten, die beim Laden einer Webseite mit einem iframe-basierten Social Plugin an den Betreiber des Social Net- works übertragen werden, relativ gering. So beschränken sich diese auf den Rahmen der Da- ten, die auch beim normalen Aufrufen der eingebundenen Seite gesendet werden würden. Das ist das IP-Paket, das grundsätzlich an jeden Kommunikationspartner gesendet wird und Daten wie die IP-Adresse⁹ des Rechners enthält, sowie die konkrete URL¹⁰, die für den Frame ange- fordert wird. Je nach verwendetem Browser werden zusätzlich noch Metadaten wie installier- te Software, Version des Betriebssystems, unterstützte Protokolle und die URL der einbin- denden Seite mitgesendet. Für die eingebundene Webseite besteht auch die Möglichkeit, Cookies¹¹ setzen zu lassen, die anschließend bei jedem Aufruf, auch seitenübergreifend, über- tragen werden. Cookies der einbindenden Seite werden allerdings nicht an den iframe- Anbieter übertragen.

9 IP-Adresse: Identifikationsadresse des Netzwerkteilnehmers. Zugewiesen wird die IP-Adresse vom Internetan- bieter, der im Zuge der Vorratsdatenspeicherung auch längere Zeit die IP-Adresse einer bestimmten Person zuordnen kann. Unterschieden wird zwischen statischen und dynamischen IP-Adressen, wobei eine statische IP-Adresse unabhängig vom Zeitpunkt einem Netzwerkteilnehmer zugewiesen ist (Der Server für

<www.google.com> ist in Österreich beispielsweise immer unter der IP 173.194.113.178 erreichbar). Dyna- mische IP-Adressen können bei jedem Verbinden neu vergeben werden und daher zu unterschiedlichen Zeit- punkten unterschiedlichen Geräten zugewiesen sein.

10 Uniform Resource Locator: Bezeichnung für die Adresse, unter der im Internet eine Ressource abrufbar ist.

Beispielsweise <orf.at/favicon.ico>.

11 Cookie: Eine kleine Textdatei, die von jeder Webseite gesetzt werden kann und anschließend vom Browser des Besuchers bei jedem Aufruf an diese übertragen wird. Cookies ermöglichen erst die durchgehende Identi- fikation des Besuchers und können entweder auf die Dauer der Browserbenutzung („Session Cookies“) oder auf längere Dauer gesetzt werden. Solche persistenten Cookies ermöglichen beispielsweise automatische Lo- gins. Vgl. zur Unterscheidung: Wien, Internetrecht (2012) Kapitel 9.6 sowie Kramer/Herrmann, Datenschutz und E-Commerce (2005) Rz 160. Zur technischen Umsetzung siehe: Huseby, Sicherheitsrisiko Web- Anwendung (2004) Kapitel 1.2.

Browser

www.online-banking.at

Hallo Thomas!

Dein Kontoguthaben beträgt € 3.000.

Gefällt mir Sei der Erste deiner 300 Freunde, dem das gefällt!

b

 

ABBILDUNG 3 iframe-basierte Social Plugins haben nur Zugriff auf sehr eingegrenzte Daten wie der Adresse des Einbinders. Der Inhalt der einbindenden Seite selbst kann aber nicht ausgelesen werden.

b. Aktuell übertragene Daten

Zur Überprüfung, welche Daten tatsächlich bei einem iframe-basierten Social Plugin gesen- det werden, wurde die Kommunikation der Webseite <http://calendar.sinra.at>, die mit Hilfe des oben zitierten Codes ein Video von YouTube einbindet, mit dem kostenlos erhältlichen Security-Tool „Wireshark“ mitgeschnitten. Folgend zitiert ist nur die Übertragung, die an YouTube erfolgt.

Internet Protocol Version 4, Src: 192.168.0.12 (192.168.0.12), Dst: 81.19.145.36 (81.19.145.36)

Transmission Control Protocol, Src Port: 54841 (54841), Dst Port: http (80), Seq: 1, Ack: 1, Len: 614

Accept: text/html,application/xhtml+xml,application/xml;q=0.9, image/webp,*/*;q=0.8

Accept-Encoding: gzip,deflate,sdch

Accept-Language: de-DE,de;q=0.8,en-US;q=0.6,en;q=0.4 Connection: keep-alive

Cookie: demographics=9d33c058d94be3f16f5e1e0d2f5e01ade3QGAAAAZ2VuZ GVydAEAAABvdAMAAABhZ2VpKwAAADA=;

VISITOR_INFO1_LIVE=pbEWX5IrHHw; YSC=xxdRaoYIEM0;

PREF=f1=50000000&al=de&fv=11.9.900 Host: www.youtube.com

Referer: http://calendar.sinra.at/

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.101 Safari/537.36 ABBILDUNG 4 Kommunikationsmitschnitt

Es zeigt sich also, dass an allgemeinen Daten wie oben behandelt, die IP-Adresse (192.168.0.12 – die öffentliche IP-Adresse¹² wird durch den Router ersetzt) gesendet wird.

Vom Browser (hier wurde Google Chrome in Version 30.0 verwendet) werden zusätzlich Infos zu unterstützten Protokollen („Accept“, „Accept-Encoding“), Benutzereinstellungen und Browserkenndaten („Accept-Language“, „User-Agent“) und die einbindende Webseite („Referer“) übermittelt.

Interessant ist, dass hier gleich 5 Cookies („demographics“, „VISITOR_INFO1_LIVE“,

„YSC“, „PREF“, „fv“) übertragen werden. Eindeutig identifiziert wird der Besucher hier über das „demographics“-Cookie, das von Google auch zur Berechnung der Aufrufstatistiken, die Auskunft über Alters- und Geschlechtsverteilung geben, verwendet wird. ¹³

ABBILDUNG 5 Zielseite des iframes.

12 Bei IP-Adressen wird zwischen öffentlichen und privaten Adressbereichen unterschieden. Während öffentli- che Adressen von jedem Teilnehmer erreichbar und weltweit eindeutig sind, können private IP-Adressen (zB 10.*.*.*) nur innerhalb desselben Netzwerkes adressiert werden und müssen daher nur innerhalb desselben Netzwerkes eindeutig sein. Um Kommunikation nach außen zu ermöglichen, werden Router verwendet, die die privaten Adressen bei einer Verbindung durch die öffentliche Adresse des Routers ersetzen und bei einge- henden Verbindungen wieder eine Rückauflösung vornehmen. Weiterführend siehe: Peterson/Davie, Compu- ternetze (2007) Kapitel 4.1ff.

13 <support.google.com/adsense/answer/140378>.

2. JavaScript

Eine zweite, verbreitete Möglichkeit zur Einbindung von Social Plugins, ist mit Zuhilfenah- me der Skriptsprache JavaScript. JavaScript ist eine Programmiersprache, die direkt im Browser des Besuchers ausgeführt wird und eine dynamische Manipulation der Seite ermög- licht, die das Skript einbindet.

Typisch für Plugins dieser Art ist, dass der zur Einbindung notwendige Code kurz gehalten ist und hauptsächlich aus dem Nachladen einer JavaScript-Datei, die sich auf einem Server des Social Plugin-Anbieters befindet, besteht. Auch nachfolgend, beim Code zur Erzeugung eines Facebook Like-Buttons,¹⁴ lässt sich erkennen, dass ein kurzer JavaScript-Code ausge- führt wird („<script> … </script>“), der ein weiteres Skript von Facebook nachlädt und aus- führt („connect.facebook.net…all.js“).

<div id="fb-root"></div>

<script>(function(d, s, id) {

var js, fjs = d.getElementsByTagName(s)[0];

if (d.getElementById(id)) return;

js = d.createElement(s); js.id = id;

js.src =

"//connect.facebook.net/de_DE/all.js#xfbml=1&appId=4626XX05377XXX";

fjs.parentNode.insertBefore(js, fjs);

}(document, 'script', 'facebook-jssdk'));</script>

ABBILDUNG 6 Code zum Einbinden eines “Like”-Buttons

Ruft man die angegebene URL <connect.facebook.net/de_DE/all.js> auf, erkennt man schnell, dass eine große Menge an unkommentiertem und schwer verständlichem Code nach- geladen und auf der einbindenden Seite ausgeführt wird.

a. Übertragbare Daten

Der extern geladene JavaScript-Code hat Zugriff auf die gesamte HTML-Struktur und Coo- kies der einbindenden Seite. So wird, um das Plugin anzeigen zu können, von vielen Anbie- tern¹⁵ in der Seite ein iframe erzeugt, der sich in weiterer Folge in der Funktionsweise dann

14 <developers.facebook.com/docs/plugins/like-button>. Alternativ dazu wäre auch eine iframe-Integration möglich, siehe: Kamleitner, Facebook-Programmierung (2012) Kapitel 6.1.

15 Twitter, Facebook, Google+.

identisch verhält wie bei iframe-basierten Widgets. Übertragbar sind somit, wie vorhin be- gründet, IP-Adresse, URL des Frame-Ziels, Cookies der eingebundenen Website und Brow- ser-Metadaten.

Problematisch ist aber, dass das extern eingebundene JavaScript auf der Seite wie der eigene Code ausgeführt wird und daher auch Zugriff auf alle Elemente hat, auf die auch der übrige clientseitig ausgeführte¹⁶ Code des Social Plugin-Einbinders zugreifen kann.

Browser

www.online-banking.at

Hallo Thomas!

Dein Kontoguthaben beträgt € 3.000.

Gefällt mir Sei der Erste deiner 300 Freunde, dem das gefällt!

b

 

ABBILDUNG 7 JavaScript-basierte Social-Plugins haben Zugriff auf alle Elemente, die sich „normal“ auf der Seite befinden. Zu- mindest aber haben sie Zugriff auf alle Elemente, auf die der übrige JavaScript-Code des Social Plugin-Einbinders auch Zugriff hat.

Besonders gefährlich ist auch, dass, wie unter anderem im obigen Codebeispiel, ja nicht der JavaScript-Code direkt eingebunden wird, sondern lediglich ein Verweis auf diesen. Dadurch steht es dem Anbieter des Social Plugins jederzeit offen, den angeforderten Code zu verän- dern und so auch unbemerkt Daten abzufragen, die bei der ursprünglichen Einbindung des Codes noch nicht abgefragt wurden.

Das Gewicht dieses Aspektes wird folgend anhand eines kurzen Beispiels demonstrieren.

Dafür werden 2 Dateien verwendet, von denen jeweils eine den Anbieter, die andere den Ein- binder des Social Plugins repräsentiert.

Das Social Plugin wird durch die folgende, kurze JavaScript-Datei dargestellt:

16 Clientseitig ausgeführt: Code wird lokal direkt am Rechner des Webseitenbesuchers ausgeführt. Im Unter- schied zu serverseitig ausgeführtem Code, der schon vor Übermitteln der Website ausgeführt wird und nur das Ergebnis überträgt, hat clientseitig ausgeführter Code nur Zugriff auf alle Elemente, die ursprünglich übertra- gen wurden. Weiterführende Aktionen wie beispielsweise Datenbankzugriffe sind somit nicht möglich. Siehe auch: Koch, JavaScript (2011) Kapitel 2.1.6ff.

window.onload = function() {

var plugin = document.createElement('p');

plugin.innerHTML = '<a href="http://social-plugin.com/like?site=' + window.location.href + '">Like us!</a>';

document.body.appendChild(plugin);

}

ABBILDUNG 8 JavaScript-Code des “Social Plugins”

Funktionalität ist die folgende: Sobald der Ladevorgang des einbindenden Dokuments been- det ist („window onload“), wird am Ende des Dokuments ein neuer Teil angehängt („body appendChild“). Dieser Teil besteht aus einem Absatz („p“ für „Paragraf“), der einen Link auf die Website des Social Plugins beinhaltet, dem als Parameter die Adresse der einbindenden Webseite („windows.location.href“) übergeben wird. Um das Skript realitätsnah einbinden zu können, wurde es unter der Adresse <thomas.sinra.at/wu/social-plugin.js> veröffentlicht.

Die Rolle des einbindenden Dokuments übernimmt in diesem Beispiel eine kurze HTML- Datei, die einen Online-Banking-Anbieter darstellen soll.

<!DOCTYPE html>

<html>

<head>

<title>Demonstration Social Plugin</title>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<script src="http://thomas.sinra.at/wu/social-plugin.js"></script>

</head>

<body>

<h1>Hallo Thomas,</h1>

Dein Kontostand beträgt <font color="green">€ 2.000</font>.

</body>

</html>

ABBILDUNG 9 HTML der einbindenden Webseite

Auch hier ist grundsätzlich kein außergewöhnlicher Code zu sehen. Das Dokument hat einen Titel, im Dokument selbst wird der Besucher begrüßt und mit seinem Kontostand konfron- tiert. In der gelb markierten Zeile wird auf das oben vorgestellte Social Plugin verwiesen.

Wird die Seite angezeigt, lädt der Browser des Besuchers das Skript von der angeführten Ad- resse nach und führt den Programmcode wie lokalen Code aus.

Die Ausgabe des Dokuments verhält sich ebenfalls wie erwartet:

ABBILDUNG 10 Bildschirmausgabe der Webseite

Von der „Bankwebsite“ wird der Benutzer begrüßt und diesem der aktuelle Kontostand ange- zeigt. Vom nachgeladenen Social Plugin wird ein Link erzeugt, der das Teilen der Seite er- möglicht. In dieser Verwendung bestehen die übertragenen Daten nur aus den Attributen, die auch bei iframe-basierten Plugins übertragen werden.

Um zu zeigen, wie ein solches, ursprüngliches harmloses Skript später gefährlich werden kann, wird der Code verändert, jedoch unter der identen Adresse wieder hochgeladen.

window.onload = function() {

var plugin = document.createElement('p');

plugin.innerHTML = '<a href="http://social-plugin.com/like?site=' + window.location.href + '">Like us!</a>';

document.body.appendChild(plugin);

var balance =

document.getElementsByTagName("font")[0].innerHTML.replace('€

','');

var image = new Image();

image.src = 'http://social-plugin.com/tracker?balance=' + balance;

}

ABBILDUNG 11 Veränderter JavaScript-Code des “Social Plugins”

Neu hinzugekommen sind bei dieser Revision die letzten 3 Zeilen. Funktion des neuen Codes ist es, den Kontostand auszulesen (dieser wird auf der Bankwebseite farblich anders darge- stellt und ist durch das zusätzliche Markup einfach auszulesen). Anschließend wird rein im Code eine Grafik erzeugt und als Adresse der Grafik ein Tracking-Skript angegeben, dem beim Aufruf der aktuelle Kontostand übermittelt wird. Die Grafik selbst existiert außerhalb der Funktion nicht, wird nicht eingebunden und ist auf der Seite nicht erkennbar. Nur ein Blick in den Netzwerkverkehr zeigt, dass tatsächlich etwas übermittelt wurde.

ABBILDUNG 12 Netzwerkmitschnitt, erzeugt über die Google Chrome Entwicklertools

An der einbindenden Seite selbst wurde also nichts geändert, nur der Code des eingebunde- nen Social Plugins hat sich verändert. Das ehemals harmlose Plugin überträgt nun äußerst persönliche Daten (hier: den aktuellen Kontostand) und für den Betreiber der Seite ist nur schwer zu erkennen, dass das bei der Einbindung unbedenkliche Plugin jetzt Daten der Besu- cher überträgt.¹⁷

b. Aktuell übertragene Daten

Wie oben demonstriert, haben JavaScript-basierte Social Plugins für Zwecke der Informati- onsgewinnung von der einbindenden Seite quasi unbeschränkten Zugriff. Ob das in der Pra- xis jedoch auch so gehandhabt wird, lässt sich beispielshaft an einer Seite der „Presse“ ¹⁸ tes- ten, die einen Facebook „Empfehlen“-Button als Social Plugin auf JavaScript-Basis inte- griert.¹⁹

ABBILDUNG 13 Facebook-“Empfehlen”-Button, am Ende eines “Die Presse”-Artikels

Ein Mitschnitt des Datenverkehrs zeigt, dass eine Handvoll weiterer Dateien von Facebook nachgeladen werden (Dateien des Facebook Content Delivery Networks wurden ausgeblen- det). Der Browser, der zum Mitschnitt verwendete wurde, war nicht bei regulär bei Facebook

17 Für ein weiteres Beispiel, indem die Zugangsdaten beim Online-Banking ausgelesen werden, siehe: Kübeck, Web-Sicherheit (2011) Kapitel 9.2.

18 <diepresse.com/home/recht/rechtallgemein/1493013/TU-darf-FHAbsolventen-nicht-fur-Doktoratsstudium- prufen>.

19 Ersichtlich im HTML-Quellcode der Seite, Zeilen 89-95, 837-839 bei Abruf am 4. Dezember 2013.

angemeldet und wurde nur für den Test verwendet. Der Mitschnitt entspricht daher allen Da- ten, die über einen Facebook-Außenstehenden übertragen werden.

ABBILDUNG 14 Mitschnitt der Ressourcenanforderungen der “Die Presse”-Seite

Von den Dateien ist besonders die Anforderung der ersten „like.php“ detaillierter zu behan- deln, da über diese die meisten Informationen übertragen wurden. Grundsätzlich werden, wie oben behandelt, alle Informationen übertragen, die auch mit iframe-basierten Plugins anfallen (insbesondere die IP-Adresse), auf diese gehe wird hier nicht mehr näher eingegangen.

In der nachfolgenden Auflistung sind alle Parameter genannt, die mit Seitenaufruf über die URL übertragen werden.

action: recommend

api_key: 116079271766088 channel_url:

http://static.ak.facebook.com/connect/xd_arbiter.php?vers ion

=28#cb=fb258a1d4&domain=diepresse.com&origin=http%3A%2F%2F diepresse.com%2Ff23fec7884&relation=parent.parent

colorscheme: light

extended_social_context: false

href: http://diepresse.com/home/recht/rechtallgemein/1493013/TU- darf-FHAbsolventen-nicht-fur-Doktoratsstudium-prufen layout: box_count

locale: de_DE node_type: link

sdk: joey

send: false

show_faces: false

width: 100

ABBILDUNG 15 In der URL übertragene Parameter an Facebook

Zusätzlich werden auch noch 3 Cookies übertragen:

datr: rnCfUv_eLRWFfJSSY-IJcggt reg_fb_gate: https://www.facebook.com/

reg_fb_ref: https://www.facebook.com/

ABBILDUNG 16 Als Cookie übertragene Parameter an Facebook

Es zeigt sich also, dass Facebook eigentlich von den ganzen Möglichkeiten, die durch Ja- vaScript offen stehen würden, keinen großen Gebrauch macht. Denn über die Parameter wer- den großteils Steuerungshinweise für die Anzeige übertragen (layout, show_faces, width, colorscheme, locale).

Die Verfolgung des einzelnen Users passiert hier - genauso wie beim obigen Beispiel von YouTube - über ein Cookie. Im „datr“-Cookie ist eine eindeutige ID zu finden,²⁰ die den Browser identifiziert, unabhängig davon, ob der Surfende Facebook-Benutzer ist oder nicht.

Da das Plugin erst beim Seitenaufruf clientseitig von Facebook angefordert wird, lässt sich aus diesem Mitschnitt natürlich nichts über zukünftiges Verhalten aussagen. Es kann eben- falls nicht ausgeschlossen werden, dass Facebook speziellen Usern (die über das Cookie identifiziert werden) einen anderen Code ausliefert, der sich in der Datenübertragung unter- schiedlich zu dem hier untersuchten Code verhält.

3. 2-Klick-Plugins und reine Verlinkungen

Weil sowohl bei iframe-basierten als auch bei JavaScript-basierten Social Plugins, wie oben erläutert, viele Daten auch schon ohne Userinteraktion an den Anbieter übertragen werden, gab es natürlich schnell Bedenken bezüglich der Privatsphäre der Webseitenbesucher. Eine Alternative dazu will der deutsche Zeitschriftenverlag „Heise“ mit seiner Alternative

„2 Klicks für mehr Datenschutz“ anbieten.²¹

Die Funktionsweise ist schnell erklärt: Bevor der Benutzer mit dem eigentlichen Social Plugin interagieren kann, muss dieser es zuerst bewusst aktivieren. Erst nach der Aktivierung kann das Plugin durch einen zweiten Klick verwendet werden – deswegen die „2 Klicks“ in der Namensgebung.

20 Data Protection Commissioner, Facebook Ireland Ltd - Report of Audit (2011) Kapitel 3.5.2.

21 <heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html>

ABBILDUNG 17 Funktionsweise des Heise 2-Klick-Plugins

Die Einbindung gestaltet sich schwieriger, als bei anderen Varianten: Es muss zuerst ein ZIP- Archiv mit den Ressourcen heruntergeladen werden, dieses muss am eigenen Webserver ent- packt und anschließend über ein recht langes Codesample in der Website integriert werden.²² Aber gerade das eigene Bereitstellen der Ressourcen verhindert, dass zu fremden Servern Kontakt aufgenommen wird und dadurch Informationen übertragen werden.

Eine andere Lösung, die ebenfalls keine fremden Ressourcen nachlädt, verwendet der Onli- neauftritt der österreichischen Tageszeitung „Der Standard“. Am Ende jedes Artikels wird dort mit dem Slogan „Share if you care“ um die Weiterempfehlung geworben. Was auf den ersten Blick aber wie ein gewöhnliches JavaScript-basiertes Social Plugin aussieht (und sich großteils auch so verhält) besteht in Wirklichkeit aber nur aus lokal gespeicherten Bildern mit entsprechender Verlinkung.

ABBILDUNG 18 Social Media Buttons am Ende eines "Der Standard"-Artikels

<a class="facebook" target="_blank" title="Auf Facebook empfehlen"

href="http://www.facebook.com/sharer/sharer.php?u=http%3a%2f%2fderstandard.

at%2f1385169881030%2fEZB-hat-noch-Spielraum-zu-handeln%3fref%3darticle"

onclick="popupwin('http://www.facebook.com/sharer/sharer.php?u=http%3a%2f%2 fderstandard.at%2f1385169881030%2fEZB-hat-noch-Spielraum-zu-

handeln%3fref%3darticle', 400, 400);return false;"><span></span></a>

ABBILDUNG 19 Für die Darstellung der Social Plugins verantwortlicher Code der “Der Standard”-Webseite

22 <heise.de/extras/socialshareprivacy/#merge>.

Am Code zeigt sich, dass hier kein “problematisches” iframe oder Skript-Element eingebun- den wird, sondern lediglich ein Link auf Facebook gesetzt wird, der natürlich erst bei Klick durch den User aufgerufen wird. Die Bilder werden vom Standard selbst zur Verfügung ge- stellt²³ und über den Seitenstyle eingebunden.²⁴

a. Übertragbare Daten

Da nur auf lokale Ressourcen verwiesen wird, werden, solange der User mit dem Social Plugin nicht interagiert, keine Daten an den Betreiber des Social Networks übertragen.

b. Aktuell übertragene Daten

Bei Aufruf eines Heise-Artikels,²⁵ der das 2-Klick-Plugin verwendet, werden wie oben be- schrieben, keine Daten an beispielsweise Facebook übertragen.

ABBILDUNG 20 Mitschnitt der Ressourcenanforderungen der “Heise”-Seite

Es werden nur zwei Dateien übertragen, bei denen Facebook im Namen vorkommt. Proble- matisch ist dies natürlich nicht, da sie direkt von heise.de stammen, ein Request zu Facebook wird daher nicht gesendet.

Auch bei einem Standard-Artikel,²⁶ in dem verlinkte Bilder als Social Plugins dienen, werden keine Anfragen zu Social Networks gesendet.

23 <derstandard.at/img/ui/sharebuttons.png>.

24 <derstandard.at/css/objects.css?v=196> Zeile 113ff.

25 <heise.de/security/meldung/Quellcode-Panne-bei-Praesentations-Tool-Prezi-2059986.html>.

26 <derstandard.at/1381374348857/Besaeufnis-mit-oekologisch-produziertem-Wein>.

ABBILDUNG 21 Mitschnitt der Ressourcenanforderungen der “Der Standard”-Seite

C. Datenabfrage durch Einbindenden

Nach den obigen Ausführungen stellt sich vielleicht die Frage, ob ein Auslesen von Informa- tion auf umgekehrtem Wege durch den Einbinder des Social Plugins möglich ist.

Denn auch im Social Plugin finden sich ja, gerade bei Nutzern des zugrunde liegenden Social Networks, interessante Informationen. So könnte Interesse an den Namen der Besucher und deren Freunden bestehen, um damit die eigene Klientel besser kennenzulernen und demogra- phische Auswertungen vornehmen zu können.

ABBILDUNG 22 Wegen der SOP besteht kein Scripting-Zugriff auf Elemente eines fremden iframes

Diese Möglichkeit besteht jedoch nicht. Der überwiegende Teil Social Plugins der größeren Social Networks verwendet zur Darstellung der Informationen iframes (egal, ob diese jetzt direkt eingebunden werden oder durch JavaScript erst erzeugt werden). Durch Schutzmecha-

Browser

www.online-banking.at

Hallo Thomas!

Dein Kontoguthaben beträgt € 3.000.

Gefällt mir Sei der Erste deiner 300 Freunde, dem das gefällt!

b



nismen der Browser gegen Cross-Site Scripting-Angriffe wird ein Skript-Zugriff der einbin- denden Webseite auf Elemente innerhalb von iframes fremder Quelle unterbunden.²⁷

Da die Quelle der iframes beim Anbieter des Social Plugins liegt, ist es für den Einbinder also nicht möglich, Informationen, die innerhalb dieser iframes angezeigt werden, auszulesen.

27 Es gilt die sog. „Same origin policy“ (SOP). So kann ein Skript der Webseite <www.abc.de/site> beispiels- weise auf einen iframe mit Ziel <http://www.abc.de/iframe> zugreifen, da diese auf der selben Domain (www.abc.de) aufzufinden sind. Ein Zugriff auf iframes mit Ziel <http://www.efg.hi> wäre aufgrund der SOP aber nicht möglich. Zur Browserunterstützung siehe: Zalweski, Tangled Web (2013) Kapitel 9.1.

III.Datenschutzrechtliche Betrachtung A. Anwendbarkeit DSG

Zu Beginn der datenschutzrechtlichen Prüfung stellt sich die Frage, welche datenschutzrecht- lichen Vorschriften auf den Sachverhalt überhaupt anwendbar sind. Damit das DSG zur An- wendung kommen kann, muss der Sachverhalt sowohl im räumlichen als auch im sachlichen Bereich des Datenschutzgesetzes liegen. Sachlich schützt das DSG gemäß § 1 (1) die perso- nenbezogenen Daten von jedermann.²⁸ Der räumliche Anwendungsbereich erstreckt sich ge- mäß § 3 (1) auf alle Verwendungen von personenbezogenen Daten im Inland.

1. Inlandsbezug

Der Inlandsbezug knüpft an den Ort der Datenverwendung an, wobei unter „Datenverwen- dung“ gemäß der Legaldefinition des § 4 Z 8 DSG sowohl die Datenverarbeitung als auch die Datenübermittlung subsumiert wird.²⁹ Wie folgend behandelt, geht die Anforderung zur Da- tenübermittlung grundsätzlich von der Webseite des Einbinders des Social Plugins aus. Da also die Datenübermittlung als Datenverwendung ihren Ausgangspunkt beim Einbinder hat, reicht es, wenn dieser seine Niederlassung in Österreich hat. Dass die tatsächliche Verarbei- tung durch das Social Network dann unter Umständen in einem anderen EU-Staat oder im EU-Ausland durchgeführt wird, spielt für die Anwendbarkeit keine Rolle.³⁰ Selbst wenn die Website auf einem in einem Drittland stationierten Webserver, in den der Einbinder über kei- ne Niederlassung verfügt, gespeichert ist, steht dies einer Anwendung des österreichischen Datenschutzrechts nicht im Wege.³¹ Ob für eine Weiterverarbeitung, wie einer Kombination der Daten aus verschiedenen Quellen, durch das soziale Netzwerk dann ebenfalls österreichi- sches Datenschutzrecht zur Anwendung kommt, ist im Einzelfall zu klären.³²

28 Knyrim, Praxishandbuch für richtiges Datenschutzrecht (2012) Kapitel 2.4.

29 Dohr/Pollirer/Weiss/Knyrim, DSG² (2013) § 4 Anm. 8.

30 Jahnel, Handbuch Datenschutzrecht (2010) Rz 3/20.

31 Jahnel, Handbuch Datenschutzrecht (2010) Rz 3/24.

32 Leissler, Soziale Netzwerke und Datenschutzrecht (2011) Kapitel B.f.

2. Personenbezogene Daten

Der sachliche Geltungsbereich setzt voraus, dass personenbezogene Daten verarbeitet wer- den. Unterschieden wird gemäß § 4 Z 1,2 DSG grundsätzlich zwischen personenbezogenen und sensiblen Daten, wobei das österreichische Datenschutzrecht, abweichend zur EU- Richtlinie,³³ noch eine zusätzliche Unterscheidung zwischen direkt und indirekt personenbe- zogenen Daten vornimmt.

Die Unterscheidung zwischen „normalen“ und „sensiblen“ personenbezogenen Daten richtet sich materiell danach, ob der Inhalt der Daten in eines der taxativ³⁴ abgegrenzten Gebiete des

§ 4 Z 2 DSG reicht. Die Unterscheidung zwischen indirekt und direkt personenbezogenen Daten ergibt sich gemäß § 4 Z 1 DSG daraus, ob durch rechtliche zulässige Mittel aus den Daten auf die konkrete Person geschlossen werden kann. Ist dies nicht möglich, liegen ledig- lich indirekt personenbezogene Daten vor, für die das DSG einige Erleichterungen³⁵ vorsieht.

Ruft man sich jetzt die Daten in Erinnerung, die von den Akteuren erhoben werden,³⁶ lässt sich erkennen, dass die meisten davon entweder überhaupt nicht oder nur indirekt personen- bezogen und nicht sensibel sind. So stellen Design-Optionen, Browser-Metadaten und Web- seiten-URL überhaupt keine personenbezogenen Daten dar.³⁷ Die IP-Adresse erlaubt in Ver- bindung mit dem Zeitpunkt,³⁸ zu dem die Seite aufgerufen wurde, grundsätzlich einen Rück- schluss auf das Endgerät, das der Besucher benutzt hat.³⁹ Während bei statischen IP-Adressen

33 Jahnel, Handbuch Datenschutzrecht (2010) Rz 4/29.

34 Die taxative Aufzählung resultiert aus der ebenfalls taxativen Auflistung in Art. 8 Abs. 1 der zugrunde liegen- den EU-Richtlinie RL 95/46/EG. Details finden sich in den Gesetzesmaterialien zu RV 1613 XX. BlgNR GP ad § 4 Z 2.

35 Beispielsweise in der Meldepflicht und beim internationalen Datenverkehr, siehe auch: Knyrim, Praxishand- buch für richtiges Datenschutzrecht (2012) Kapitel 2.6.1.1.

36 Siehe Kapitel II.B.1.b und Kapitel II.B.2.b: Aktuell übertragene Daten.

37 Koch, Internet-Recht (2005) Kapitel 18 B. 3.

38 Der Zeitpunkt ist bei dynamischen IP-Adressen notwendig, da diese nicht einem einzigen Teilnehmer zuge- wiesen sind (siehe Fußnote 9).

39 Lechner, Datenschutz und Internet in Bauer/Reimer (Hg), Handbuch Datenschutzrecht (2009) 209 (9 III. A. 1).

unstrittig direkt personenbezogene Daten vorliegen, ⁴⁰ ist dies bei dynamischen IP-Adressen differenzierter zu betrachten.

So herrscht in der Literatur und Judikatur aktuell eine Diskussion darüber, ob eine dynami- sche IP-Adresse überhaupt als personenbezogenes Datum für einen Auftraggeber, der nicht über die Zuordnungstabelle verfügt, anzusehen ist. ⁴¹ Dagegen sprechen würde ein subjektiver Betrachtungswinkel, unter dem festzustellen ist, dass für den Auftraggeber selbst keine Rückverfolgung möglich ist.⁴² Unter einem objektiven Betrachtungswinkel ist allerdings fest- zustellen, dass die Zuordnung durch zumindest irgendjemanden (den Provider) möglich ist und deshalb ein Personenbezug besteht. Dieser zutreffenden Auffassung folgen neben ge- wichtigen Stimmen in der Literatur⁴³ auch VfGH⁴⁴, EUGH⁴⁵ und die DSB⁴⁶. Die tatsächli- chen Auswirkungen werden in Österreich aber durch die Kategorie der indirekt personenbe- zogenen Daten abgemildert. Denn mit rechtlich zulässigen Mitteln ist eine Rückverfolgung der IP-Adressen zu den tatsächlichen Anschlussinhabern für die hier untersuchten Akteure

40 Bei statischen IP-Adressen (siehe Fußnote 9) bleibt die IP-Adresse dem Anschlussinhaber direkt zugeordnet.

Diese Zuordnung ist öffentlich einsehbar und beispielsweise auf <http://apps.db.ripe.net/search> für jeden kostenlos abfragbar. Bei dynamischen IP-Adressen ist jedoch nur der Provider als Inhaber ersichtlich. Wäh- rend für Server und große Unternehmen eine statische IP-Adresse üblich ist, haben Konsumenten im Normal- fall eine dynamische IP-Adresse oder höchstens eine quasi-statische IP-Adresse (selten wechselnde dynami- sche Adresse) und sind deswegen nicht öffentlich zuordenbar, siehe:

41 Für eine Übersicht der aktuell vertretenen Auffassungen siehe: Pachinger: Auf dem schwierigen Web zum EU-Datenschutz, jusIT 5/2013, 181 (184 ff).

42 Kalteis, Polizeiliche Ermittlung von IP-Adressen nur mit richterlicher Genehmigung?, ZfV 2/2013, 184 (185 ff).

43 Für Social Plugins zum selben Schluss kommend auch: Burgstaller, Soziale Netzwerke, lex:itec 02-03/2012, 16 (2.2).

44 VfGH 29.6.2013 B 1031/11.

45 EuGH 24.11.2011 Rs C-70/10 (Scarlet Extended SA/SABAM). Dem Urteil zugrunde liegend war allerdings ein Sachverhalt, in dem die IP-Adressen im Besitz eines Providers waren, der diese natürlich den Anschluss- inhabern zuordnen konnte, siehe: Hawellek, IP-Adressen sind personenbezogene Daten, ZD-Aktuell 2011, 129.

46 DSK 20.06.2008 K121.358/0009 sowie DSK 29.09.2006 K213.000/0005. Beide Entscheidungen betreffen aber Datenverwender, die direkt einen Personenbezug aus der IP ableiten können.

nicht möglich, da die dafür notwendige Zuordnungstabelle zwar durch die Internetprovider⁴⁷ im Zuge der Vorratsdatenspeicherung geführt wird, eine Abfrage aber nur unter engen Vo- raussetzungen möglich ist.⁴⁸ Da es mangels Vorliegen dieser Bedingungen dadurch an recht- lich zulässigen Möglichkeiten zum Herstellen eines Personenbezugs fehlt, ist die IP-Adresse für Social Plugin-Einbinder und Social Plugin-Anbieter nur als indirekt personenbezogen zu betrachten. ⁴⁹

Bei den ebenfalls übertragenen Cookies ist eine Unterscheidung vorzunehmen, je nachdem, ob der Webseitenbesucher gleichzeitig ein Benutzer vom jeweiligen Social Networks ist.

Falls dies nicht der Fall ist, kann mit den eindeutigen Cookies zwar der Besucher wiederer- kannt, die konkrete Person hinter dem Cookie kann aber nicht festgestellt werden.

Ist der Besucher Nutzer des Social Networks, wird dieser über das übertragene Cookie ein- deutig identifiziert. Liegt eine Anmeldung unter Angabe der echten personenbezogenen Da- ten vor, ist ein Rückschluss auf die Person natürlich möglich und das Cookie als direkt perso- nenbezogenes Datum zu betrachten.⁵⁰

ABBILDUNG 23 Einstufung der erhobenen Daten

47 Für diese ist die IP-Adresse dann auch direkt personenbezogen, siehe: DSK 29.09.2006 K213.000/0005.

48 Helmreich, Rechtliche Probleme der Vorratsdatenspeicherung (2013) Kapitel II. B.

49 Jahnel, Handbuch Datenschutzrecht (2010) Rz 3/82 sowie Bergauer, Indirekt personenbezogene Daten – datenschutzrechtliche Kuriosa, Jahrbuch Datenschutzrecht 2011, 55 (IV).

50 Dass ein Cookie, dass eine den Nutzer identifizierende Nummer enthält, als personenbezogenes Datum gilt, ist unstrittig, siehe: Jahnel, Datenschutz im Internet Rechtsgrundlagen, Cookies und Web-Logs, ecolex 2011, 84 (3.a) sowie Lechner, Datenschutz und Internet in Bauer/Reimer (Hg), Handbuch Datenschutzrecht (2009) 209 (9. III. B.).

direkt personenbezogene Daten indirekt personenbezogene Daten keine personenbezogenen Daten Webseiten-URL

Styling-Anweisungen

...

IP-Adresse iVm Abrufzeitpunkt

Cookie bei netzwerkfremden Personen Cookie bei registrierten Nutzern

des Social Networks

B. Rollenverteilung

Zu Beginn der datenschutzrechtlichen Betrachtung stellt sich die Frage, welche Rolle die einzelnen Akteure einnehmen. So unterscheidet das österreichische Datenschutzgesetz 2000 (DSG) grundsätzlich zwischen drei Beteiligungsformen: Auftraggebern, Dienstleistern und Betroffenen. Praktisch bedeutend ist diese Frage, da je nach der Einstufung verschiedene da- tenschutzrechtliche Pflichten bestehen, denen der Akteur nachkommen muss, wobei den Auf- traggeber die meisten Verpflichtungen treffen.

In dieser Differenzierung ist gemäß § 4 Z 3 DSG grundsätzlich die natürliche oder juristische Person Betroffene, deren Daten verwendet werden.⁵¹

Auftraggeber ist gemäß der Definition des § 4 Z 4 DSG jede natürliche oder juristische Per- son, welche die Entscheidung trifft, dass Daten der betroffenen Person für einen bestimmten Zweck verwendet werden. Hier ist jedoch anzumerken, dass es nicht relevant ist, ob der Auf- traggeber diese Daten selbst verwendet oder ob er einen Dienstleister damit beauftragt und dieser Dienstleister beschließt, Daten zu sammeln und zu einer Werkserstellung zu verwen- den.⁵²

Dienstleister ist wiederum jede natürliche oder juristische Person, die gemäß § 4 Z 5 DSG vom Auftraggeber mit der Erbringung eines Werks betraut wurde und für die Herstellung auf personenbezogene Daten zurückgreift.⁵³

Es muss aber nicht jede Einstufungsform in jedem Sachverhalt vorkommen. Neben Sachver- halten ohne Dienstleister sind auch Sachverhalte mit mehreren Auftraggebern möglich. So

51 Knyrim, Praxishandbuch für richtiges Datenschutzrecht (2012) 2.6.3.

52Jahnel, Handbuch Datenschutzrecht (2010) Rz 3/31. Geht die nicht angeordnete Datenverwendung jedoch über die „Verfügungsmöglichkeiten eines Dienstleisters im datenschutzrechtlichen Sinn“ hinaus, erwächst die- sem für diese eine Auftraggebereigenschaft. Mehr dazu siehe DSK 21.03.2007 K121.245/0009.

53Jahnel, Handbuch Datenschutzrecht (2010) Rz 3/46.

gibt es nach Meinung der europäischen Artikel 29 Datenschutzgruppe⁵⁴ beispielsweise im Verhältnis Nutzer zu Social Network 2 Auftraggeber und keine Dienstleister.⁵⁵

Um die Frage der Rollenverteilung bei Einbindung von Social Plugins klären zu können, er- scheint es hilfreich, anhand der folgenden BPMN-Grafik⁵⁶ nochmals kurz den technischen Prozess (von links nach rechts) zu beleuchten.

Besucher

Besorgt Code und bindet ein

Besucher tippt URL in Browser ein

Anforderung Website-Code

Website-Code, enthält Verweis auf Social Plugin

Anforderung Ressourcen + Übersendung eigener

Daten und Cookies

Personalisiertes Social Plugin

Verarbeitung Code

Social Plugin-Anbieter

Social Plugin-Einbinder

Verarbeitung Code

Besucher bekommt Webseite angezeigt

ABBILDUNG 24 Darstellung der Kommunikation zwischen den Akteuren

Zu Beginn steht hier die Einbindung der vom Social Plugin-Anbieter zur Verfügung gestell- ten Codeschnipsel in den Code der Webseite des Einbinders.⁵⁷

54 Die Artikel 29 Datenschutzgruppe ist eine unabhängige und beratende Gruppe, die 1996 durch die Richtlinie RL 95/46/EG geschaffen wurde und sich neben einem Vertreter der Kommission und des Europäischen Da- tenschutzbeauftragten im Wesentlichen aus Mitgliedern der nationalen Datenschutzbehörden zusammensetzt.

Die Stellungnahmen und Empfehlungen der Gruppe sind juristisch nicht verbindlich. Mehr siehe: Kalteis, Po- lizeiliche Ermittlung von IP-Adressen nur mit richterlicher Genehmigung?, ZfV 2/2013, 184 (II). Trotz ihrer Unverbindlichkeit sind die Arbeitspapiere der Gruppe rechtlich bedeutend und werden auch in der Judikatur anerkannt, siehe: beispielsweise DSK 13.07.2012 K212.766/0010 und EuG 08.11.2007 Rs T-194/04 (The Bavarian Lager Co. Ltd) Rz 79.

55 Artikel 29 Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke (2009) WP 163 Kapitel 3.1.

56 Business Process Model and Notation: Eine Notation zur Darstellung von Geschäfts- und Arbeitsprozessen.

57 Siehe Kapitel II.B: Funktionsweise.

Wird dessen Webseite nun besucht, nimmt der Browser des Besuchers in einem ersten Schritt Kontakt mit dem Server des Social Plugin-Einbinders auf und fordert den HTML-Code an. In diesem befindet sich, zusammen mit dem übrigen Code, auch schon der Abschnitt für das Social Plugin. Geht man vom harmlosesten Fall, einem iframe-basierten Plugin aus, verarbei- tet der Browser den soeben erhaltenen Code, findet darin das iframe-Element vor und fordert mit gleichzeitiger Übertragung von Daten wie IP-Adresse und Cookies⁵⁸ vom Server des Social Plugin-Anbieters die verwiesene Ressource an. In der Antwort wird dann der Code des angepassten Plugins an den Benutzer gesendet. Vom Browser wird schließlich der ganze Code grafisch verarbeitet als fertige Seite präsentiert.

Während des ganzen Vorgangs werden nie persönliche Daten an den Einbinder des Social Plugins übertragen, bei den meisten Plugin-Implementierungen ist dies aus technischer Sicht gar nicht möglich.⁵⁹

1. Webseitenbesucher

Die Einstufung des Besuchers einer Webseite mit eingebundenem Social Plugin ist am Ein- fachsten: Diese lassen sich als Betroffene iSd § 4 Z 3 DSG einstufen.⁶⁰ So werden ihre Daten von anderen (dem Social Plugin-Anbieter) dazu verwendet, ein personalisiertes Plugin anzu- bieten oder werden zumindest gespeichert.⁶¹

2. Social Plugin-Einbinder

Beim Einbinder des Social Plugins stellt sich die Frage, ob dieser als Auftraggeber oder überhaupt als unbeteiligter Dritter einzustufen ist. Eine Ausklammerung des Einbinders be- fürwortet die Technik: Zu keinem Zeitpunkt kommt dieser in den Besitz der durch den An- bieter des Social Plugins erhobenen Daten. Man könnte hier eine Analogie zu einer reinen Vermittlungsposition sehen, wie diese in der Literatur auch bei App-Stores bejaht wird⁶² und damit argumentieren, dass der Einbinder ja nur das Social Network und den Besucher einan-

58 Siehe Kapitel II.B.1.a: Übertragbare Daten.

59 Siehe Kapitel II.C Datenabfrage durch Einbindenden.

60 Artikel 29 Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke (2009) WP 163 Kapitel 3.1ff.

61 Siehe beispielsweise das YouTube-Demographics-Cookie aus Kapitel II.B.1.b: Aktuell übertragene Daten.

62 Leissler, Apps & Datenschutz (2012), ipCompetence 2012 H 8, 46.

der vermittelt, selbst nur passiver Nutznießer wird und deshalb nicht für eine Datensammlung des Social Networks verantwortlich gemacht werden kann.

Diese Ansicht ist nicht zutreffend. Anders als auf einem Marktplatz, bei der User und „Aus- steller“ sich zum Zweck des Verkaufes zusammenfinden, wird die Webseite eines Social Plugin-Nutzers nicht gerade wegen dieses Plugins angefordert. Vielmehr bedient sich dieser des fremden Codes ja dazu, eigene Funktionalität (wie beispielsweise Kommentarfelder) aus- zulagern und durch dieses „Outsourcing“ den Besuchern kostengünstig mehr Content zu bie- ten. Die User selbst können teilweise ja gar nicht merken, dass tatsächlich Daten an Social Networks gesendet werden, wenn sie eine Webseite aufrufen. Und wie oben behandelt, kommt es schließlich nicht darauf an, ob der Auftraggeber selbst Daten verarbeitet oder ob ein beauftragter Dienstleister beschließt, diese zu verarbeiten.

Deswegen ist eine Analogie bei Social Plugins viel weniger zu App Stores als mehr zu Web- trackern⁶³ wie Google Analytics zu sehen, welches technisch ja geradezu ident funktioniert – dort wird ebenfalls Funktionalität (Besucherstatistik) auf andere Firmen ausgelagert, ohne dass Besucher der einbindenden Website etwas davon merken. Da nach deutschem Recht, das durch die europarechtliche Grundlage die gleiche Differenzierung der Akteure vornimmt⁶⁴, für diesen Sachverhalt genauso eine Auftraggeberstellung für den Einbinder bejaht wird⁶⁵, ist dieser auch in der vorliegenden Fragestellung als Auftraggeber anzusehen.⁶⁶

Ein weiterer, ähnlich zu betrachtender Sachverhalt liegt in verhaltensbasierter Werbung. Bin- det eine Website Werbebanner ein, wird ebenfalls die Übertragung von Daten wie der IP-

63 Webtracker: Software, die Auswertung des Besucherverhaltens einer Website nach verschiedenen Gesichts- punkten ermöglicht. Häufig mögliche Auswertungen umfassen Auflistungen nach Ursprungsland, verwendeter Technologie, Dauer des Besuchs und die Anzahl der besuchten Seiten.

64 Die österreichischen Begriffe Auftraggeber, Dienstleister und Betroffener des DSG basieren genauso wie die deutschen Begriffe Verantwortliche Stelle, Empfänger und Betroffener des BDSG auf den in Art. 2 lit d, e, f der Richtlinie RL 95/46/EG bestimmten Begriffen des für die Verarbeitung Verantwortlichen, Auftragsverar- beiter und Dritten. Die DSB sieht zudem keinen Grund, bei der Auslegung von der Richtlinie abzuweichen, siehe DSK 14.11.2003 K120.819/006.

65Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics (2009) sowie: Hamburgische Beauftragte für Datenschutz und Informations- freiheit, Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen (2013).

66 Nach deutschem Recht zum selben Ergebnis kommend auch: Unabhängiges Landeszentrum für Daten- schutz Schleswig-Holstein, Wer ist datenschutzrechtlich verantwortlich für Facebook-Fanpages und Social- Plugins? (2011).

Adresse und einem seitenübergreifenden Cookie durch den Einbinder initiiert, wobei dieser selbst nie Zugriff auf die Daten erhält. Für genau diesen Sachverhalt hat die europäische Ar- tikel 29 Datenschutzgruppe ein Working Paper verfasst, das ebenfalls den Einbinder (hier:

der Werbung) als Auftraggeber ansieht. Folglich resultiert daraus, dass die mit der Auftrag- geberstellung verbundenen Pflichten um die Bestimmungen, denen der Einbinder nicht nach- kommen kann – wie beispielsweise ein Auskunftsrecht auf die gespeicherten Daten (da dieser keine Daten speichert) – zu reduzieren sind.⁶⁷

Es könnte auch die Meinung vertreten werden, dass der Einbinder nur Dienstleister des Social Plugin-Anbieters ist. Denn, tatsächlich werden für den Anbieter Daten gesammelt, die dieser in weiterer Folge – beispielsweise durch besser personalisierte Werbung – verwerten kann.

Dieser Ansicht ist entgegenzusetzen, dass der Einbinder weder bloß personenbezogene Daten im Auftrag des Social Networks verarbeitet (bzw. erhebt) noch rein in dessen Interesse han- delt. ⁶⁸ Die Initiative geht vom Einbinder aus, dieser will das angebotene Service benutzen, sein eigenes Produkt (die Website) durch die Einbindung verbessern, entweder durch Anbie- ten von Funktionalität für den Besucher oder besseren Einblick in die angesprochene Besu- cherdemographie.⁶⁹

3. Social Plugin-Anbieter

Fraglich ist hier, ob es sich um einen datenschutzrechtlichen Dienstleister oder einen eigenen Auftraggeber handelt. Für die Stellung als reiner Dienstleister würde sprechen, dass ein Auf- trag in der Erstellung eines personalisierten Social Plugins durch den Einbinder vorliegt, was nur unter Zuhilfenahme von personenbezogenen Daten (dazu sogleich) möglich ist. Dass die-

67 Artikel 29 Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting (2010) WP 171 Kapitel 3.3.

68 Beide Merkmale sind notwendige Bedingungen für das Vorliegen eines Dienstleisters. Siehe Artikel 29 Da- tenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auf- tragsverarbeiter“ (2010) WP 169 Kapitel III. 2.

69 Solche statistischen Auswertungen sind beispielsweise bei Facebook durch das angebotene Tool „Facebook Insights“ möglich.

se Daten nicht vom Auftraggeber (dem Einbinder) kommen, ist für die Betrachtung irrele- vant, der Dienstleister wird in diesem Fall als „Ermittlungsdienstleister“ eingestuft.⁷⁰

Dagegen spricht jedoch, dass der Social Plugin-Anbieter die gesammelten Daten nicht nur zur reinen Erzeugung des Werkes (des Plugins) verwendet, sondern darüber hinausgehend auch für eigene Verarbeitung nutzt. Ein Beispiel für eine solche weitergehende Nutzung fin- det sich in der Datenschutzerklärung von Facebook.⁷¹

Wenn du bei Facebook angemeldet bist und eine Webseite mit der „Gefällt mir“- Schaltfläche oder einem anderen sozialen Plug-in besuchst, sendet dein Browser Infor- mationen über deinen Besuch an uns. […] Wir zeichnen einige dieser Informationen für eine begrenzte Zeit auf, um dir ein personalisiertes Nutzererlebnis auf dieser Webseite zu bieten […]. Zu den Daten, die wir erhalten, gehören deine Anmeldekennnummer, die be- suchte Webseite, das Datum und die Uhrzeit sowie andere browserbezogene Informatio- nen.

Wenn du von Facebook abgemeldet bist oder kein Facebook-Konto besitzt und eine Webseite mit der „Gefällt mir“-Schaltfläche oder einem anderen sozialen Plug-in be- suchst, sendet dein Browser weniger Informationen an uns. Wenn du nicht auf Facebook angemeldet bist, hast du weniger Cookies als jemand, der angemeldet ist. Wie andere Webseiten auch speichern wir Daten über die von dir besuchten Webseiten, Datum und Uhrzeit und andere browserbezogene Daten. […]

Wie durch unsere Datenverwendungsrichtlinien definiert verwenden wir Cookies, um dir Werbeanzeigen auf Facebook und außerhalb zu zeigen.

Aus den Gesetzesmaterialien geht hervor, dass ein Dienstleister jedenfalls dann nicht mehr als solcher, sondern als eigener Auftraggeber einzustufen ist, wenn dieser Daten aus ver- schiedenen Auftragsverhältnissen miteinander kombiniert oder selbst entscheiden kann, wie die überlassenen Daten verwendet werden dürfen.⁷² Genau dies trifft hier zu. Im obigen Aus-

70Helmreich, Rechtliche Probleme der Vorratsdatenspeicherung (2013), IV. B. 3. Die Einführung des Begriffs des Ermittlungsdienstleisters war eine der Neuerungen des DSG 2000, siehe Ennöck, Die wesentlichen Neue- rungen im DSG 2000 in Raschauer (Hg) Datenschutzrecht (2010) 37 (II. A.).

71 <facebook.com/about/privacy/your-info-on-other#social-plugins>.

72 Dohr/Pollirer/Weiss/Knyrim, DSG² (2013) § 4 Anm 6.

zug räumt sich das Social Network weitgehende und nicht genauer definierte Rechte zur Ver- arbeitung der erhobenen Daten ein, die auch nach einem Ende der Nutzung des Social Plugins noch weiterverwendet werden. Da auch andere Anbieter über ähnlich formulierte Datenschutzerklärungen und Nutzungsbedingungen verfügen, werden diese keine reinen Dienstleister mehr darstellen sondern sind als eigene Auftraggeber einzustufen.

Datenschutzrechtlich liegt deswegen keine reine Überlassung iSd § 4 Z 11 DSG mehr vor, sondern eine strenger zu prüfende Übermittlung iSd § 4 Z 12 DSG.⁷³

Social Plugin Einbinder

Auftraggeber Social Plugin Anbieter

Auftraggeber Webseitenbesucher

Betroffener

beauftragt zur Erzeugung eines Social Plugins

besucht Website Daten

ABBILDUNG 25 Der Auftrag zur Anzeige des Social Plugins kommt zwar vom Einbinder, Daten der Besucher werden aber aus- schließlich vom Anbieter des Social Plugins gesammelt und gespeichert.

Im Abschluss sind also sowohl der Einbinder des Social Plugins als auch der Anbieter des Social Plugins als Auftraggeber einzustufen, während der Besucher der Webseite des Einbin- ders als Betroffener anzusehen ist.

C. Zulässigkeit der Datenverarbeitung

Eine Datenverarbeitung ist grundsätzlich nur dann erlaubt, wenn sie den Grundsätzen gemäß

§ 6 Abs. 1 DSG und § 7 DSG iVm § 8f DSG entspricht.⁷⁴

Bei der zu Beginn durchzuführenden Prüfung⁷⁵ auf Einhaltung des § 7 Abs. 1 DSG ist zu darauf abzustellen, ob „Zweck und Inhalt der Datenanwendung von den gesetzlichen oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind“.⁷⁶ Da für Webseitenbe- treiber keine offensichtlich gesetzliche Befugnis zur Einbindung von Social Plugins besteht,

73 Knyrim, Praxishandbuch für richtiges Datenschutzrecht (2012) Kapitel 2.6.3.

74 Knyrim, Praxishandbuch für richtiges Datenschutzrecht (2012) Kapitel 4.3.1.

75 Jahnel, Handbuch Datenschutzrecht (2010) Rz 4/11ff

76 § 7 Abs. 1 DSG.

ist auf eine rechtliche Befugnis abzustellen. Diese wird sich üblicherweise aus der Gewerbe- berechtigung oder den anderen jeweils einschlägigen Materiengesetzen ergeben.⁷⁷

Damit die Verarbeitung weiter zulässig ist, müssen die schutzwürdigen Interessen des Be- troffenen (dh. des Besuchers) berücksichtigt werden.⁷⁸ Für diese Beurteilung ist, da es sich bei den übermittelten Daten um nicht-sensible Daten handelt,⁷⁹ der § 8 DSG heranzuziehen.

Für den Fall, dass es sich bei Webseitenbesuchern um Personen handelt, die im Netzwerk des Social Plugin-Betreibers nicht registriert werden, fallen nur indirekt personenbezogene Daten an.⁸⁰ Deswegen ist hier der § 8 Abs. 2 DSG einschlägig, der bei indirekt personenbezogenen Daten einen Geheimhaltungsanspruch ausschließt.⁸¹

Im Fall von registrierten Besuchern wird bei der Registrierung durch diese eine passive Zu- stimmungserklärung abgegeben worden sein, die als Berechtigung iSd § 8 Abs. 1 Z 2 DSG zu werten ist. Für das Beispiel Facebook wurden diese bereits oben zitiert, vergleichbare Ser- vices wie Google Plus verfügen über ähnliche Formulierungen⁸²:

Informationen, die wir aufgrund Ihrer Nutzung unserer Dienste erhalten: Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der un- sere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren. Derartige Informationen beinhalten:

Gerätebezogene Informationen: Wir erfassen möglicherweise gerätespezifische Informa- tionen (beispielsweise das von Ihnen verwendete Hardware-Modell, die Version des Be- triebssystems, eindeutige Gerätekennungen und Informationen über mobile Netzwerke, einschließlich Ihrer Telefonnummer). Google verknüpft Ihre Gerätekennungen oder Tele- fonnummer gegebenenfalls mit Ihrem Google-Konto.

77 Knyrim, Praxishandbuch für richtiges Datenschutzrecht (2012) Kapitel 4.3.3.

78 RV 1613 XX. GP ad § 7.

79 siehe Kapitel III.A.2: Personenbezogene Daten.

80 siehe Kapitel III.A.2: Personenbezogene Daten.

81 RV 1613 XX. GP ad § 8.

82 <google.com/intl/de/policies/privacy>.