Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen
Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter) und Frau Rechtsanwältin Alma Lena Fritz
16.07.2010 - Mit dem so genannten “Like” (oder “Gefällt mir”) Button von Facebook können Webseiten-Betreiber Facebook-Nutzern eine Möglichkeit geben, die von den Webseiten-Betreibern angebotenen Webinhalte mit einem Klick in den Facebook-Profilen zu verlinken. Aber wie funktionieren die Like-Buttons von Facebook eigentlich? Welche Daten werden erhoben und an Facebook übermittelt? Welche datenschutzrechtlichen Besonderheiten müssen Webseiten-Betreiber beachten?
Was ist der Like-Button von Facebook?
Der so genannte “Like” (oder “Gefällt mir”) Button von Facebook kann von Webseiten-Betreibern auf der eigenen Webseite angebracht werden. Mit einem Klick auf diesen Button können bei Facebook registrierte Nutzer automatisch in Ihrem Facebook-Profil eine Notiz hinterlassen, dass Sie die verlinkten Inhalte des Webseiten-Betreibers gut heißen.
Der eingebundene Facebook Button „kommuniziert“ dabei laufend mit Facebook. So verändert sich beispielsweise die graphische Anzeige des Buttons, wenn ein Webseiten-Besucher zugleich in seinem Facebook-Account eingeloggt ist.
Unklar ist momentan insbesondere noch die Frage, ob der Facebook-Button auch personenbezogene Daten von Webseiten-Besuchern an Facebook übermittelt, die nicht Mitglieder bei Facebook sind.
Weitere Details zu den technischen Hintergründen finden sich hier.
Der Anlass: Hamburger Stadtportal verwendete Like-Button von Facebook
Die Stadt Hamburg hat innerhalb der letzten Wochen einen Like-Button mit Verlinkung zu Facebook auf ihrer Webpräsenz angebracht. Letzte Woche wurde dieser wieder entfernt. Auf dem Blog der Stadt Hamburg wird erläutert, dass momentan ein konstruktiver Dialog mit Facebook bestehe, um eine datenschutzrechtlich einwandfreie Lösung zur Verfügung stellen zu können. Zuvor hatte der Like-Button, wie auf der Webseite diskutiert wird, möglicherweise auch Daten von Nicht-Facebook-Nutzern gesammelt. Daher wurde der Button wieder entfernt – der Schutz der personenbezogenen Daten der Bürger und Bürgerinnen müsse Vorrang vor einer weiteren Vernetzung des Portals haben.
Facebook in der Kritik der Datenschützer
Facebook und die dort gesammelten Datenmengen stehen bereits seit längerem in der Kritik der Datenschützer. Zusätzlich zu den Datenmengen, die User dort freiwillig veröffentlichen, wird über eine ausgeklügelte Cookie- und Tracking-Technik mehr gesammelt, als viele User ahnen. Mit dem Like-Button kann Facebook Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern auch im ganzen Netz sammeln.
Welchen technischen Hintergrund hat der Like-Button von Facebook?
Das Integrieren des Facebook-Like-Buttons ist relativ einfach. Der Webseiten-Betreiber muss zur Anzeige des Facebook-Like-Buttons einen Programmcode von Facebook in seine Webseite einbinden. Klickt ein auf Facebook registrierter Nutzer auf den Like-Button einer Webseite, so wird dies direkt an den Facebook-Server übermittelt. Dort wird es zum Profil des Nutzers gespeichert. Die Information, welche Seiten „ge-like-t“ wurden, wird durch Übergabe der URL übermittelt.
Verarbeitung personenbezogener Daten
Bei den durch den Like-Button auf der Seite des jeweiligen Webseiten-Betreibers erhobenen Daten handelt es sich auch um personenbezogene Daten, da der Nutzer über die Verknüpfung mit seinem Facebook-Account eindeutig identifizierbar ist.
Bundesdatenschutzgesetz: Übermittlung von Daten nur mit Einwilligung oder rechtlicher Grundlage
Da Facebook und der Webseiten-Betreiber unterschiedliche Stellen sind und eine Privilegierung durch die Normen der Auftragsdatenverarbeitung (§ 11 BDSG – hier nur kurz: es fehlt jedenfalls an der Weisungsgebundenheit gegenüber Facebook) an dieser Stelle ausscheidet, liegt in der Eröffnung des Zugriffs eine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes („BDSG“).
Nach dem System des BDSG dürfen personenbezogene Daten nur übermittelt werden, wenn der Nutzer gemäß § 4a BDSG eingewilligt hat, eine Rechtsgrundlage oder eine rechtliche Verpflichtung für die Übermittlung vorliegt. Es ist darauf hinzuweisen, dass eine Übermittlung ohne Einwilligung oder Rechtsgrundlage gemäß § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.000,- Euro belegt werden kann.
Einwilligung scheitert an Praktikabilität
Eine Einwilligung scheidet aus Gründen der Praktikabilität vorliegend aus (der Nutzer müsste sonst insbesondere noch anklicken, dass er einverstanden sei, dass seine Daten erhoben und an Facebook übermittelt werden). Eine Rechtsgrundlage für die Übermittlung kann jedoch möglicherweise in § 15 Abs. 1 TMG gesehen werden. Dieser lautet:
„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“
Verarbeitung wegen Ermöglichung von Telediensten: rechtmäßig gemäß § 15 Abs. 1 TMG?
Damit kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, um die Inanspruchnahme von Telemedien zu ermöglichen, soweit dies erforderlich ist. Die Verknüpfung auf Facebook über den Like-Button ist ein angebotener Teledienst im Sinne der Vorschrift. Damit der Like-Button benutzt werden kann, müssen die Daten an Facebook übermittelt werden. Dies kann als zwingend im Sinne der Vorschrift bewertet werden, wenn auch die Einbindung nach dem Willen des Telemedienbetreibers freiwillig erfolgt. Insofern kann dies als Rechtsgrundlage herangezogen werden.
Dagegen: Gebot der Datensparsamkeit
Wenn sich nach dem Wortlaut der Vorschrift eine Rechtsgrundlage für die Übermittlung sehen lässt, so muss jedoch nach dem Prinzip der Datensparsamkeit (§ 3a BDSG) daran gezweifelt werden, ob die Auslegung von § 15 Abs. 1 TMG insofern nicht zu weit geht. Denn selbst wenn die Rechtsgrundlage ausreichen mag für Webseiten-Besucher, die den Like-Button drücken und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (ganz zu schweigen von den Webseiten-Besuchern, die nicht einmal bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher durchaus als zu umfangreich verstehen – und insofern ablehnen.
Datenschutzbehörden haben sich bislang nicht geäußert
Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.
Webseiten-Betreiber müssen Datenschutzerklärung anpassen
In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die Datenschutzerklärung nach § 13 Abs. 1 TMG der Webseiten-Betreiber angepasst werden.
Inhaltlich muss erklärt werden, dass der Webseiten-Betreiber Facebook den Datenaustausch ermöglicht. Auch wenn der Nutzer den Facebook-Button erkennt, so mag diesem nicht klar sein, dass ein Datenaustausch tatsächlich stattfindet. Insbesondere mag der Einzelne, wenn er die Gefahr erkennt, glauben, dass eine Verknüpfung nur stattfinden kann, wenn er den Like-Button auch anklickt. Diesem ist aber nicht so. Die Verknüpfung findet bereits durch den von Facebook gesetzten Code in die Webseite statt.
Gemäß § 13 TMG muss damit über diese gesamten Umstände hingewiesen werden. Die Datenschutzerklärung muss in verständlicher Form gestaltet werden, sonst drohen Bußgelder nach § 16 TMG. Dieses Bußgeld droht jedem Webseiten-Betreiber, der den Like-Button von Facebook ohne Hinweis in seiner Datenschutzerklärung angebracht hat. Der Webseiten-Betreiber ist insoweit verantwortliche Stelle, auf den die Datenverarbeitung zurückzuführen ist.
Wie sind soziale Netzwerke in europarechtlicher Sicht zu bewerten?
Die Artikel 29 Datenschutzgruppe hat bereits im letzten Jahr in ihrer Meinung 5/2009 die sozialen Netzwerke zu größerer Sicherheit für die User und weniger Datenansammlungen aufgefordert.
Weitere Schritte werden wohl im Mai des nächsten Jahres erreicht sein müssen, wenn die Richtlinie 2009/136/EG („Cookie-Richtlinie“ – wir berichteten) in das deutsche Recht umgesetzt sein muss. Da ab diesem Zeitpunkt mehr mit aktiver Einwilligung in die Cookie-Platzierung gearbeitet werden muss, werden sich zwangsläufig auch für die sozialen Netzwerke sowie für deren Geschäftswege einige Veränderungen ergeben. Davon wäre auch die Verknüpfung über Like-Buttons betroffen.
Fazit
Der Like-Button kann von Webseiten-Betreibern eingesetzt werden, sofern angenommen wird, dass die Übermittlung der Daten an Facebook erforderlich ist, um die Verlinkung zu ermöglichen und insoweit § 15 Abs. 1 TMG als Rechtsgrundlage gewertet wird. In jedem Fall müssen die Datenschutzerklärungen der Webseiten-Betreiber auf den Facebook-Like-Button eingehen. Es ist zudem empfehlenswert, etwaige Stellungnahmen der Aufsichtsbehörden und Gerichtsentscheidungen zu beobachten. Tragen Sie sich hierzu einfach in unseren Newsletter ein.