Für viele Unternehmen ist die Nutzung von Social Plugins als Marketinginstrument auf ihren Webseiten nicht mehr wegzudenken. Datenschutzrechtlich ist dies jedoch nicht immer ganz unbedenklich. So erklärte das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein 2011 den Facebook-Like-Button als nicht datenschutzkonform. Dieser Einschätzung schlossen sich mittlerweile auch diverse Gerichte an. Etwas anderes gilt wohl nur für den mittlerweile veralteten Facebook „Share-Button“, der daher hier außer Betracht gelassen wird.
Facebook: Das Problem mit dem Like-Button
Um die datenschutzrechtlichen Probleme des Like-Buttons zu erörtern, muss man zunächst die technische Funktionsweise des Like-Buttons verstehen. Es gibt zwei Varianten des Like-Buttons für Webseiten: der „Gefällt mir“-Button und der „Empfehlen“-Button. Beide Varianten wurden gleichermaßen als rechtswidrig eingestuft.
Surft der Facebook Nutzer beispielswiese auf Spiegel Online und ist bei Facebook eingeloggt, so erfährt Facebook, dass dieser konkrete Nutzer gerade Spiegel Online liest – auch ohne dass er den Facebook Like-Button auf Spiegel Online geklickt hat. Durch Einbindung des Like-Buttons werden, auch ohne aktives Anklicken des Like-Buttons, Daten an Facebook übertragen und das unabhängig davon, ob der Webseitenbesucher Facebook-Nutzer ist oder nicht. Technisch funktioniert dies so, dass die Webseite den Like-Button per Iframe (eine Art kleine Mini-Webseite in der Webseite) einbettet. Dieser Iframe enthält ein lesbares Programm, ein sog. Skript, von Facebook. Sobald die Webseite aufgerufen wird, baut der Browser automatisch eine Verbindung zum Facebook-Server auf und sendet Daten an das Netzwerk. Das Skript des Facebook-Servers wird in den Browser des Nutzers geladen und ausgeführt.((Schleipfer, Facebook-Like-Buttons. Technik, Risiken und Datenschutzfragen. DuD, 05/2014, S. 319))
Facebook erhält generell bei jedem Aufruf eines in einer Webseite eingebundenen Like-Buttons, unabhängig davon, ob der Webseitenbesucher ein Facebook-Nutzer ist oder nicht, die „Grunddaten“ eines Webseitenaufrufs: IP-Adresse, Uhrzeit und Datum des Webseitenaufrufs, Internetadresse, über die das Facebook Social Plugin aufgerufen wurde sowie browserspezifische Informationen (beispielsweise welcher Browser verwendet wurde).((Forschepoth, Marcus, Datenschutz bei Facebook: Wie Nutzer ihre ihre Daten am besten schützen können, Mai 2013, S.70 ff.))
Auch bei Nutzern, die nicht auf Facebook angemeldet sind, werden die oben genannten Grunddaten erhoben und über mehrere Tage gespeichert.((Forschepoth, Datenschutz bei Facebook, S.71.)) Außerdem können durch das Facebook Plugin Cookie-Informationen gesetzt und von Facebook, sofern der Webseitenbesucher innerhalb von zwei Jahren eine Facebook-Seite besucht, ausgelesen werden. Mithilfe solcher Cookies kann ein Benutzer, der eine Webseite besucht, genauer identifiziert werden. Facebook verwendet mehrere Cookies: Das Cookie „datr“ bleibt für zwei Jahre auf dem Computer eines Nutzers gespeichert und kann unter Umständen dazu verwendet werden Profile der Nutzer zu erstellen.((Mehr dazu lesen Sie auf Heise Online: “Datenschützer verschärfen Angriffe auf Facebook”)) Andere Cookies sind wiederum nur für die Dauer der Sitzung gültig.
Bei Facebook-Nutzern, die beim Besuch der Webseite auf Facebook eingeloggt sind, erhält Facebook zusätzlich zu den oben genannten allgemeinen Informationen auch die Facebook-User-ID. So können die Informationen einem Facebook-Profil zugeordnet werden. Facebook kann diese Informationen zum Beispiel dazu verwenden, Nutzerprofile zu erstellen und bei der nächsten Facebook Anmeldung passende Werbung zu präsentieren. Nach 90 Tagen werden diese erhobenen Daten wohl anonymisiert.((Forschepoth, Datenschutz bei Facebook, S.71.))
Die technische Funktionsweise anderer Social Plugins ist der des Like-Buttons grundsätzlich ähnlich (Xing-Button, Pinterest-Button, Linked-In-Button, etc.).
Einwilligung in die Verwendung von Social Plugins?
Werden personenbezogene Daten verarbeitet oder übertragen, so ist dies datenschutzrechtlich zulässig wenn hierfür eine gesetzliche Regelung oder die Einwilligung des Betroffenen vorliegt (§ 12 Abs. 1 TMG, § 4 Abs. 1 BDSG). Personenbezogene Daten sind Angaben über die persönlichen und sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Dazu gehört die IP-Adresse, die nach einhelliger Auffassung der europäischen und deutschen Aufsichtsbehörden Personenbezug besitzt. Außerdem nutzt Facebook Cookies mit denen Nutzer individualisiert werden können. (Die datenschutzrechtliche Bewertung der Reichweitenanalyse von Facebook, erstellt durch das unabhängige Landeszentrums für Datenschutz) Mangels gesetzlicher Regelung kommt für die Zulässigkeit der Plugins nur eine Einwilligung in Betracht. Da es sich bei den an Facebook übertragenen Daten um personenbezogene Daten handelt, bedarf es für die Datenübertragung einer Einwilligung des betroffenen Nutzers.
Eine Einwilligung ist nur wirksam, wenn dieser eine vorherige Information über die konkrete Erhebung und Verwendung von Daten vorausgegangen ist. Die Einwilligung muss den konkreten Zweck, Umfang, die Art der erhobenen Daten und die daraus resultierenden Konsequenzen erkennen lassen. Der Besucher der Webseite wird grundsätzlich aber erst nach Aufruf der Webseite auf den Like-Button aufmerksam und kann erst dann darüber belehrt werden und seine Einwilligung erteilen. Zu diesem Zeitpunkt hat die Datenübertragung aber längst stattgefunden, wenn – wie standardmäßig vorgesehen – der Like-Button über das Iframe eingebunden ist. Die Einwilligung birgt noch ein weiteres Problem: Mit der Kontoerstellung bei Facebook stimmt der Facebook-Nutzer den Datenschutzbestimmungen von Facebook zu. Bei der Einbindung des Like-Buttons werden jedoch auch Daten von Personen, die nicht bei Facebook angemeldet sind, an Facebook übertragen. Diese haben nie in die Datenschutzbestimmungen von Facebook eingewilligt.
Deshalb hat das Landgericht Düsseldorf die Einbindung des Facebook Like-Buttons auf Webseiten für unzulässig erklärt.((LG Düsseldorf, Urteil v. 09.03.2016, Az.: 12 O 151/15.)) Auch wenn das Urteil nur auf den Facebook Like-Button Bezug nimmt, so lässt es sich auch auf die anderen ähnlich funktionierenden Social Plugins, wie Twitter oder Google+, die ebenfalls personenbezogenen Daten übertragen, übertragen.
Lösungen für Webseitenbetreiber
Zunächst trifft den Webseitenbetreiber eine Haftung für die in seine Webpräsenz eingebundenen Social Plugins, da er durch die Einbindung die Datenweitergabe an Facebook auslöst. Die datenschutzrechtliche Verantwortlichkeit hierfür ergibt sich aus § 15 Abs. 3 TMG, § 11 BDSG. Der Verstoß gegen § 15 Abs. 3 S. 3 TMG stellt zugleich eine Ordnungswidrigkeit nach § 16 Abs. 2 Nr. 5 TMG dar, die mit einer Geldbuße bis zu 50.000 Euro geahndet werden kann. (Mehr dazu lesen Sie in der datenschutzrechtlichen Bewertung der Reichweitenanalyse von Facebook, erstellt durch das unabhängige Landeszentrums für Datenschutz)
Angesichts der beschriebenen datenschutzrechtlichen Problematik und der daraus folgenden Haftung wurden abweichende Möglichkeiten der Einbindung der Social Plugins entwickelt.
Die veraltete Zwei-Klick-Lösung
Bei der von Heise Online entwickelten Zwei-Klick-Lösung((Mehr dazu lesen Sie auf Heise Online: “2 Klicks für mehr Datenschutz”)) kann der Nutzer durch Betätigung des Schiebereglers die Empfehlen-Funktion bei Facebook aktivieren. Solange er dies nicht drückt, bleibt der Button grau. Sobald der Nutzer die Empfehlen-Funktion aktiviert, wird der Button blau. Erst mit dem zweiten Klick auf den nun aktivierten Empfehlen-Button löst er die Datenübertragung an das soziale Netz aus. Dieser erste Lösungsansatz gilt inzwischen als zu umständlich und veraltet. Die Zwei-Klick-Variante war bei vielen Unternehmen nicht besonders beliebt. Der graue Button wirkte nicht ansprechend genug und führte zu weniger „Likes“. Deshalb wurde 2014 ein neues „Shariff“ genanntes System entwickelt.
Shariff-Lösung
Die neuen Buttons sehen aus Nutzersicht aus wie herkömmliche Social Media Buttons.((Lesen Sie mehr über die Einführung des Shariffs auf Heise Online: “Datenschutz und Social Media: Der c’t Shariff ist im Einsatz“)) Die Daten werden jedoch erst dann an Facebook & Co. übertragen, wenn der Nutzer auf den Button klickt. Das Design von Shariff kann individuell angepasst werden. Diese C’t entwickelte Shariff-Lösung ist für jeden Webseitenbetreiber kostenlos als Open Source auf Github verfügbar.((Auf Github erreichbar via heiseonline / shariff)) Auch für andere Social Plugins wie Google+, Twitter, Pinterest oder LinkedIn wird deshalb die Verwendung von Shariff empfohlen.
Es ist erforderlich in der Datenschutzerklärung einer Webseite auf die Verwendung von Social Plugins, wie den Like-Button, hinzuweisen und dabei auch Bezug auf die Shariff- oder Zwei-Klick-Lösung Bezug zu nehmen. Die Funktionsweise sollte ebenfalls erklärt werden.
Für datenschutzsensible Facebook-Mitglieder wird empfohlen, Facebook stets in einem separaten Browser zu öffnen in dem Facebook nicht verwendet wird, sodass man nicht Gefahr läuft bei einer aktiven Session ungewollte Daten zu übermitteln. Für Nutzer, die nicht auf Facebook angemeldet sind, ist es empfehlenswert, die Cookies regelmäßig zu löschen und Cookies von Drittanbietern zu blockieren.((Schleipfer, Facebook-Like-Buttons. Technik, Risiken und Datenschutzfragen. DuD, 05/2014, S. 318 ff.))
Sie benötigen Hilfe?
In unserer Rolle als externer Datenschutzbeauftragte und IT-Berater, beraten wir bereits erfolgreich Unternehmen im Bereich des Datenschutzes. Gerne beraten wir auch Sie, bei der Umsetzung der neuen Datenschutzgrundverordnung (DSGVO). Profitieren Sie von unserer langjährigen Erfahrung!
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.