18.07.2011

Die datenschutzrechtliche Kehrseite des Like-Buttons von Facebook

Auf den ersten Blick erscheint die Einbindung des Like-Buttons (auch Gefällt-mir-Buttons) von Facebook auf einer Webseite eine einfache Sache zu sein. Die Einbindung dieses Social Plugins birgt jedoch datenschutzrechtliche Risiken. Denn das Plugin sammelt Daten über die Besucher der Webseite, auf denen es installiert ist. Das Plugin ist ein Programmcode, durch dessen Implementierung auf einer Webseite deren Besuchern der Button als grafisches Element angezeigt wird. Klickt ein Facebook-User auf diesen Button, wird in seinem Facebook-Profil die Information gepostet, dass ihm der Inhalt der Seite "gefällt".

Personenbezogene Daten unterliegen dem Bundesdatenschutzgesetz (BDSG)

Das Senden dieser "Gefällt-mir-Information" an den Facebook-Server stellt eine Übermittlung personenbezogener Daten dar. Denn logischerweise muss für die korrekte Platzierung der Informationen beim entsprechenden Nutzer, dieser zunächst identifiziert werden. Diesen Job übernimmt ein auf dessen Rechner abgelegter Cookie.

Nun könnte man annehmen, diese Datenübermittlung ließe sich vermeiden, indem man einfach nicht auf den Button klickt. Falsch gedacht! Denn auch wenn noch nicht alle technischen Details bekannt sind, so weiß man doch inzwischen, dass der Button-Programmcode Daten bereits beim Aufruf der Webseite sammelt, die den Button enthält. Und nicht erst, wenn der Nutzer den Button auch tatsächlich anklickt. Dies gilt zumindest für die IP-Adresse, die in der Regel ebenfalls als personenbezogenes Datum im Sinne des BDSG angesehen wird. Offenbar wird diese auch dann an Facebook übermittelt, wenn der betreffende Nutzer gar nicht Mitglied bei Facebook ist. So kann Facebook mittels Wiedererkennung der IP-Adresse ein umfassendes "Web-Tracking-Profil" der Webseitenbesucher erstellen und über das gesamte Internet hinweg Daten über die Nutzer der Facebook-Webseiten und andere Internetnutzer sammeln.

Die Erhebung, Speicherung und Übermittlung personenbezogener Daten unterliegt im deutschen Rechtsraum den Regelungen des BDSG. Hiernach ist der Umgang mit personenbezogenen Daten rechtswidrig, wenn hierfür keine gesetzliche Ermächtigungsgrundlage vorliegt oder keine ausdrückliche rechtswirksame Einverständniserklärung derjenigen Personen vorliegt, deren Daten erhoben, verarbeitet oder genutzt werden sollen.

Ohne ausdrückliche Einwilligung des Webseitenbesuchers geht es nicht!

Die Einbindung des Like-Buttons auf einer Webseite ist datenschutzrechtlich also nur dann zulässig, wenn die Webseitenbesucher in die Erhebung, Übermittlung und Nutzung ihrer Daten ausdrücklich einwilligen. In der Praxis ist dies jedoch kaum realisierbar. Denn die Nutzer können über die Auswirkungen des Like-Buttons nicht ausreichend informiert werden, solange das Ausmaß der Datennutzung durch Facebook noch nicht im Detail bekannt ist. Dies bedeutet auch, dass die im Internet zum Like-Button vorformulierten Datenschutzerklärungen zumindest strittig sind. Eine vollständige und umfassende Datenschutzinformation ist gemäß Telemediengesetz (TMG) jedoch eine der zwingenden Voraussetzungen für die rechtmäßige Durchführung eines elektronischen Einwilligungsverfahrens. Eine Pattsituation! Sie legt den Schluss nahe, dass die Einbindung des Like-Buttons für in Deutschland ansässige Unternehmen aktuell einen Verstoß gegen das BDSG darstellt. Auch ein auf den Webseiten publizierter Datenschutzhinweis ändert daran nichts, solange der Nutzer nicht auf der Basis einer solchen ausführlichen und erschöpfenden Information seine ausdrückliche Einwilligung rechtswirksam erteilt.

(Quelle: IT-Grundschutz 3/2011, SecuMedia Verlags-GmbH, Ingelheim)