Einbindung des Facebook „Like-Buttons“ nicht datenschutzkonform?
Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbing und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform „hamburg.de“ den „Like-Button“ wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.
Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button „gefällt mir“ auch auf externen Websites außerhalb der Facebookplattform einzubinden.
Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die „Facebook Ireland Limited“ ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.
Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.
Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.
Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe „gefällt mir“ Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.
Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht. Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten. Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.
Die Verwendung des „Like-Buttons“ von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.
Update vom 29.08.2011:
Die aktuelle Diskussion, die vom ULD losgetreten wurde, hat mich veranlasst diesen Beitrag zu ergänzen. Denn aus Sicht des Betreibers der Website, gibt es zwei Umstände, die Zweifel daran begründen, ob er tatsächlich der datenschutzrechtlich Verantwortliche ist. Deshalb möchte ich auch meine ursprüngliche Aussage, wonach der Betreiber der Website gegen das Datenschutzrecht verstößt, nicht aufrecht erhalten, sondern vielmehr zur Diskussion stellen.
Entscheidend ist meines Erachtens, ob der Webseitenbetreiber, der den Facebook Like-Button und mithin von Facebook stammenden Code in seine Website einbindet, damit zu einer verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG wird und ob es sich aus seiner Sicht um personenbezogene Daten handelt.
Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten – die aus Sicht von Facebook auch personenbezogen sind – mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.
Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Wenn man das eng auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.
Letztlich regelt das Gesetz diese Konstellation aber nicht. Darauf kann man nun mit einer erweiterten Auslegung reagieren, wie es das ULD tut oder man kann sich auf die Position zurückziehen, dass verantwortliche Stelle alleine Facebook ist und mithin auch nur Facebook Adressat von behördlichen Maßnahmen sein kann.
Und wie sieht es mit Flattr aus? Das ist eine ähnliche Technik. Der Kollege Dr. Bahr hat diese Auffassung:
http://www.dr-bahr.com/news/facebook-like-button-datenschutzwidrig-hamburgde-entfernt-button.html
Comment by Achim — 23.07, 2010 @ 12:04
Und wenn wir schon dabei sind, was ist mit den verschiedenen Re-Tweet Knöpfen?
Comment by Dierk — 23.07, 2010 @ 12:15
Wir Deutschen sind schon Spaßbremsen… ;-)
Comment by Jan Kurschewitz — 23.07, 2010 @ 12:21
Dierk: Generell kann man sagen: wenn die Knöpfe von einem anderen Server eingeblendet werden, wird es tendenziell brenzlig für den Datenschutz.
Die Knöpfe hier im Blog kommen – soweit ich das auf die Schnelle sehe – direkt von internet-law.de. Deshalb werden auch keine Daten automatisch weitergegeben. Nur mit einem Klick auf den Button wird der Besucher weitergeleitet.
BTW: Ich finde solche Social-Bookmark-Plugins dämlich. Der Nutzer soll doch einfach autonom entscheiden welchen Dienst er nutzt und sich einen entsprechenden Button bzw. ein Bookmarklet im Browser einrichten.
Comment by Torsten — 23.07, 2010 @ 12:39
Ist nicht jeder Werbebanner im Prinzip das selbe? Der wird von einer anderen Seite geladen und der Betreiber weiß welche IP wann welche Seite aufgerufen hat.
Comment by SD — 23.07, 2010 @ 12:49
Das Problem ist bei Flattr sicher ähnlich, wobei schon ein Unterschied besteht zwischen einem Micropayment-Dienst und einem sozialen Netzwerk. Der Nutzer, der sich bei Flattr registriert, weiß genau, dass er den Dienst eben zum Zweck nutzt, um freiwillig für bestimmte Inhalte zu bezahlen. Wenn der Anbieter von Flattr bei der Registrierung eine ausreichende Einwilligung einholt, dann dürfte das schon datenschutzkonform zu gestalten sein.
Comment by Stadler — 23.07, 2010 @ 12:55
Ich bin der eingangs zitierte Kollege, der die Plugins für zulässig hält.
Ich finde das Argument, der „Gefällt Mir“ Button sei nicht erforderlich um eine Webseite zu betreiben für nicht schlagkräftig. Dem Webseitenbetreiber steht es frei, welchen Dienst er anbietet. Und sofern hierzu eine Datenübermittlung nötig ist, ist diese nach dem TMG auch zulässig.
Auf die Anwendung des deutschen Datenschutzrechts auf Facebook kommt es hier nicht an. Entscheidend für die einbindenden Webseitenbetreiber ist, dass diese – unproblematisch – dem deutschen Recht unterliegen. Nur weil der Datenemfpänger in den USA ist, ist deutsches Recht nicht unanwendbar.
Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe “gefällt mir” Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.
Comment by Thomas Helbing — 23.07, 2010 @ 12:58
@SD: Bei der Einblendung eines Werbebanners werden ja zunächst keine Nutzerdaten erfasst oder übermittelt. Wenn bestimmte Statistiktools zum Einsatz kommen (z.B. Google Analytics), hat man evtl. ein ähnliches datenschutzrechtliches Problem. Deshalb vertreten ja viele Datenschützer die Auffassung, dass Google Analytics und andere Webtracking-Tools nicht datenschutzkonform sind.
Comment by Stadler — 23.07, 2010 @ 13:00
@Thomas Helbig:
Die Frage ist aber die, was man genau als den Dienst im Sinne des TMG betrachtet. Wenn man die Website als den Dienst betrachtet, dann ist der Like-Button für die Erbringung des Dienstes sicher nicht essentiell.
Mit dem Argument, dass es dem Anbieter frei steht, wie er sein Angebot ausgestaltet und im Rahmen der jeweiligen Ausgestaltung dann aber jedenfalls auch Daten übermittelt werden dürfen, könnten Sie das Datenschutzrecht nach Belieben umgehen. Ich glaube daher kaum, dass dieser Ansatz auf große Akzeptanz stoßen wird.
Comment by Stadler — 23.07, 2010 @ 13:10
Warum „nicht befriedigend“? Warum „nicht vorbereitet“? Da gibts endlich mal eine Möglichkeit, Datenschutz herzustellen und gleich hacken alle wieder drauf rum.
Mir gefällts, dass Facebook & Co. mich nicht ausschnüffeln dürfen und vor allem, dass nicht x-beliebige Blogs da mitmachen können. Hoffen wir auf viele Abmahnungen in der Richtung.
Comment by karl — 23.07, 2010 @ 13:59
Deshalb sind in DE Links zu anderen seiten so unpopulär. Schlieslich gibt man so ja „Personen bezogene Daten weiter“….
Sind links (zu fremden seiten) jetzt also endlich in DE illegal?
muhaha
Comment by yah bluez — 23.07, 2010 @ 14:13
Problematisch am „like button“ ist vor allem, dass alle Daten von Seiten, die über diesen Button gepostet werden, gesammelt werden, ohne dass der jeweilige User dies weiß. Dadurch können unglaubliche Profile des einzelnen Users erstellt werden und bei registrierten Nutzern auch noch mit andren Daten verknüpft werden. Die erforderliche Einwilligung dazu gibt es nicht. Diese ist aber aus technischen Gründen wohl äußerst schwierig, da sie nur wirksam gegeben werden kann, wenn sie informiert erfolgt. Nach § 13 TMG muss die Information über Art, Umfang und Zwecke der Erhebung und Verwendung der Daten bereits vor Beginn des Nutzungsvorgangs erfolgen. Das bedeutet aber wiederum, dass eine Datenschutzerklärung erfolgen muss, bevor man den „like button“ betätigt. Daher dürfte der Button aus mehreren Gründen datenschutzrechtlich unzulässig sein.
Comment by Dr. Datenschutz — 23.07, 2010 @ 14:55
Als Service für Nutzer von internet-law.de:
Ihre Daten beim Lesen dieses Beitrages werden übertragen an:
– twittercounter.com
– feedburner.google.com
– jurablogs.com
– sitemeter.com
– frischgebloggt.de
– bloggerei.de
– blogoscoop.net
– blogcounter.de
Und sind die Vorgaben von § 13 Abs. 1 TMG auf dieser Seite beachtet? ;-)
Comment by Rlf — 26.07, 2010 @ 11:50
Kann das mal Jemand einem nicht Juristen in normalen deutsch erklären? Ich bin eigentlich der Meinung, dass ich nicht auf den kopf gefallen bin, aber so ganz kapiert hab ich das Problem nicht. Weder im Artikel noch in den Kommentaren
Comment by Pixelboogie — 26.07, 2010 @ 20:48
Was ich bei der Argumentation nicht so ganz verstehe: Niemand muss auf den Facebook-Button klicken. Nur bei einem aktuell angemeldeten Facebook-Nutzer ist der Button funktionsfähig. Und diesem Facebook-Nutzer muss klar sein, was er tut: Seine Meinung zum jeweiligen Blogbeitrag zu veröffentlichen (auf seiner Facebook-Seite für seine Freunde). Das dabei Daten übermittelt werden, ist logisch zwingend ableitbar, denn sonst könnte Facebook ja diese Meinung nicht anzeigen.
Mit anderen Worten: Wer den Facebook-Button erfolgreich benutzt, muss um diese Wirkung wissen und stimmt damit der Datenübermittlung zu.
Comment by Rainer Meyer — 24.10, 2010 @ 21:28
Ich verstehe diese Datenschutz – Hysterie überhaupt nicht. Austausch von Daten ist der entscheidende Wesenszug des Internets. Ohne Austausch von Daten funktioniert das Internet nicht. Wer das nicht gut findet, muss sich hier doch gar nicht aufhalten. Wovor haben die Leute denn Angst? Dass Menschen oder irgendwelche php-skripte in Erfahrung bringen könnten welchen Browser man benutzt, oder von welchem Planquadrat ich mich gerade eingeloggt habe? Das kommt mir ein bisschen Paranoid vor. Das wäre ja so, als ob man nicht mehr zum Friseur geht, weil der ja sehen könnte, dass man Locken hat.
Comment by Rob — 30.10, 2010 @ 13:33
Ich möchte mal noch ein Argument ins Feld führen, das hier noch gar nicht diskutiert wurde: Der Button wird in aller Regel als iframe eingefügt. Somit ist der Inhalt technisch gar nicht Teil der Website des Betreibers, sondern wird vom Browser des Besuchers von Facebook aus nachgeladen. Die Funktionalität des Buttons mit seinen Datenschutzproblemen wird also technisch nicht vom Seitenbetreiber zur Verfügung gestellt, sondern von Facebook. Der Seitenbetreiber ermöglicht nur den Zugriff auf die Quelle (src=“…“). Warum sollte dann der Seitenbetreiber dafür verantwortlich sein, was Facebook auf seinen Servern treibt?
Comment by Alexander Schestag — 10.11, 2010 @ 12:01
@Rainer Meyer nein, der Button übermittelt eben auch Daten von gleichzeitig mit demselben Browser bei Facebook eingeloggten Besuchern, wenn diese NICHT auf den Button klicken. Der Besuch einer Seite mit dem Button stößt die Datenübermittlung schon an. Facebook weiß dann auf jeden Fall, daß dieser Facebook-User die Seite besucht hat. Und das ist hochproblematisch!
Comment by Alexander Schestag — 10.11, 2010 @ 12:33
Nach dem Obigen kann man also nach Deutschem Gesetz abgemahnt werden wenn man den Like-Button auf seiner Site integriert, oder?
Comment by Albert — 26.11, 2010 @ 17:51
Mir erschliesst sich nur nicht, was das spezifische am Like-Button sein soll. Das gleich Problem tritt doch auch schon auf, wenn ich zB Bilder von anderen Servern mit <img src=… einbinde. Wenn ich auf so eine Webseite gehe, schickt mein Browser ohne mich zu fragen meine IP-Adresse zusammen mit der Information, welche Seite ich betrachte (REFERER_URL) an den fremden Webserver in fremden Landen. Und das, ohne dass ich explizit zugestimmt habe!1!!
Comment by Robert — 29.08, 2011 @ 15:32
Es gibt Radarwarngeräte. Diese Dinger warnen Autofahrer vor Radarfallen. Vom Gesetzgeber wurde der Einsatz solcher Warngeräte untersagt und unter Strafe gestellt, unabhängig davon ob überhaupt eine Ordnungswidrigkeit im Sinne einer Geschwindigkeitsüberschreitung stattfinden würde oder stattgefunden hat. Der Verkauf solcher Geräte ist jedoch erlaubt. Welche Logik ergibt sich daraus?
Anderes Szenario (idealerweise in der Zeitleiste einige Jahre zurückversetzt):
Als Nichtraucher hat man es unter Rauchern schwer. Man wird Passivraucher. Da Rauchen u.U. gesundheitsschädlich ist, könnte man es weitläufig als Körperverletzung betrachten, wenn ein Raucher in unmittelbarer Nähe eines Nichtrauchers ungefragt eine Zigarette raucht. Als Nichtraucher war ich lange Zeit gezwungen, wollte ich mich den gesellschaftlichen Leben nicht völlig entziehen, Gesundheitsschäden und Belästigung durch den blauen Dunst ertragen zu müssen. Menschen wie ich, die an einer bronchialen Überempfindlichkeit leiden, waren lange Zeit dieser gesellschaftlich geduldeten Unart ausgeliefert. Im Gegensatz zu den Radarwarngeräten entbrannte mit Einführung der Nichtrauchergesetze eine hitzige Diskussion, angestachelt durch Lobbyverbände. Es war (ist für manche) unverständlich, dass dies von (manchen)Nichtrauchern als störend empfunden wird. Den „LikeButton“ empfinde ich wie Passivrauchen, da ich als Besucher solcher Internetpräsenzen keinen Einfluss darauf habe, den Datenfluss an Facebook zu unterdrücken. Ich erachte den Betreiber der Homepage als dafür verantwortlich, mir diese Auswahl zu gestatten. Facebook ist hier eher die Tabakfirma, der Homepagebetreiber eher der Raucher…
Comment by Johannes Döh — 29.08, 2011 @ 16:01
Das ULD sieht ja die Verantwortung des Sitebetreibers darin, daß er das ganze ja erst ermöglicht.
So schrieb das ULD in seinem Arbeitspapier (5.2.3, S. 17) zu facebook:
„Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat.“
Und daher sei es wohl egal, daß der Websitebetreiber gar kein Einfluß auf die Datenflüße hat.
Wenn man diese Argumentation aber nun wirklich so eng auslegt und die dann Bestand vor Gericht haben würde, sollte man über die Weiterungen nachdenken.
Denn obiges zitierte Argument läßt sich nicht allein auf Facebook Like anwenden,sondern auch auf bislang als harmlos angesehene weitere Dinge, wie zum Beispiel das vorhalten von PDF-Dokumenten. Denn durch das Vorhalten von PDF-Dokumenten initiiert der Websitebetreiber, daß der Adobe Reader installiert wird. Der Adobe Reader wiederum verfügt, wie der Like-Button, durch sein Update-Mechanismus ebenfalls über eine „Calling-Home-Funktion“ bei der ebenfalls niemand sagen kann, welche Daten übertragen werden.
Dies ist zugegebenermaßen eine enge Auslegung. Doch in der Logik der Argumentation des ULD eine denkbare Folge.
Ich fürchte diese ganze Diskussion und der daraus erwachsende Streit wird uns noch lange Zeit beschäftigen.
Comment by Wolfgang Wiese — 29.08, 2011 @ 16:05
Das läuft dann eben auf eine Ausweitung des Adressatenkreises der datenschutzrechtlich Verantwortlichen hinaus. Die große Frage ist die, ob das geltende Recht diese weite Auslegung tatsächlich hergibt
Comment by Stadler — 29.08, 2011 @ 16:42
Selbstverständlich wird auch bei der Einblendung von Werbebannern durch das Banner ein Cookie gesetzt/die IP registriert und so der Pageview ausgewertet. Es gibt da technisch genau keinen Unterschied zwischen dem Werbebanner und Google Analytics.
Das ist schon deswegen notwendig, damit die Banner-Rotation funktioniert, also demselben Besucher nicht zweimal hintereinander dasselbe Banner angezeigt wird. Wenn Tracking und Targeting angewendet werden wird sogar ein anonymisiertes Benutzerprofil erstellt und mit Daten befüllt. Das heißt, daß ein Nutzer nach dem Besuch einer Flugbuchungs-Site nur noch Werbung über Ferien-Destinationen sieht, egal auf welche Site er geht.
Comment by Kristian Köhntopp — 30.08, 2011 @ 07:14
Es gibt zum Adobe Acrobat Reader durchaus Alternativen. Darüberhinaus hat der Besucher in Fällen von Online- PDF- Dokumenten immer noch die Wahl, es sich ansehen zu wollen mit den Konsequenzen, die womöglich damit verbunden sind oder es schlicht zu lassen. Dieser Vergleich ist nicht so gut, finde ich.
Dieses Beispiel finde ich wesentlich besser, zeigt es doch das eigentliche Problem. Man darf die Sache nicht einzig und allein auf Social Plugins von Facebook herunterbrechen. Das ist wohl ein entscheidender Fehler des ULD. Gleichwohl darf man damit auch nicht die Tatsache entwerten, dass Besuchern von Websites auf diese Weise die informationelle Selbstbestimmung entzogen wird. Dass man irgendwo und irgendwie damit anfangen muss, gegen diese, lange Zeit stillschweigend akzeptierten Methoden der Datenerfassung vorzugehen, halte ich hingegen für richtig. Was technisch möglich ist, muss gesellschaftlich und juristisch noch lange nicht in Ordnung sein (siehe Atomausstieg). Richtig ist auch, dass wenigstens einer der viel gescholtenen Datenschutzer (Thilo Weichert) zumindest die Diskussion darüber entfacht hat. Es ist sicher nicht zielführend, jetzt Argumente mit Gegenargumenten zu entkräften, die Fakten werden bestehen bleiben. Datenschutz ist online hoffnungslos veraltet und muss reformiert werden. Völlig darauf verzichten zu wollen, käme einer Kapitulation vor den Marketing- Strategen und Datensammlern gleich…
Comment by Johannes Döh — 30.08, 2011 @ 08:37