Einbindung des Facebook “Like-Buttons” nicht datenschutzkonform
Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbing und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform “hamburg.de” den “Like-Button” wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.
Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button “gefällt mir” auch auf externen Websites außerhalb der Facebookplattform einzubinden.
Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die “Facebook Ireland Limited” ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.
Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.
Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.
Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe “gefällt mir” Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.
Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht. Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten. Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.
Die Verwendung des “Like-Buttons” von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.
Und wie sieht es mit Flattr aus? Das ist eine ähnliche Technik. Der Kollege Dr. Bahr hat diese Auffassung:
http://www.dr-bahr.com/news/facebook-like-button-datenschutzwidrig-hamburgde-entfernt-button.html
Kommentar von Achim — 23.07, 2010 @ 12:04
Und wenn wir schon dabei sind, was ist mit den verschiedenen Re-Tweet Knöpfen?
Kommentar von Dierk — 23.07, 2010 @ 12:15
Wir Deutschen sind schon Spaßbremsen…
Kommentar von Jan Kurschewitz — 23.07, 2010 @ 12:21
Dierk: Generell kann man sagen: wenn die Knöpfe von einem anderen Server eingeblendet werden, wird es tendenziell brenzlig für den Datenschutz.
Die Knöpfe hier im Blog kommen – soweit ich das auf die Schnelle sehe – direkt von internet-law.de. Deshalb werden auch keine Daten automatisch weitergegeben. Nur mit einem Klick auf den Button wird der Besucher weitergeleitet.
BTW: Ich finde solche Social-Bookmark-Plugins dämlich. Der Nutzer soll doch einfach autonom entscheiden welchen Dienst er nutzt und sich einen entsprechenden Button bzw. ein Bookmarklet im Browser einrichten.
Kommentar von Torsten — 23.07, 2010 @ 12:39
Ist nicht jeder Werbebanner im Prinzip das selbe? Der wird von einer anderen Seite geladen und der Betreiber weiß welche IP wann welche Seite aufgerufen hat.
Kommentar von SD — 23.07, 2010 @ 12:49
Das Problem ist bei Flattr sicher ähnlich, wobei schon ein Unterschied besteht zwischen einem Micropayment-Dienst und einem sozialen Netzwerk. Der Nutzer, der sich bei Flattr registriert, weiß genau, dass er den Dienst eben zum Zweck nutzt, um freiwillig für bestimmte Inhalte zu bezahlen. Wenn der Anbieter von Flattr bei der Registrierung eine ausreichende Einwilligung einholt, dann dürfte das schon datenschutzkonform zu gestalten sein.
Kommentar von Stadler — 23.07, 2010 @ 12:55
Ich bin der eingangs zitierte Kollege, der die Plugins für zulässig hält.
Ich finde das Argument, der “Gefällt Mir” Button sei nicht erforderlich um eine Webseite zu betreiben für nicht schlagkräftig. Dem Webseitenbetreiber steht es frei, welchen Dienst er anbietet. Und sofern hierzu eine Datenübermittlung nötig ist, ist diese nach dem TMG auch zulässig.
Auf die Anwendung des deutschen Datenschutzrechts auf Facebook kommt es hier nicht an. Entscheidend für die einbindenden Webseitenbetreiber ist, dass diese – unproblematisch – dem deutschen Recht unterliegen. Nur weil der Datenemfpänger in den USA ist, ist deutsches Recht nicht unanwendbar.
Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe “gefällt mir” Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.
Kommentar von Thomas Helbing — 23.07, 2010 @ 12:58
@SD: Bei der Einblendung eines Werbebanners werden ja zunächst keine Nutzerdaten erfasst oder übermittelt. Wenn bestimmte Statistiktools zum Einsatz kommen (z.B. Google Analytics), hat man evtl. ein ähnliches datenschutzrechtliches Problem. Deshalb vertreten ja viele Datenschützer die Auffassung, dass Google Analytics und andere Webtracking-Tools nicht datenschutzkonform sind.
Kommentar von Stadler — 23.07, 2010 @ 13:00
@Thomas Helbig:
Die Frage ist aber die, was man genau als den Dienst im Sinne des TMG betrachtet. Wenn man die Website als den Dienst betrachtet, dann ist der Like-Button für die Erbringung des Dienstes sicher nicht essentiell.
Mit dem Argument, dass es dem Anbieter frei steht, wie er sein Angebot ausgestaltet und im Rahmen der jeweiligen Ausgestaltung dann aber jedenfalls auch Daten übermittelt werden dürfen, könnten Sie das Datenschutzrecht nach Belieben umgehen. Ich glaube daher kaum, dass dieser Ansatz auf große Akzeptanz stoßen wird.
Kommentar von Stadler — 23.07, 2010 @ 13:10
Warum “nicht befriedigend”? Warum “nicht vorbereitet”? Da gibts endlich mal eine Möglichkeit, Datenschutz herzustellen und gleich hacken alle wieder drauf rum.
Mir gefällts, dass Facebook & Co. mich nicht ausschnüffeln dürfen und vor allem, dass nicht x-beliebige Blogs da mitmachen können. Hoffen wir auf viele Abmahnungen in der Richtung.
Kommentar von karl — 23.07, 2010 @ 13:59
Deshalb sind in DE Links zu anderen seiten so unpopulär. Schlieslich gibt man so ja “Personen bezogene Daten weiter”….
Sind links (zu fremden seiten) jetzt also endlich in DE illegal?
muhaha
Kommentar von yah bluez — 23.07, 2010 @ 14:13
Problematisch am „like button“ ist vor allem, dass alle Daten von Seiten, die über diesen Button gepostet werden, gesammelt werden, ohne dass der jeweilige User dies weiß. Dadurch können unglaubliche Profile des einzelnen Users erstellt werden und bei registrierten Nutzern auch noch mit andren Daten verknüpft werden. Die erforderliche Einwilligung dazu gibt es nicht. Diese ist aber aus technischen Gründen wohl äußerst schwierig, da sie nur wirksam gegeben werden kann, wenn sie informiert erfolgt. Nach § 13 TMG muss die Information über Art, Umfang und Zwecke der Erhebung und Verwendung der Daten bereits vor Beginn des Nutzungsvorgangs erfolgen. Das bedeutet aber wiederum, dass eine Datenschutzerklärung erfolgen muss, bevor man den „like button“ betätigt. Daher dürfte der Button aus mehreren Gründen datenschutzrechtlich unzulässig sein.
Kommentar von Dr. Datenschutz — 23.07, 2010 @ 14:55
Als Service für Nutzer von internet-law.de:
Ihre Daten beim Lesen dieses Beitrages werden übertragen an:
– twittercounter.com
– feedburner.google.com
– jurablogs.com
– sitemeter.com
– frischgebloggt.de
– bloggerei.de
– blogoscoop.net
– blogcounter.de
Und sind die Vorgaben von § 13 Abs. 1 TMG auf dieser Seite beachtet?
Kommentar von Rlf — 26.07, 2010 @ 11:50
Kann das mal Jemand einem nicht Juristen in normalen deutsch erklären? Ich bin eigentlich der Meinung, dass ich nicht auf den kopf gefallen bin, aber so ganz kapiert hab ich das Problem nicht. Weder im Artikel noch in den Kommentaren
Kommentar von Pixelboogie — 26.07, 2010 @ 20:48