Mit dem so genannten “Like” (oder “Gefällt mir”) Button von Facebook können Webseiten-Betreiber Facebook-Nutzern eine Möglichkeit geben, die von den Webseiten-Betreibern angebotenen Webinhalte mit einem Klick in den Facebook-Profilen zu verlinken. Aber wie funktionieren die Like-Buttons von Facebook eigentlich? Welche Daten werden erhoben und an Facebook übermittelt? Welche datenschutzrechtlichen Besonderheiten müssen Webseiten-Betreiber beachten?
Was ist der Like-Button von Facebook?
Der so genannte “Like” (oder “Gefällt mir”) Button von Facebook kann von Webseiten-Betreibern auf der eigenen Webseite angebracht werden. Mit einem Klick auf diesen Button können bei Facebook registrierte Nutzer automatisch in Ihrem Facebook-Profil eine Notiz hinterlassen, dass Sie die verlinkten Inhalte des Webseiten-Betreibers gut heißen.
Der eingebundene Facebook Button „kommuniziert“ dabei laufend mit Facebook. So verändert sich beispielsweise die graphische Anzeige des Buttons, wenn ein Webseiten-Besucher zugleich in seinem Facebook-Account eingeloggt ist.
Unklar ist momentan insbesondere noch die Frage, ob der Facebook-Button auch personenbezogene Daten von Webseiten-Besuchern an Facebook übermittelt, die nicht Mitglieder bei Facebook sind.
Weitere Details zu den technischen Hintergründen finden sich hier.
Der Anlass: Hamburger Stadtportal verwendete Like-Button von Facebook
Die Stadt Hamburg hat innerhalb der letzten Wochen einen Like-Button mit Verlinkung zu Facebook auf ihrer Webpräsenz angebracht. Letzte Woche wurde dieser wieder entfernt. Auf dem Blog der Stadt Hamburg wird erläutert, dass momentan ein konstruktiver Dialog mit Facebook bestehe, um eine datenschutzrechtlich einwandfreie Lösung zur Verfügung stellen zu können. Zuvor hatte der Like-Button, wie auf der Webseite diskutiert wird, möglicherweise auch Daten von Nicht-Facebook-Nutzern gesammelt. Daher wurde der Button wieder entfernt – der Schutz der personenbezogenen Daten der Bürger und Bürgerinnen müsse Vorrang vor einer weiteren Vernetzung des Portals haben.
Facebook in der Kritik der Datenschützer
Facebook und die dort gesammelten Datenmengen stehen bereits seit längerem in der Kritik der Datenschützer. Zusätzlich zu den Datenmengen, die User dort freiwillig veröffentlichen, wird über eine ausgeklügelte Cookie- und Tracking-Technik mehr gesammelt, als viele User ahnen. Mit dem Like-Button kann Facebook Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern auch im ganzen Netz sammeln.
Welchen technischen Hintergrund hat der Like-Button von Facebook?
Das Integrieren des Facebook-Like-Buttons ist relativ einfach. Der Webseiten-Betreiber muss zur Anzeige des Facebook-Like-Buttons einen Programmcode von Facebook in seine Webseite einbinden. Klickt ein auf Facebook registrierter Nutzer auf den Like-Button einer Webseite, so wird dies direkt an den Facebook-Server übermittelt. Dort wird es zum Profil des Nutzers gespeichert. Die Information, welche Seiten „ge-like-t“ wurden, wird durch Übergabe der URL übermittelt.
Verarbeitung personenbezogener Daten
Bei den durch den Like-Button auf der Seite des jeweiligen Webseiten-Betreibers erhobenen Daten handelt es sich auch um personenbezogene Daten, da der Nutzer über die Verknüpfung mit seinem Facebook-Account eindeutig identifizierbar ist.
Bundesdatenschutzgesetz: Übermittlung von Daten nur mit Einwilligung oder rechtlicher Grundlage
Da Facebook und der Webseiten-Betreiber unterschiedliche Stellen sind und eine Privilegierung durch die Normen der Auftragsdatenverarbeitung (§ 11 BDSG – hier nur kurz: es fehlt jedenfalls an der Weisungsgebundenheit gegenüber Facebook) an dieser Stelle ausscheidet, liegt in der Eröffnung des Zugriffs eine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes („BDSG“).
Nach dem System des BDSG dürfen personenbezogene Daten nur übermittelt werden, wenn der Nutzer gemäß § 4a BDSG eingewilligt hat, eine Rechtsgrundlage oder eine rechtliche Verpflichtung für die Übermittlung vorliegt. Es ist darauf hinzuweisen, dass eine Übermittlung ohne Einwilligung oder Rechtsgrundlage gemäß § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.000,- Euro belegt werden kann.
Einwilligung scheitert an Praktikabilität
Eine Einwilligung scheidet aus Gründen der Praktikabilität vorliegend aus (der Nutzer müsste sonst insbesondere noch anklicken, dass er einverstanden sei, dass seine Daten erhoben und an Facebook übermittelt werden). Eine Rechtsgrundlage für die Übermittlung kann jedoch möglicherweise in § 15 Abs. 1 TMG gesehen werden. Dieser lautet:
„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“
Verarbeitung wegen Ermöglichung von Telediensten: rechtmäßig gemäß § 15 Abs. 1 TMG?
Damit kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, um die Inanspruchnahme von Telemedien zu ermöglichen, soweit dies erforderlich ist. Die Verknüpfung auf Facebook über den Like-Button ist ein angebotener Teledienst im Sinne der Vorschrift. Damit der Like-Button benutzt werden kann, müssen die Daten an Facebook übermittelt werden. Dies kann als zwingend im Sinne der Vorschrift bewertet werden, wenn auch die Einbindung nach dem Willen des Telemedienbetreibers freiwillig erfolgt. Insofern kann dies als Rechtsgrundlage herangezogen werden.
Dagegen: Gebot der Datensparsamkeit
Wenn sich nach dem Wortlaut der Vorschrift eine Rechtsgrundlage für die Übermittlung sehen lässt, so muss jedoch nach dem Prinzip der Datensparsamkeit (§ 3a BDSG) daran gezweifelt werden, ob die Auslegung von § 15 Abs. 1 TMG insofern nicht zu weit geht. Denn selbst wenn die Rechtsgrundlage ausreichen mag für Webseiten-Besucher, die den Like-Button drücken und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (ganz zu schweigen von den Webseiten-Besuchern, die nicht einmal bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher durchaus als zu umfangreich verstehen – und insofern ablehnen.
Datenschutzbehörden haben sich bislang nicht geäußert
Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.
Webseiten-Betreiber müssen Datenschutzerklärung anpassen
In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die Datenschutzerklärung nach § 13 Abs. 1 TMG der Webseiten-Betreiber angepasst werden.
Inhaltlich muss erklärt werden, dass der Webseiten-Betreiber Facebook den Datenaustausch ermöglicht. Auch wenn der Nutzer den Facebook-Button erkennt, so mag diesem nicht klar sein, dass ein Datenaustausch tatsächlich stattfindet. Insbesondere mag der Einzelne, wenn er die Gefahr erkennt, glauben, dass eine Verknüpfung nur stattfinden kann, wenn er den Like-Button auch anklickt. Diesem ist aber nicht so. Die Verknüpfung findet bereits durch den von Facebook gesetzten Code in die Webseite statt.
Gemäß § 13 TMG muss damit über diese gesamten Umstände hingewiesen werden. Die Datenschutzerklärung muss in verständlicher Form gestaltet werden, sonst drohen Bußgelder nach § 16 TMG. Dieses Bußgeld droht jedem Webseiten-Betreiber, der den Like-Button von Facebook ohne Hinweis in seiner Datenschutzerklärung angebracht hat. Der Webseiten-Betreiber ist insoweit verantwortliche Stelle, auf den die Datenverarbeitung zurückzuführen ist.
Wie sind soziale Netzwerke in europarechtlicher Sicht zu bewerten?
Die Artikel 29 Datenschutzgruppe hat bereits im letzten Jahr in ihrer Meinung 5/2009 die sozialen Netzwerke zu größerer Sicherheit für die User und weniger Datenansammlungen aufgefordert.
Weitere Schritte werden wohl im Mai des nächsten Jahres erreicht sein müssen, wenn die Richtlinie 2009/136/EG („Cookie-Richtlinie“ – wir berichteten) in das deutsche Recht umgesetzt sein muss. Da ab diesem Zeitpunkt mehr mit aktiver Einwilligung in die Cookie-Platzierung gearbeitet werden muss, werden sich zwangsläufig auch für die sozialen Netzwerke sowie für deren Geschäftswege einige Veränderungen ergeben. Davon wäre auch die Verknüpfung über Like-Buttons betroffen.
Fazit
Der Like-Button kann von Webseiten-Betreibern eingesetzt werden, sofern angenommen wird, dass die Übermittlung der Daten an Facebook erforderlich ist, um die Verlinkung zu ermöglichen und insoweit § 15 Abs. 1 TMG als Rechtsgrundlage gewertet wird. In jedem Fall müssen die Datenschutzerklärungen der Webseiten-Betreiber auf den Facebook-Like-Button eingehen. Es ist zudem empfehlenswert, etwaige Stellungnahmen der Aufsichtsbehörden und Gerichtsentscheidungen zu beobachten. Tragen Sie sich hierzu einfach in unseren Newsletter ein.
Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz, externe DatenschutzbeauftragteTelefon: 089-5130 3920
E-Mail: email@iitr.de
Information bei neuen Datenschutz-Artikeln
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.
Juli 18th, 2010 at 2:22 pm
Hier eine Anleitung, wie Firefox-Nutzer den “Like” Button von Facebook entfernen können auf allen Seiten auf die sie auch zufällig surfen:
http://www.netreaper.net/2010/05/30/facebook-beim-surfen-auf-drittseiten-aussperren/
“Facebook beim Surfen auf Drittseiten aussperren”
Juli 18th, 2010 at 3:57 pm
[...] Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen [...]
Juli 21st, 2010 at 11:40 am
[...] hier Juristisches zur Einbindung des ´Gefällt mit – Buttons´ auf Websites. [...]
Juli 21st, 2010 at 11:54 am
[...] bei Bernd Röhlingshöfer über das Thema gestolpert bin.Bernd linkt weiter zum Artikel Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen im Datenschutz-Blog. Dort wird recht ausführlich auf die datenschutzrechtliche Problematik beim [...]
Juli 21st, 2010 at 11:57 am
[...] gelesen, dass der hübsche Button rechtswidrig sein kann oder sogar ist. Seine Quelle ist der Datenschutzblog von Dr. Sebastian Kraska: „In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die [...]
Juli 21st, 2010 at 12:19 pm
Sorry, aber das ist doch Quatsch: Es werden keine Daten übermittelt, da der Like-Button lediglich per Javascript ein iFrame einfügt, welches eine Facebook-Seite aufruft, die wiederum die eigene URL als Parameter beinhaltet. Nutzerdaten werden hier nicht weitergegeben, sondern von Facebook direkt erhoben!???
Juli 21st, 2010 at 2:29 pm
@Daniel: das sehe ich anders. Zum einen gibt es neben der iFrame-Variante die JavaScript-Version, die sehr wohl Daten durch die jeweilige Webseite selbst erhebt und dann übermittelt. Zum anderen wird auch bei der iFrame-Variante das Datum “auf welcher Webseite befinde ich mich gerade” an Facebook übermittelt.
Juli 22nd, 2010 at 11:59 am
@Nutzer: Aber willigt der Nutzer dazu nicht schon bei Facebook selbst ein? Müsste man sich mal die Bestimmungen von Facebook durchlesen …
Was ich aber damit meinte: Nicht der Websitebetreiber gibt Nutzerdaten “weiter”, sondern Facebook holt sich diese im iFrame doch selbst.
Es gibt ja Gerichtsurteile zur Haftbarkeit (bzw. eben nicht-Haftbarkeit) von Hyperlinks, müsste ähnliches nicht auch für iFrames gelten?
Juli 22nd, 2010 at 12:16 pm
@Daniel: “Unklar ist momentan insbesondere noch die Frage, ob der Facebook-Button auch personenbezogene Daten von Webseiten-Besuchern an Facebook übermittelt, die nicht Mitglieder bei Facebook sind.” -> Ich denke, hier dürfte das größte Problem liegen. Zu der anderen Frage siehe mein Posting oben.
Juli 23rd, 2010 at 6:08 pm
[...] “Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen” Der Like-Button kann von Webseiten-Betreibern eingesetzt werden, sofern angenommen wird, [...]
Juli 24th, 2010 at 2:25 pm
Was hier zum Facebook-Button gesagt wird, gilt letztlich für jede direkte Einbundung von Inhalten dritter Seiten. Denn beim Ansurfen der Seite ruft der Nutzer die Drittseite _nicht_ aktiv auf, sondern wird quasi ohne sein zutun umgeleitet. Damit gelangen aber zumindest die Daten der Http-Anfrage an die Dritte Stelle – u.a. auch die IP und der Referer (d.h. die eigentlich aufgerufene Seite). Damit werden auf jeden Fall personenbeziehbare Daten an die Dritte Stelle weitergeleitet – noch bevor der Nutzer die Chance hatte zu widersprechen oder den AGB etc. zuzustimmen.
Der Referer ist ein Nutzungsdatum nach § 15 Abs 1 Nr. 3 TMG – eine Speicherung wäre nur im Zusammenhang mit einer Abrechnung statthaft.
D.h. grundsätzlich sind direkte Einbindungen von Drittseiten problematisch, vor allem wenn dies geschieht, ohne dass der Nutzer es veranlasst odervorher darufhingewiesen wurde.
Gruß
Privacy
Juli 25th, 2010 at 2:40 am
[...] Webseitenbetreiber beim FaceBook Button beachten [...]
Juli 27th, 2010 at 12:10 am
[...] in einem gesonderten Beitrag bereits beschriebene Funktion des „Like“ („Gefällt mir“) Knopfes auf Drittseiten eröffnet [...]
Juli 28th, 2010 at 5:42 am
[...] Datenschutz & Facebook Like-Button für Webseiten-Betreiber | Das … [...]
Juli 28th, 2010 at 5:47 pm
[...] Aber das Betrifft auch alle anderen Social Medias, wie Xing, Twitter & YouTube Buttons. Dazu schreibt Rechtsanwalt Dr. Sebastian Kraska im Datenschutzblog: [...]
August 5th, 2010 at 5:09 pm
Gibt es einen Mustertext für die Einbindung in die Datenschutzbestimmungen, wie es z.B. Google Analytics zur Verfügung stellt?
August 20th, 2010 at 4:47 pm
[...] für die Übermittlung vorliegt. Mehr dazu von Rechtsanwalt Dr. Sebastian Kraska unter http://www.datenschutzbeauftragter-online.de/datenschutz-facebook-like-button-was-webseiten-betreibe... Fazit von RA Kraska: ‘In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die [...]
August 23rd, 2010 at 5:29 pm
Digital data is sent to Facebook servers when you just visit a website where the ‘like button’ is implemented. It’s not necessary to click on the button.
Public bodies and organisations should start a discussion on the use of commercial data-collecting software in their websites. It’s not clear what public interests are served by it.
10com is a new initiative that strives for a set intelligent clear rules, guidelines and measures in the EU on digital data trafficking.
August 30th, 2010 at 10:42 am
Gilt das eigentlich nur für die Lösung über den Like-Button?
Wie sieht es mit Social Bookmarking Icons aus, die man inzwischen auf fast jeder Seite (beispielsweise unter jedem Spiegel-Artikel) sieht?