Like it?
Share it!

- Gastbeitrag von Thomas Schwenke und Rechtsanwalt Sebastian Dramburg aus der Reihe “Rechtliche Stolperfallen beim Facebookmarketing” -

Einer der wichtigsten Erfolgsfaktoren von Facebook sind die Social Plugins, die außerhalb der Facebook-Plattform eingebunden werden können. Der prominenteste Vertreter ist der Like-Button (auf deutsch „Gefällt mir“-Schaltfläche), mit dem Nutzer ihre Vorliebe für einen Webinhalt ausdrücken können. Weitere Vertreter sind unter anderen die Like-Box, der Live-Stream oder Facebook-Kommentare.

Mit diesen Plugins werden Webseiten und Webdienste mit Facebook verknüpft und erlauben Facebook Daten über das Verhalten, Beziehungen und Vorlieben der Internetnutzer auch außerhalb der eigenen Plattform zu sammeln. Facebook bezeichnet dieses Wissen über die Nutzer als den „Social Graph“.

Doch wie sooft wenn Daten gesammelt und zu Nutzerprofilen verbunden werden, ist die Gefahr von Datenschutzverletzungen nicht weit. Und so stehen auch die Social Plugins unter strenger Beobachtung von Datenschützern, die in ihnen einen Verstoß gegen europäische Datenschutzgesetze sehen. Ob dies zutrifft und wie hoch die Risiken für die Nutzer der Social Plugin tatsächlich sind, werden wir in dieser Folge prüfen. Dabei wird der Like-Button, als beliebtestes Plugin im Mittelpunkt stehen.

Rechtliche Bedingungen

  • Nach § 12 Abs.1 Telemediengesetz (TMG) dürfen Anbieter von Webdiensten (Websites, Blogs, etc.)  personenbezogene Daten von Nutzern nur dann erheben, wenn dies gesetzlich erlaubt ist oder die Nutzer darin ausdrücklich eingewilligt haben.
  • Gesetzlich erlaubt ist die Erhebung von personenbezogenen Nutzungsdaten gem. § 15 Abs.1 Satz 1 TMG, wenn dies für die Nutzung eines Dienstes „erforderlich“ ist.
  • Nach § 13 Abs.1 TMG sind Anbieter von Webdiensten (Websites, Blogs, etc.)  verpflichtet den Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs“, zu denen die USA gehören, zu unterrichten.
  • § 4 Nr.11 des Gesetzes gegen unlauteren Wettbewerb (UWG) bestimmt, dass Verstöße gegen Gesetze, die zumindest auch dazu bestimmt sind das Marktverhalten zu regeln, unlauter sind (und von Mitbewerbern abgemahnt werden können).

Die Folgen bei Verstoß gegen die Datenschutzgesetze können staatliche Bußgelder, Abmahnungen von Mitbewerbern oder Seitenbesuchern, die sich in Ihrem Recht auf Datenschutz verletzt fühlen, sein. Die Frage ist, wie wahrscheinblich diese Folgen bei Facebooks Social Plugins sind.

1.     Werden personenbezogene Daten erhoben?

Personenbezogene Daten sind Angaben, die man ohne unverhältnismäßigen Aufwand zu der Person zurückverfolgen kann. Dazu gehören nicht nur der Name und die E-Mail-Adresse, sondern auch Informationen darüber, welche Seiten man im Internet besucht hat. Nach der gegenwärtigen Tendenz ist auch die IP-Adresse dazu zu rechnen.

Mit Hilfe des Like-Buttons kann Facebook personenbezogene Daten von Besuchern eines Webangebotes gewinnen. Zu diesen Daten gehören das Besuchsdatum, die Uhrzeit des Besuchs, die Webseite, auf der sich der Besucher befindet, der verwendete Browser, das verwendete Betriebssystem und die IP-Adresse.

Bei eingeloggten Mitgliedern kann Facebook diese Daten einem Mitglied zuordnen und damit werden alle erhobenen Daten personenbezogen. Bei nicht eingeloggten Besuchern, kann Facebook zumindest dank der IP-Adresse die oben genannten Informationen personalisieren.

Diese Erhebung personenbezogener Daten wäre zulässig, wenn die Nutzer eingewilligt hätten oder sie gesetzlich erlaubt wäre.

2.     Liegt eine Einwilligung vor?

Zumindest die Mitglieder von Facebook könnten sich bei der Registrierung mit dieser Datenerhebung einverstanden erklärt haben. Jedoch erfüllen die Facebook-Richtlinien nicht die europäischen Voraussetzungen an eine wirksame Einwilligung. Für Personen, die nicht bei Facebook Mitglied sind, liegt erst recht keine wirksame Einwilligung vor.

3.     Ist die Datenerhebung gesetzlich erlaubt?

Das Gesetz erlaubt die Erhebung personenbezogener Daten nur, soweit dies für die Nutzung eines Dienstes „erforderlich” ist. Ob ein Like-Button zum Beispiel wegen der Steigerung der Besucherzahlen für eine Website erforderlich ist und ob derjenige, der ihn einbindet bestimmen darf, was erforderlich ist, darüber kann man sich lange streiten.

Aber spätestens die Erhebung von Daten über Besucher, die nicht Mitglieder von Facebook sind, ist nicht erforderlich. Denn diese können den Like-Button gar nicht anklicken und so zur Steigerung der Besucherzahlen beitragen.

Folgt man dieser Meinung, liegt mangels einer gesetzlichen Erlaubnis und mangels einer Einwilligung der Websitebesucher in die Erhebung ihrer Daten durch Facebook, ein Datenschutzverstoß vor.

4.     Ist die Übermittlung der Daten in die USA zulässig?

Die Übermittlung von Daten in die USA ist zulässig, wenn garantiert wird, dass sie dort unter gleichen Datenschutzstandards wie in der EU verarbeitet werden. Das ist grundsätzlich der Fall wenn amerikanische Unternehmen einem so genannten „Safe Harbour“-Abkommen beigetreten sind. Dies ist zwar bei Facebook der Fall, aber es bestehen erhebliche Zweifel, ob Facebook die Datenschutzstandards tatsächlich einhält, so dass auch durch die Übermittlung der Besucherdaten in die USA ein Datenschutzverstoß nicht von der Hand zu weisen ist.

5.     Wer haftet für die Datenschutzverletzung?

Wer die Social-Plugins einbindet, überlässt zwar Facebook die Kontrolle darüber, welche Daten erhoben werden, haftet aber für Facebooks Verstöße mit.

Das Ergebnis lautet also, dass der Like-Button aller Wahrscheinlichkeit nach eine Datenschutzverletzung darstellt.

Diese nimmt zunächst Facebook vor. Doch wer einen Like-Button in eine Seite einbindet, erlaubt Facebook, personenbezogene Daten seiner Besucher zu gewinnen. Deswegen haftet er für potentielle Datenschutzverletzungen als „Mitstörer“.

6.     Wie groß ist das Risiko?

Das Risiko ist derzeit beim Einsatz des Like-Buttons (und der übrigen Social Plugins) noch gering.

  1. Mit Bußgeldern ist nicht zu rechnen, da der Like-Button noch relativ neu ist, die Rechtslage nicht ganz eindeutig und die Datenschutzbehörden bei Verhängung von Bußgeldern in solchen Fällen eher Zurückhaltung üben.
  2. Abmahnungen von Mitbewerbern sind ebenfalls nicht zu erwarten. Denn der Datenschutz dient dem Schutz von Menschen und nicht Unternehmen. Nur wer sich ganz erheblich und mit Gewinnabsicht über den Datenschutz hinweg setzt, hätte eine Abmahnung zu befürchten.
  3. Abmahnungen von Seitenbesuchern werden sehr wahrscheinlich vorerst ausbleiben, da diese damit selbst ein Kostenrisiko eingehen, falls ein Gericht doch keine Datenschutzverletzung feststellen sollte.

Doch das ist die derzeitige Lage. Je mehr sich der Fokus auf die Social-Plugins richtet, je populärer sie werden und je mehr sie zum Gewinn derer, die sie einsetzen beitragen, desto höher wird die Chance einer Abmahnung. Ebenfalls wäre zu erwarten, dass Datenschutzaktivisten mit einer Musterklage gegen ein größeres Unternehmen vorgehen. Das würde nicht nur zur Klärung der Rechtslage beitragen, sondern auch Facebook dazu zwingen, die Social-Plugins datenschutzkonform auszugestalten. Denn das Letzte was Facebook will, ist dass jemand aus Angst vor Rechtsfolgen auf den Einsatz des Like-Buttons verzichtet.

Es heißt also wachsam zu bleiben und die Rechtsentwicklung zu beobachten. Sobald es Änderungen gibt, wird facebookmarketing.de darüber informieren.

7.     Ergänzung der Datenschutzbelehrung

Muss sein – die Ergänzung der Datenschutzerklärung, wie hier bei facebookmarketing.de.

Mögen die Fragen zu der Datenschutzverletzung noch zweifelhaft sein, die Pflicht die eigenen Besucher über die Datenerhebung aufzuklären, ist es nicht.

Wer einen Like-Button oder andere Social Plugins einsetzt, muss daher die eigene Datenschutzerklärung ergänzen. Das Muster einer Datenschutzerklärung für die Social-Plugins ist auf spreerecht.de zu finden.

8.     Fazit

Die Social-Plugins erinnern frappierend an die Rechtsunsicherheiten mit Google-Analytics vor wenigen Jahren. Auch da hat ein US-Unternehmen ein nützliches Tool heraus gebracht, das sich nicht an die europäischen Datenschutzstandards hielt. Erst als ein Gericht feststellte, dass die Speicherung von IP-Adressen der Besucher rechtswidrig war, passte Google den Dienst zumindest etwas an. Analyticsnutzer, können, wenn sie wollen, die IP-Adresse um zwei Stellen kappen (85.179.41.2xx) und damit anonymisieren.

Solange Facebook die Social-Plugins nicht ebenfalls anpasst, bleiben eine Rechtsunsicherheit für deren Nutzer. Diesen verbleibt daher vorerst nichts anderes, als die Datenschutzhinweise anzupassen und wachsam zu bleiben.


19 Kommentare

  1. Danke für den informativen Beitrag!
    (schön übrigens auch der Gefällt-mir-Button direkt unterhalb des Artikels :-D)

    Antworten
  2. Sascha

    Ich habe eine Frage zum Thema “Einsatz von Like-Buttons”: Was sollen die bringen?!

    Ich meine, dann steht ein einzeiler auf der Profilseite des Users, dass ihm meine Seite gefällt. Und, das irgendwo weiter unten bei den “neuesten aktivitäten”.

    Social Media Plugins sollte man doch nutzen um seine Inhalte weiter zu verbreiten, so dass die Freunde des Users auch auf meinem Inhalt aufmerksam gemacht werden. Deswegen sehe ich in “like” immernoch keine Alternative zu “teilen”.

    Oder gibt es irgendwelche Vorteil, wovon ich vielleicht nicht weiß?

    Antworten
  3. Irgendwie gehen mir diese ganzen Datenschutzrichtlinien tierisch auf die Nerven.

    Vor allem das Gezicke mit der IP-Adresse ist für mich unverständlich.

    Was diesen Artikel und somit FB angeht. Bislang scheinen sich die Leute doch nicht an den Like Buttons zu stören – und ich denke nicht, dass dies sich so bald ändern wird.

    Antworten
  4. Ich befürchte, wenn die deutsche Datenschutzparanoia und Internetgesetzgebung so weitergeht wie bisher, wird Deutschland irgendwann vom Rest der Internetwelt abgekoppelt sein.

    Innovative US-Unternehmen werden ihre Dienste einfach für deutsche Nutzer sperren. Denn meines Wissens sind nirgends sonst auf der Welt die Datenschutz-Ängste so groß und die gesetzlichen Rahmenbedingungen so streng und praxisfern (vor allem dieser IP-Adress-Blödsinn) wie in Deutschland. Auf die Dauer dürfte es also oft einfacher sein, um Deutschland einen Bogen zu machen, anstatt nur wegen einem einzigen Land die eigenen Systeme komplet umzumodeln.

    Konsequenterweise dürften aus Deutschland dann noch weniger Internet-Innovationen und -Unternehmen kommen als dies ohnehin schon der Fall ist. Denn bereits heute ist ein deutscher Firmensitz für ein international tätiges Web-Startup fast schon eine grundlegende Benachteiligung gegenüber dem ausländischen Wettbewerb.

    Antworten
  5. adsense-ible

    Sehe nur ich da einen staatlich verordneten Popupblocker am Horizont?… Nebenbei das Ende von Adsense und Co, denn 90% der Bannerwerbung läuft nicht auf den Seiten der jeweiligen Seitenbetreiber… Willkommen werbefreies (und dann wohl auch bald inhaltsloses) Internet.

    Antworten

Diskutiere mit uns!