Implementierung von Facebooks „Like-Button“ – Adaption der Datenschutzerklärung notwendig?

Um das Ergebnis gleich vorweg zu nehmen, die Datenschutzerklärung von Webseitenbetreibern, die Like-Buttons anbieten, müssen meines Erachtens unbedingt angepasst werden. Warum und wieso? Das können Sie in den folgenden Zeilen ergründen.

Eine Einführung – Was hat Google Analytics mit dem Facebook Like-Button zu tun?
Eine ganze Menge. (Fast) Jeder weiß mittlerweile das Folgende: Wird Google Analytics auf den eigenen Seiten eingebaut, so sind die User in der Datenschutzerklärung hierauf gesondert hinzuweisen, nebst Erläuterungen wie der User durch Vornahme einzelner Einstellungen die Erfassung seiner Wege im Internet durch Google Analytics verhindern kann.

Das Webanalyse-Tool von Google steht immer noch regelmäßig in der Kritik, da die Möglichkeit besteht, dass die durch Analytics aufgezeichneten anonymen Bewegungsprofile mit anderweitig bei Google vorrätigen personenbezogenen Daten (bspw. dem Email-Konto) verknüpft werden könnten.

Dies mutet doch recht skurril an, wenn man sich einmal Google Analytics mit dem Facebook „Like-Button“ bzw. „Gefällt mir“-Button vergleicht:

Bei Google Analytics wird ein anonymes Bewegungsprofil aufgezeichnet. Übermittelt wird nur die IP-Nummer. Google sichert durch die eigene Datenschutzerklärung zu, das Bewegungsprofil nicht mit anderen personenbezogenen Daten zu verknüpfen. (Was überhaupt nur möglich ist, wenn Google über andere personenbezogene Daten verfügen würde! Bspw. Email-Account eines Nutzers o.ä.) Diese Zusicherung und Aufklärung verlangt Google in seinen Google Analytics AGB auch von jedem, der Google Analytics auf der eigenen Website installiert. Darüber hinaus existiert mittlerweile – aufgrund des öffentlichen Drucks – der Google Analytics Code „anonymizeIp()“, mit dem vor jeder weiteren Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht werden können. Damit ist eine konkrete Identifizierung des Webseiten-Besucher ausgeschlossen. Übrig bleibt die nur Möglichkeit einer groben (und in jedem Fall rechtlich zulässigen) Lokalisierung.

Mit dem Facebook-PlugIn, der unter dem Namen „Like-Button“ hinlänglich bekannt ist, sieht dies jedoch gänzlich anders aus. Seit April 2010 kann dieser Button nicht nur auf Facebook genutzt werden, sondern in jede beliebige Website zu jedem beliebigen Artikel, Foto oder Video eingebaut werden. Der Nutzen für die Webseiten-Betreiber, die diesen Button einbauen, liegen klar auf der Hand. Klickt ein Besucher der Site, nennen wir ihn Max, diesen Button an, können alle seine Freunde, darunter Henri, bei Facebook sehen, dass er sich für die Inhalte der Site interessiert und besuchen daraufhin ebenfalls die Seite und klicken evt. den Like-Button an, da sie sich mit einiger Wahrscheinlichkeit für die gleichen Inhalte wie der erste Besucher interessieren. Besagter Henri kann dann sehen, dass nicht nur sein Freund Max, sondern auch Viola und Marit ebenfalls den Button angeklickt haben usw. usf.. Willkommen also in der Social-Media-Welt mit ihren Viral-Effekten, die hier eben dem Webseitenbetreiber zu Gute kommen (können). Aber was schrieb ich eben? Der zweite Besucher kann erkennen, dass nicht nur Max (der ihm die Seite empfohlen hat), sondern auch Viola und Marit den Button angeklickt haben sowie dass 12 weitere Personen dies taten? Ja. Genau.

Das funktioniert wie folgt: Loggt sich Max bei Facebook ein, setzt Facebook ein Cookie. Besucht Max nun eine externen Website auf der der Like-Button implementiert ist, so interagieren der Webbrowser von Max und der gesetzte Like-Button-Code. Der Code – und damit Facebook, erkennt, wer dort surft. Wird der Like-Button nun auch von Max gedrückt, wird diese Interaktion im sog. „Social Graph“ von Facebook gespeichert. Und obacht: Dies funktioniert auch, wenn Facebook geschlossen wurde, solange Max sich nicht über den Logout bei Facebook abgemeldet hat. Facebook kann theoretisch zwar nicht erkennen auf welcher Website der Like-Button installiert ist.  Der Webseitenbetreiber muss jedoch im Facebook-PlugIn-Code eine URL angeben, damit eben diese konkrete Verknüpfung zustande kommen kann. Facebook erkennt also, um wen es sich handelt, auf welcher Website er war und vermerkt dies. Da Facebook aber in diesem Fall auch schon gespeichert hat, dass Viola und Marit neben Max den Button angeklickt haben, wird Henri dies ebenfalls mitgeteilt. Schließlich ist er auch mit Marit und Viola befreundet. Die anderen 12 Personen bekommt er nicht mitgeteilt. Denn mit diesen ist Henri nicht über Facebook verbunden. (Stichwort: Virale Effekte in Sozialen Netzwerken). Derzeit scheint im Übrigen nicht geklärt zu sein, ob Facebook die Daten nur speichert, wenn der Button gedrückt wird oder ob schon das Besuchen einer Website mit einem Like-Button für das Erstellen eines Bewegungsprofils genutzt wird.

Wir sehen also, dass Facebook ganz offen – jedenfalls wenn geklickt wird – personenbezogene Web-Analysen, hier auch Social Graph genannt, vornimmt und speichert. Personenbezogen sind die Daten deswegen, da jeder einzelne User eben über sein Facebook-Profil identifiziert werden kann. Für Facebook liegt der Vorteil ebenso klar auf der Hand, wie für die Webseitenbetreiber. Facebook kann anhand der Web-Bewegungen der Einzelnen sehr differenzierte soziografische Profile anlegen und – klar – verkaufen. Für den User hat das sogar den Vorteil, dass er im Zweifel auf seinen Seiten Werbung erhält, die ihn wirklich interessiert. Die Passgenauigkeit von Werbung wird extrem erhöht. Wirklich relevant ist  diese Form der Facebook Werbung derzeit zwar nocht nicht, glaubt man Fachblättern wie Horizont. Wie jedoch die aktuelle, mehrteilige Serie zum Advertisement bei Facebook in der Internet World Business zeigt, sind die Marketing-Manager gerade dabei, es für sich zu entdecken.

Bis dato kann ich keinen wirklich Aufschrei der Datenschützer-Fraktion erkennen. Zwar wird heiß diskutiert, ob der Like-Button in Deutschland unter datenschutzrechtlichen Gesichtspunkten überhaupt zulässig ist, jedoch geschieht dies – wie ich finde und insbesondere im Vergleich zu den Google-Analytics-Diskussionen – ziemlich leise. Man siehe nur das Setzen und wieder Entfernen des Like-Buttons auf dem Hamburger Stadtportal hamburg.de, dessen Geschichte im stadteigenen Blog sehr schön nachzulesen ist. Einen Aufschrei in der Hamburger Medienlandschaft habe ich dazu nicht vernommen. (Oder ist der an mir einfach vorbeigerauscht im Datenstrom?)

Besonders problematisch ist hier die Frage, ob der Like-Button eben auch die Daten von Usern an Facebook übermittelt, die den Button nicht drücken, da der Code des Like-Buttons die User schon aufgrund des gesetzten Cookies erkennt. Aber der Reihe nach. Zunächst stellt sich die Frage, ob der Like-Button nach deutschem Recht datenschutzrechtlich überhaupt zulässig sein kann. Die sich daran anschließende Frage ist, was dieses Ergebnis für Webseitenbetreiber bedeutet.

Facebook-PlugIn überhaupt datenschutzrechtlich zulässig?
Wie oben dargestellt ermöglicht die externe Einbindung des Like-Button-Codes Facebook zu erkennen, ob ein Mitglied die Site besucht und Facebook erhält, wenn der Button geklickt wird, die weiteren Interaktions-Daten.

Diese Informationen sind – wie ebenfalls schon erläutert – personenbezogene Daten im Sinne des § 3 BDSG, da die Nutzer über ihr Profil zu identifizieren sind. Die Frage ist nun, ob eine Übermittlung von personenbezogenen Daten durch den Webseitenbetreiber an Facebook im Sinne des § 3 Abs. 4 Nr. 3 BDSG vorliegt. Wenn es sich um eine solche handelt, dann muss der Nutzer eingewilligt haben oder aber es muss eine Erlaubnisnorm vorliegen (vgl. §§ 4 und 4a BDSG sowie § 12 TMG)

So beschäftigt sich bspw. der Kollege Helbing aus München mit der Argumentation, dass eine Übermittlung schon deswegen nicht vorliegen könne, „da für den Webseitenbetreiber kein personenbezogenes Datum vorliegt, da er den Seitenbesucher nicht mit einem Facebook-Konto und damit einer natürlichen Person in Verbindung bringen kann (Relativität des Personenbezugs).“ Die Argumentation hätte, Herrn Helbing zugegeben, den Charme, dass man weder einer Einwilligung noch einer Erlaubnisnorm bedürfte. Meines Erachtens scheitert dies jedoch an § 3 Abs. 4 Nr. 3 Ziff. b BDSG, wonach „Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft“ ist. Der Dritte ist hier Facebook und der ruft die durch das Setzen des Codes durch den Webseitenbetreiber bereitgehaltenen Daten ab. Damit liegt eine Übermittlung vor. [Einmal davon abgesehen, dass mir das Ergebnis, sie läge nicht vor, auch nach allem Gesagten erhebliche Bauchschmerzen bereiten würde.]

Wenn es sich aber um eine Übermittlung handelt, dann bedarf es der Einwilligung der Nutzer oder aber einer Erlaubnisnorm:

Privilegierung der Auftragsdatenverarbeitung, § 11 BDSG
An den Tatbestand des § 11 BDSG im Sinne einer Auftragsdatenverarbeitung kann man kurz denken, jedoch kommt er schlicht nicht in Betracht, da Facebook und der Webseiten-Betreiber zwar verschiedene Stellen sind, aber zwischen der Webseiten-Betreiber und Facebook kein irgendwie geartetes Auftraggeber/Auftragnehmer-Verhältnis mit Weisungsgebundenheit besteht.

Einwilligung iSv. § 4a BDSG, § 12 TMG
Eine Einwilligung wäre theoretisch möglich. Sie scheitert jedoch praktisch. Es handelt sich bei den Webseiten in der Regel um Telemediendienste. Das bedeutet, dass das Telemediengesetz auch in Bezug auf den Datenschutz vorrangig vor dem BDSG einschlägig ist. Und nach § 13 Abs. 2 TMG müsste der User anklicken (Opt-In!), dass er mit der Erhebung und Übermittlung seiner Daten an Facebook einverstanden sei.

Andere Vorschriften des BDSG scheiden wegen der Vorrangigkeit des TMG hier von vornherein aus.

§ 15 TMG als Rechtsgrundlage und einschlägige Erlaubnisnorm
In Betracht kommt somit allenfalls noch § 15 Abs. 1 TMG:

„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

Demnach kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, soweit dies für Inanspruchnahme von Telemedien erforderlich ist. Die Verknüpfung mit Facebook durch den Like-Button ist ein angebotener Telemediendienst im Sinne von § 15 TMG. Weiter kann der Like-Button nur benutzt werden, wenn die Daten an Facebook auch übermittelt werden. Also ist die Übermittlung auch  erforderlich im Sinne des TMG, jedenfalls dann wenn der Dienst angeboten werden soll (was in der Entscheidung des Webseitenbetreibers steht). Bis hier hin kann § 15 TMG als Rechtsgrundlage herangezogen werden. Jedoch hält der Paragraph zwei weitere Tatbestandsmerkmale vor: um die Inanspruchnahme zu ermöglichen und abzurechnen. Zur Ermöglichung des Dienstes ist die Übermittlung notwendig. Aber zur Abrechnung? Gegenüber den surfenden Facebook-Mitgliedern sicher nicht.

Damit steht die Frage im Raum, ob das „und“ kumulativ gelesen werden muss oder ob eine alternative Auslegung im Sinne von „sowie“ möglich ist.
Bei wortgetreuer, also kumulativer Auslegung, des Wortes „und“ wäre die Erhebung von Nutzungsdaten nur dann erfasst, wenn sie auch zu Zwecken der Abrechnung erfolgen würde. Dies würde den Anwendungsbereich von § 15 Abs. 1 TMG sehr stark einengen. Einerseits könnte hier argumentiert werden, dass dies – im Sinne des Datenschutzes – die Intention des Gesetzgebers war. Andererseits ergibt sich aus § 15 Abs. 4 TMG, dass die Nutzungsdaten dann über den Nutzungsvorgang hinaus gespeichert werden können, wenn dies zu Abrechnungszwecken notwendig ist. Daraus kann abgeleitet werden, dass eben Nutzungsdaten nur zur Ermöglichung eines Dienstes gespeichert werden können. So wie es bei dem Like-Button der Fall wäre.

Insoweit könnte § 15 Abs. 1 TMG als Rechtsgrundlage zur Speicherung herangezogen werden.

Zu berücksichtigen ist einerseits noch das datenschutzrechtliche Grundprinzip der Datensparsamkeit, das in § 3a BDSG zu finden ist. Als Grundsatz des Datenschutzes findet es auch im TMG seinen Widerklang. Unter Berücksichtigung dieses Prinzips der Datenspeicherung ist jedenfalls fraglich, ob § 15 Abs. 1 TMG auch als Rechtsgrundlage für die Speicherung der Bewegungsprofile derjenigen Nutzer angesehen werden kann, die den Button nicht betätigen.

Und andererseits ist mE zu berücksichtigen, dass der User es absolut selbst in der Hand hat, ob er durch Facebook von sich ein Bewegungsprofil erstellen lässt. Er kann sich schlicht ausloggen und somit die Erstellung eines „Social Graphs“ jedenfalls verhindern. Ich halte es nicht mit Mark Zuckerberg, dass die Privatsphäre nicht mehr zeitgemäß ist. Aber eine informationelle Selbstverantwortung sollte sich jeder, der im Netz unterwegs ist, auferlegen. Kritisieren kann man an dieser, meiner, Meinung, dass eine informationelle Selbstverantwortung erst dann möglich ist, wenn der User aufgeklärt ist. Aber ich denke hier sind mit § 13 Abs. 1 TMG (dazu sogleich) genügend Mittel vorhanden, um das zu bewerkstelligen. [Schließlich sind wir im Wettbewerbsrecht über die Jahre auch vom „unmündigen, sich leicht irreführen lassenden“ zum aufgeklärten Verbraucher gekommen!]

Bedeutung für Webseiten-Betreiber? § 13 Abs. 1 TMG!
Die Datenschutzbehörden werden sich, ebenso wie bei Google Analytics, in erster Linie an Webseiten-Betreiber denn an das „unerreichbare“ Facebook wenden.. Allerdings darf nicht vergessen werden, dass Facebook rechtlich in Irland und damit in Europa sitzt. Was das „Erreichen“ doch wieder etwas einfacher macht. (Auf das durch den Hamburger Datenschützer Casper gegen Facebook eingeleitete Bußgeldverfahren wegen des Friends-Finders bin ich gespannt!)

Ob jetzt § 15 TMG voll umfänglich als Rechtsgrundlage für den Like-Button fungiert, kann jetzt mal dahingestellt bleiben. Davon ausgehend, findet jedenfalls eine Übermittlung von personenbezogenen Daten statt (s.o.). Deswegen gilt § 13 Abs. 1TMG:

„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

Das wiederum heißt, dass in der Datenschutzerklärung über die Funktionalität des Like-Buttons voll umfänglich aufgeklärt und dargelegt werden muss, wie eine Erhebung der Daten verhindert werden kann (durch Ausloggen bei Facebook).
Ganz streng genommen, muss diese Aufklärung erfolgen „bevor der Dienst genutzt wird“. Da Facebook die Daten schon sammelt, wenn ein eingeloggter Nutzer die Site betritt, bedürfte es demnach einer Vorschaltseite, auf der über die Datenschutzerklärung informiert wird und die natürlich keine Logfiles speichert! Andernfalls würde es sich wieder um eine nachträgliche anstelle der vorherigen Belehrung handeln. Das dies kaum praktikabel ist, wird einleuchten. Im Übrigen trifft das gleich Problem auf Google Analytics zu und hier wird eine Aufnahme in die Datenschutzerklärung, die leicht zu erreichen ist, ebenfalls als vollkommen ausreichend gesehen.
Also: Ändern Sie Ihre Datenschutzerklärung. Lassen Sie sie am Besten ändern. Und wenn Sie noch gar keine auf ihrer Website haben, dann verlieren Sie bloß keine Zeit. Oder wollen Sie mir sagen, sie hätten keine Kommentierungsfunktion, bei der man sich mit einer Email anmelden muss? 😉

Wenn Sie gegen § 13 Abs. 1 TMG verstoßen, dann kann Ihnen nach § 16 TMG ein Bußgeldbescheid wegen einer Ordnungswidrigkeit in einer Höhe bis zu 50.000 EUR ins Haus flattern. Unschön, oder?

Und die Datenschutzbehörden?
Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.

Letzte Worte
Wieder einmal ist zu erkennen, dass die heutigen Datenschutzbestimmungen nicht mehr zu den Anwendungsmöglichkeiten des Web 2.0 passen. Die Möglichkeiten die Social Media – vor allem im positiven Sinn – bietet, können mit den bestehenden Regelungen nicht sinnvoll datenschutzmäßig bekleidet werden. Jedenfalls nicht auf leicht verständliche Art und Weise. Auch ich halte von daher eine Überarbeitung und grundlegende Reform der Datenschutzgesetzes für notwendig, wenn nicht noch mehr schwer zu durchschauendes „Stückwerk“ entstehen soll. In diesem Zusammenhang noch mal der Hinweis auf den Artikel von Tobias Kläner „Datenschutz und Datensicherheit in sozialen Netzwerken“.

In diesem Sinne, einen schönen Dienstag!