Facebook und der Datenschutz

"Gefällt mir" - Button birgt Risiken

29.11.2011 von Marcus Kirsch
Vorsicht Falle: Wer den "Like-Button" von Facebook nutzt, kommt schnell in eine juristische Grauzone.
Foto: Fotolia/Steffen Persiel

Die Idee ist auf den ersten Blick sehr reizvoll: Ein Website-Betreiber, der den Like-Button in seinen Internet-Auftritt oder eine bestimmte Seite einbindet, erhält einen echten Mehrwert: quasi kostenlose Werbung innerhalb der riesigen Facebook-Gemeinde. Denn wenn ein Nutzer diesen Knopf anklickt und gleichzeitig in Facebook eingeloggt ist, macht er damit in seinem Profil deutlich, dass er das jeweilige Produkt und den Anbieter sympathisch findet.

Die dazu notwendigen Daten werden an Facebook übermittelt. Anhand dieser Informationen kann der Netzwerk-Betreiber sodann Nutzerprofile erstellen und personalisierte Werbung einblenden.

Aber es gibt in diesem Zusammenhang einige rechtliche Unklarheiten. Nicht ersichtlich ist beispielsweise, ob Besucherdaten erst an Facebook übermittelt werden, wenn der Button angeklickt wird oder ob dies allein durch die Einbindung des Plugins, also bei einem bloßen Besuch der Website ohne Klick auf den Button der Fall ist.

Like IT Facebook-Button
Was ist ein "Like"-Button?
Soziale Netzwerke wie Facebook und Co. haben einen ungeahnten Hype ausgelöst. Ein Beispiel hierfür ist der "Like-Button" von Facebook. Doch Vorsicht, es lauern rechtliche Stolperfallen.

Facebook bietet den Betreibern externer Website eine einfache Möglichkeit, ihren Internet-Auftritt mit dem sozialen Netzwerk zu verküpfen.

Ein Besucher der jeweiligen Site, der auf diesen Button klickt und gleichzeitig in Facebook eingeloggt ist, bekundet damit seine Sympathie für die Site oder einem bestimmten Produkt.

Diese Sympathiebekundung ist in seinem Profil und für alle seine Facebook-"Freunde" ersichtlich.

Die dazu notwendigen Daten werden mit dem Klick an Facebook übermittelt.

Teaserbild: Foto: Fotolia, r. classen

Was der Gesetzgeber sagt

Personenbezogene Daten zur Bereitstellung durch Telemedien dürfen nur erhoben und verwendet werden,

Die erste Frage in diesem Zusammenhang lautet: Wer ist hier eigentlich rechtlich verantwortlich? Entscheidend ist zunächst, welche Daten an Facebook übermittelt werden. Der Website-Betreiber erhält hier aber keine Einsicht. Er kann also nicht erkennen, welche Art von Daten und wie viele davon durch den Like-Button konkret an Facebook übermittelt werden. Deshalb stellt sich hier die Frage, ob aus Sicht des Website-Betreibers überhaupt eine Übermittlung personenbezogener Daten vorliegt. Facebook jedenfalls kann die übermittelten Daten zumindest seinen registrierten Benutzern zuordnen.

Aber gibt es überhaupt einen Personenbezug im rechtlichen Sinn? Reicht dafür die objektive Möglichkeit aus, eine bestimmte Person zu identifizieren? Oder sind die subjektiven Kenntnisse und Fähigkeiten der jeweiligen Stelle (hier: des spezifischen Website-Betreibers) ausschlaggebend? Diese Frage ist sowohl in der Rechtsprechung als auch in der Literatur umstritten und bereits im Hinblick auf IP-Adressen aus Sicht eines Nicht-Providers ausgiebig diskutiert worden.

Teile der Rechtsprechung und mit ihr die Datenschützer vertreten die Auffassung, dass die objektive Möglichkeit durchaus reicht. Schließt man sich dieser Ansicht an, so setzt eine Verwendung der übermittelten Informationen entweder eine Rechtsvorschrift oder eine Einwilligung voraus. Anderenfalls wäre sie datenschutzrechtlich unzulässig.

Facebook absichern
Facebook?
Bevor Sie in Facebook aktiv werden, sollten Sie Gebrauch von den zahlreichen Sicherheits- und Privatsphäreneinstellungen machen, die das soziale Netzwerk bietet. Diese sind nicht wirklich übersichtlich und teilweise schwer zu durchschauen. Wir geben Ihnen eine kleine Tour.
Kontosicherheit 1
Legen Sie zunächst bei der Kontosicherheit fest, dass Sie mit gesichertem HTTPS auf Facebook unterwegs sind.
Ab zur Privatsphäre
Direkt über dem Punkt Kontosicherheit finden Sie den Zugang zu allen Privatsphären-Einstellungen...
Default fails
Hier wählen Sie aus, welche Ihrer Kontakte und Nicht-Kontakte was von Ihnen sehen und finden darf. Die "empfohlenen" Voreinstellungen sind nicht gerade das Gelbe vom Ei!
Anwendungen
In den Einstellungen zu "Anwendungen, Spiele und Webseiten" spezifizieren Sie die getroffenen Vorgaben im zweiten Schritt noch genauer. Über "Informationen, die durch deine Freunde zugänglich sind"...
Anwendungen 2
...haken Sie ein und aus, was Sie brauchen.
Umgehende Personalisierung
Der Punkt "umgehende Personalisierung" im Menü "Anwendungen, Spiele und Webseiten" erlaubt eine Deaktivierung des Profil-Gekungels mit zahlreichen Partnerseiten. Notwendig und möglich ist dies aber nur, wenn die entsprechenden Profileinstellungen gesetzt / nicht gesetzt wurden.
Umgehende Personalisierung 2
Ein Video erklärt genauer, was es mit der umgehenden Personalisierung auf sich hat.
Öffentliche Suche
Die "öffentliche Suche" versteckt sich ebenfalls im Menü "Anwendungen, Spiele und Webseiten". Hier legen Sie per Klick fest, ob Ihr Facebook-Profil in Suchmaschinen auftaucht oder nicht.
Vernetzen
Der Punkt "Auf Facebook vernetzen" führt zu allgemeinen Profileinstellungen wie Vorgaben darüber, wer private Nachrichten und Freundschaftsanfragen senden darf.
Benutzerdefiniert: Fotos
Die "benutzerdefinierten Einstellungen" sind ebenfalls vielfältig. Wer darf Fotos sehen, auf denen Sie markiert wurden?
Benutzerdefiniert: Lokalisierung
Wer darf die Orte kennen, die Sie besucht haben?
Ganz zum Schluss: Freunde finden
Sind Ihre Privatsphäreneinstellungen sauber getroffen, können Sie nun anfangen, zu entscheiden, wen Sie in Ihre Freundesliste aufnehmen.
Facebook! Aber sicher!
Nun steht dem grenzenlosen Kontakteknüpfen nichts mehr im Wege...

Die Einwilligung ist wohl Utopie

Ist die wirksame Einwilligung des Nutzers eigentlich realistisch? Sie setzt ja voraus, dass der Betroffene bereits vor Erhebung oder Verarbeitung seiner Daten in beides einwilligt. Nun könnte man eventuell schon in dem Klick auf den Button eine Einwilligung sehen.

Aber eine solche "vorformulierte" Erklärung dürfte daran scheitern, dass nicht transparent ist, zu welchen Zwecken (Werbung und Erhalt personalisierter Werbung) und in welche Staaten (Deutschland, EU oder "unsicherer" Drittstaat wie USA) die Daten übermittelt werden. Darüber hinaus müssten elektronisch erteilte Einwilligungen eine Reihe weiterer Voraussetzungen erfüllen (Protokollierung, jederzeitige Abrufbarkeit/Widerrufbarkeit etc.).

Erlaubt nun aber das TMG selbst eine Verwendung des Like-Buttons? Wenn der Nutzer keine wirksame Einwilligung erteilt oder erteilen kann, wäre das die verbleibende Möglichkeit, um das Sammeln, die Übermittlung und die Verarbeitung der Daten zu legitimieren.

Nur unter zwei Voraussetzung gibt das TMG sein Okay.
Foto: Fotolia/r.classen

Nach dem TMG dürfen personenbezogene Daten eines Nutzers vom Grundsatz her nur unter zwei Voraussetzungen erhoben und verwendet werden: erstens insoweit, wie dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten), und zweitens insoweit, wie sie notwendig sind, um inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer zu begründen (Bestandsdaten). Keine der beiden Voraussetzungen ist in diesem Fall gegeben, so dass die Einbindung des Like-Buttons in der Regel rechtswidrig wäre.

Unabhängig davon, wie man die datenschutzrechtlichen Zulässigkeit bewertet, - hat man erst einmal anerkannt, dass es sich um personenbezogene Daten handelt, so muss der Betroffene in jedem Fall zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung seiner Daten sowie über deren Verarbeitung in Staaten außerhalb des Europäischen Wirtschaftsraums hingewiesen werden. Da der Website-Betreiber aber keine konkrete Kenntnis über diese Dinge hat, ist das für ihn beinahe ein Ding der Unmöglichkeit.

Bußgelder von je 50.000 Euro

Kann man sich eigentlich rechtlich absichern? Derzeit jedenfalls fällt der Einsatz des Facebook-Like-Buttons auf der eigenen Website in eine rechtliche Grauzone. Zumindest dann, wenn man die weiter oben beschriebene Auffassung, vertritt, dass ein "objektiver" Personenbezug für die Anwendung datenschutzrechtlicher Vorschriften ausreicht. Dann ist die Einbindung des Buttons nicht möglich - jedenfalls nicht rechtskonform.

Schließt sich die Rechtsprechung dieser Auffassung an, kann das teuer werden. Im Fall einer Zuwiderhandlung gegen die hier maßgeblichen Datenschutzvorschriften drohen Bußgelder in einer Höhe von bis zu 50.000 Euro.

Aber das ist noch nicht alles. Wie dargestellt, ist es für den Website-Betreiber mangels Kenntnis kaum möglich, den Nutzer rechtzeitig und vollständig über Art, Umfang und Zweck der Erhebung und Verwendung sowie über die Verarbeitung seiner Daten hinzuweisen. Folglich droht auch an dieser Stelle die Verhängung eines Bußgelds. Das wären dann noch einmal bis zu 50.000 Euro.

Zwar ist aus der bisherigen Rechtsprechung nicht ersichtlich, dass Aufsichtsbehörden aufgrund der Einbindung des Facebook-Like-Buttons schon einmal ein solches Bußgeld verhängt hätten. Aber darauf sollte man sich nicht verlassen.

Darüber hinaus kommen bei einem falschen oder unterlassenen Hinweis auch wettbewerbsrechtliche Abmahnungen in Betracht. Auch hier sind bislang noch keine Präzedenzfälle bekannt. Vielmehr hat das Landgericht Berlin jüngst (laut Beschluss vom 14. März 2011, Aktenzeichen 91 O 25/11) entschieden, dass es hier mangels Marktverhaltensvorschrift an wettbewerbsrechtlicher Relevanz fehlt - und einen Antrag auf Erlass einer einstweiligen Verfügung zurückgewiesen.

Aber es lässt sich auch die entgegengesetzte Meinung vertreten. Deshalb bleibt abzuwarten, ob sich andere Gerichte dieser Auffassung anschließen werden. Wer rechtlich auf Nummer sicher gehen will, sollte daher von einer Implementierung des Facebook-Like-Buttons" auf seiner Website absehen (qua).

Was die Unternehmen heute tun

COMPUTERWOCHE-Kommentar

Wer lange fragt, verpasst den Zug

Wann diese blauen Balken mit dem erhobenen Daumen zum ersten Mal auftauchten, daran erinnere ich mich nicht. Irgendwann sprangen sie mir ins Auge: "Gefällt mir" - Was soll das?

Von da an sah ich sie quasi überall - gern in enger Nachbarschaft zu einem Brief-Symbol, hinter dem sich ein E-Mail-Fenster verbirgt, und dem Twitter-Vögelchen. Langsam dämmerte mir, dass auch dies hier ein Klick-Button war, der meinen Mausfinger verführen wollte. Aber ich blieb standhaft, auch wenn ich neugierig war. Mit übereilten Klicks hatte ich schon schlechte Erfahrungen gemacht.

Die viele zitierten Digital Natives machen sich zu diesem Thema offenbar weniger Gedanken zu. Sie klicken oft und gern. Und so bekomme ich auf Facebook immer mal wieder mitgeteilt, dass einer oder eine von meinen "Friends" eine bestimmte Fahrzeugmarke oder ein Mode-Label mag.

Was treibt uns dazu, einen solchen Button anzuklicken, ohne wirklich zu wissen, was wir damit auslösen? Ist es Neugier? Na ja, spätestens beim zweiten Mal wissen wir, was an der Oberfläche passiert. Und das andere behält Facebook sowieso für sich. Wahrscheinlich ist es eher das, was die Sozialpsychologin Nicole Krämer "Need to Belong" nennt, also das Bedürfnis, zu einer Gruppe von Menschen zu gehören.

Vor diesem Hintergrund ist der Facebook-Button wohl ein begnadetes Marketing-Instrument. Er erzeugt nicht nur Aufmerksamkeit, sondern auch ein Zusammengehörigkeitsgefühl. Dass er möglicherweise Bestimmungen des Teleme­diengesetzes, des Datenschutzes und des Wettbewerbsrechts verletzt, ist angesichts dieser Vorteile für viele Unternehmen von untergeordneter Bedeutung. Ob sie ein eventuelles Bußgeld gegen den Wert qualifizierter Werbekontakte aufrechnen? Vermutlich nicht einmal das! Sie haben einfach gelernt, dass wer lange fragt, Gelegenheiten verpasst.

Karin Quack