Datenschutz in sozialen Netzen: Der Facebook “Gefällt-mir“-Button

Auf vielen Webseiten findet sich neben den üblichen und teilweise datenschutzrechtlich unbedenklichen[1] Social-Media-Links der so genannte „Gefällt mir!-Button“ (Like button) von Facebook.

Dieser ist als besonders problematisch anzusehen, da sogar Daten von Nichtmitgliedern des sozialen Netzwerkes übertragen (IP-Adresse, Datum und Zeit, URL und der verwendete Browser) und ggf. auch gespeichert werden, ohne dass Nutzer auch nur die Möglichkeit der Kenntnisnahme dieser Übertragung haben.

Der Landesdatenschutzbeauftragte aus Schleswig-Holstein hat über das „ULD“ (Unabhängiges Landeszentrum für Datenschutz) diese Problematik zum Anlass genommen, alle verantwortlichen Stellen im Bundesland aufzufordern, den „Gefällt mir!-Button“ von ihren Web-Seiten zu entfernen. Von den 15 angeschriebenen (7 öffentliche und 8 private) Stellen folgte nur eine dieser Aufforderung.[2]

Technisch gesehen ist die tatsächliche Funktion des Knopfes nicht transparent. Die JavaScript-Datei wird per Iframe eingebunden, liegt jedoch auf dem Server von Facebook  und kann somit theoretisch jederzeit geändert werden. Damit ist für Anwender und Betreiber der Webseite mit zumutbarem Aufwand nicht nachvollziehbar, was der Code überhaupt mit den Daten des Besuchers tut. Das ist umso verheerender, da man ja vorab nicht erfahren kann, dass der Code auf der Seite liegt, weil man sie ja gerade erst besucht.

Diese fehlende Transparenz führt auch zu Schwierigkeiten bei der rechtlichen Bewertung des „Gefällt mir“-Buttons. Unabhängig von der Frage des anzuwendenden Gesetzes (Telemediengesetz oder Bundesdatenschutzgesetz) kann ein Webseitenbetreiber – selbst wenn er dies wollte – seinen Seitenbesuchern nicht genau angeben, welche Datenerhebung und -verarbeitung überhaupt erfolgt. Somit kann auch der Umfang einer entsprechenden Einwilligung nicht genau eingegrenzt werden. Ohne das Bestehen einer vertraglichen Beziehung, die einen gesetzlichen Erlaubnistatbestand für Datenerhebung und -verarbeitung bieten kann, wird in fast allen Fällen von dem Erfordernis einer Einwilligung des Betroffenen auszugehen sein.

Das Kammergericht (KG Berlin, Beschluss vom 29.04.2011, Az. 5 W 88/11[3]) hat sich im vergangenen Jahr als eines der ersten Gerichte (neben dem Landgericht Berlin in der Vorinstanz) wenigstens in Teilen mit der Verletzung datenschutzrechtlicher Vorgaben durch die Installation des „Gefällt-mir“-Buttons befasst und geht ohne Weiteres von dem Erfassen personenbezogener Daten aus, sofern auf einer Webseite der „Gefällt mir“-Button installiert ist. Diese Auffassung teilen die Verfasser, zumal die Möglichkeit der Zusammenführung der IP-Adressen mit Klarnamen in der Regel wenigstens bei facebook selbst besteht.

Zu berücksichtigen ist hierbei, dass es bei dem dortigen Verfahren letztlich um die Frage gegangen ist, ob die Installation eines „Gefällt-mir“-Buttons aus wettbewerbsrechtlicher Sicht zu beanstanden ist und somit nicht jedes rechtlich zu klärende Detail aus dem Bereich Datenschutz behandelt worden ist. Die höchsten Berliner Zivilrichter haben die Frage der Beanstandung aus wettbewerbsrechtlicher Sicht verneint.

Darüber hinaus sind viele Rechtsfragen bislang ungeklärt, so etwa die Frage nach dem datenschutzrechtlichen Verantwortlichen (auch der jeweilige Webseitenbetreiber oder nur facebook selbst) oder die Anforderungen an eine rechtskonforme Einwilligung.

Der Heise-Verlag hat bereits Anfang September des vergangenen Jahres eine entschärfte Version für dieses Social-Plugin vorgestellt. Hier wird vor dem Aufrufen des Codes auf dem Facebook-Server ein zusätzlicher Klick nötig, damit der Nutzer wenigstens die Möglichkeit der Kenntnisnahme von einer Datenübertragung hat und zudem mitgeteilt werden kann, welche Daten übertragen werden. Dies ist im Fall Facebook nach wie vor nicht bekannt,  und damit bleibt auch mit dieser Lösung der ´Gefällt mir!-Button´mit vorgeschaltetem Knopf datenschutzrechtlich nicht annehmbar. Bei anderen, vor allem in der EU ansässigen Betreibern von sozialen Netzen, mag das anders sein, da sie durch die herrschende Gesetzeslage verpflichtet werden anzugeben, welche Daten für welchen Zweck erhoben werden.

Ein durchschnittlich informierter Nutzer kann nämlich nicht abschätzen, was mit seinen Daten geschieht, bevor er den Inhalt einer Seite wahrgenommen hat.

Hier sind nun Gesetzgebung und Rechtsprechung gefragt, für die dringend erforderliche Klarheit zu sorgen, da soziale Netzwerke im Internet weder aus dem Leben von Verbrauchern, noch aus dem Alltag von Unternehmen wegzudenken sind. Leider kommt es recht häufig vor, dass die bestehenden Gesetze viel zu zögerlich an die Lebensrealitäten angepasst werden oder bei deren Anwendung Zweifel bis zu einer höchstrichterlichen Klärung verbleiben.

Bislang haben Verstöße gegen das Datenschutzrecht noch keine Relevanz für wettbewerbsrechtliche Abmahnungen, wie es auch von dem Kammergericht (aaO) entschieden wurde. Hier bleibt allerdings abzuwarten, ob etwa die Verwendung des „Gefällt-mir“-Buttons nicht erneut zum Gegenstand von (wettbewerbsrechtlichen) Abmahnungen gemacht wird und ob andere Gerichte nicht zu anderen Entscheidungen gelangen.

In der Zusammenschau ist festzuhalten, dass der Betreiber einer Webseite deren Besuchern wenigstens die Informationen zur Verfügung stellen sollte, die ihm selbst vorliegen, um somit zumindest in abgeschwächter Form den Pflichten aus § 13 Abs. 1 TMG nachzukommen. Somit sollte angegeben werden, dass der „Gefällt-mir“-Button verwendet wird, dass hierüber von facebook Daten über die Besucher erhoben werden. Ferner sollte ein Link auf die Anbieterkennzeichnung von facebook gesetzt werden und die Möglichkeit geschaffen werden, dass man die Datenschutzbestimmung von facebook abrufen kann.

Letztlich ist die vorliegende Problematik nicht ganz neu. Auch früher konnten bereits mit einfachen Mitteln Daten von Webseitenbesuchern erfasst und gespeichert werden, teils ohne dass es die Internetnutzer erfahren haben. Die Besonderheit bei facebook liegt darin, dass das nicht europäische Unternehmen sich einer großen Beliebtheit und Verbreitung erfreut und sich bislang in besonderer Weise einer tatsächlichen Aufklärung der Vorgänge verweigert hat.


Autoren:

Jens Bräumer (Rechtsanwalt und Fachanwalt für IT-Recht) und Christoph Heyn (IT-Berater).

Beide Autoren sind Gründungsmitglieder der Regionalgruppe Süd-West des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.