Facebook Like-Button

DruckversionAn einen Freund sendenPDF version

Einige Fachschaften und andere Gruppen würden gerne den Facebook Like-Button auf ihre Seite einfügen. Dieses müssen wir leider aus datenschutzrechtlichen Gründen ausschließen. Im Folgenden dazu zwei Artikel von datenschutzbeauftrager-online und Zeit.de, die sich ausführlicher mit der Thematik beschäftigen.

Eine Verlinkung zu Facebook kann darüber hinaus aber erfolgen.

Beitrag von datenschutzbeauftrager-online.de: Link , Juli 2010

Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen

Mit dem so genannten “Like” (oder “Gefällt mir”) Button von Facebook können Webseiten-Betreiber Facebook-Nutzern eine Möglichkeit geben, die von den Webseiten-Betreibern angebotenen Webinhalte mit einem Klick in den Facebook-Profilen zu verlinken. Aber wie funktionieren die Like-Buttons von Facebook eigentlich? Welche Daten werden erhoben und an Facebook übermittelt? Welche datenschutzrechtlichen Besonderheiten müssen Webseiten-Betreiber beachten?

Was ist der Like-Button von Facebook?

Der so genannte “Like” (oder “Gefällt mir”) Button von Facebook kann von Webseiten-Betreibern auf der eigenen Webseite angebracht werden. Mit einem Klick auf diesen Button können bei Facebook registrierte Nutzer automatisch in Ihrem Facebook-Profil eine Notiz hinterlassen, dass Sie die verlinkten Inhalte des Webseiten-Betreibers gut heißen.

Der eingebundene Facebook Button „kommuniziert“ dabei laufend mit Facebook. So verändert sich beispielsweise die graphische Anzeige des Buttons, wenn ein Webseiten-Besucher zugleich in seinem Facebook-Account eingeloggt ist.

Unklar ist momentan insbesondere noch die Frage, ob der Facebook-Button auch personenbezogene Daten von Webseiten-Besuchern an Facebook übermittelt, die nicht Mitglieder bei Facebook sind.

Weitere Details zu den technischen Hintergründen finden sich hier.

Der Anlass: Hamburger Stadtportal verwendete Like-Button von Facebook

Die Stadt Hamburg hat innerhalb der letzten Wochen einen Like-Button mit Verlinkung zu Facebook auf ihrer Webpräsenz angebracht. Letzte Woche wurde dieser wieder entfernt. Auf dem Blog der Stadt Hamburg wird erläutert, dass momentan ein konstruktiver Dialog mit Facebook bestehe, um eine datenschutzrechtlich einwandfreie Lösung zur Verfügung stellen zu können. Zuvor hatte der Like-Button, wie auf der Webseite diskutiert wird, möglicherweise auch Daten von Nicht-Facebook-Nutzern gesammelt. Daher wurde der Button wieder entfernt – der Schutz der personenbezogenen Daten der Bürger und Bürgerinnen müsse Vorrang vor einer weiteren Vernetzung des Portals haben.

Facebook in der Kritik der Datenschützer

Facebook und die dort gesammelten Datenmengen stehen bereits seit längerem in der Kritik der Datenschützer. Zusätzlich zu den Datenmengen, die User dort freiwillig veröffentlichen, wird über eine ausgeklügelte Cookie- und Tracking-Technik mehr gesammelt, als viele User ahnen. Mit dem Like-Button kann Facebook Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern auch im ganzen Netz sammeln.

Welchen technischen Hintergrund hat der Like-Button von Facebook?

Das Integrieren des Facebook-Like-Buttons ist relativ einfach. Der Webseiten-Betreiber muss zur Anzeige des Facebook-Like-Buttons einen Programmcode von Facebook in seine Webseite einbinden. Klickt ein auf Facebook registrierter Nutzer auf den Like-Button einer Webseite, so wird dies direkt an den Facebook-Server übermittelt. Dort wird es zum Profil des Nutzers gespeichert. Die Information, welche Seiten „ge-like-t“ wurden, wird durch Übergabe der URL übermittelt.

Verarbeitung personenbezogener Daten

Bei den durch den Like-Button auf der Seite des jeweiligen Webseiten-Betreibers erhobenen Daten handelt es sich auch um personenbezogene Daten, da der Nutzer über die Verknüpfung mit seinem Facebook-Account eindeutig identifizierbar ist.

Bundesdatenschutzgesetz: Übermittlung von Daten nur mit Einwilligung oder rechtlicher Grundlage

Da Facebook und der Webseiten-Betreiber unterschiedliche Stellen sind und eine Privilegierung durch die Normen der Auftragsdatenverarbeitung (§ 11 BDSG – hier nur kurz: es fehlt jedenfalls an der Weisungsgebundenheit gegenüber Facebook) an dieser Stelle ausscheidet, liegt in der Eröffnung des Zugriffs eine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes („BDSG“).

Nach dem System des BDSG dürfen personenbezogene Daten nur übermittelt werden, wenn der Nutzer gemäß § 4a BDSG eingewilligt hat, eine Rechtsgrundlage oder eine rechtliche Verpflichtung für die Übermittlung vorliegt. Es ist darauf hinzuweisen, dass eine Übermittlung ohne Einwilligung oder Rechtsgrundlage gemäß § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.000,- Euro belegt werden kann.

Einwilligung scheitert an Praktikabilität

Eine Einwilligung scheidet aus Gründen der Praktikabilität vorliegend aus (der Nutzer müsste sonst insbesondere noch anklicken, dass er einverstanden sei, dass seine Daten erhoben und an Facebook übermittelt werden). Eine Rechtsgrundlage für die Übermittlung kann jedoch möglicherweise in § 15 Abs. 1 TMG gesehen werden. Dieser lautet:

„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

Verarbeitung wegen Ermöglichung von Telediensten: rechtmäßig gemäß § 15 Abs. 1 TMG?

Damit kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, um die Inanspruchnahme von Telemedien zu ermöglichen, soweit dies erforderlich ist. Die Verknüpfung auf Facebook über den Like-Button ist ein angebotener Teledienst im Sinne der Vorschrift. Damit der Like-Button benutzt werden kann, müssen die Daten an Facebook übermittelt werden. Dies kann als zwingend im Sinne der Vorschrift bewertet werden, wenn auch die Einbindung nach dem Willen des Telemedienbetreibers freiwillig erfolgt. Insofern kann dies als Rechtsgrundlage herangezogen werden.

Dagegen: Gebot der Datensparsamkeit

Wenn sich nach dem Wortlaut der Vorschrift eine Rechtsgrundlage für die Übermittlung sehen lässt, so muss jedoch nach dem Prinzip der Datensparsamkeit (§ 3a BDSG) daran gezweifelt werden, ob die Auslegung von § 15 Abs. 1 TMG insofern nicht zu weit geht. Denn selbst wenn die Rechtsgrundlage ausreichen mag für Webseiten-Besucher, die den Like-Button drücken und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (ganz zu schweigen von den Webseiten-Besuchern, die nicht einmal bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher durchaus als zu umfangreich verstehen – und insofern ablehnen.

Datenschutzbehörden haben sich bislang nicht geäußert

Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.

Webseiten-Betreiber müssen Datenschutzerklärung anpassen

In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die Datenschutzerklärung nach § 13 Abs. 1 TMG der Webseiten-Betreiber angepasst werden.

Inhaltlich muss erklärt werden, dass der Webseiten-Betreiber Facebook den Datenaustausch ermöglicht. Auch wenn der Nutzer den Facebook-Button erkennt, so mag diesem nicht klar sein, dass ein Datenaustausch tatsächlich stattfindet. Insbesondere mag der Einzelne, wenn er die Gefahr erkennt, glauben, dass eine Verknüpfung nur stattfinden kann, wenn er den Like-Button auch anklickt. Diesem ist aber nicht so. Die Verknüpfung findet bereits durch den von Facebook gesetzten Code in die Webseite statt.

Gemäß § 13 TMG muss damit über diese gesamten Umstände hingewiesen werden. Die Datenschutzerklärung muss in verständlicher Form gestaltet werden, sonst drohen Bußgelder nach § 16 TMG. Dieses Bußgeld droht jedem Webseiten-Betreiber, der den Like-Button von Facebook ohne Hinweis in seiner Datenschutzerklärung angebracht hat. Der Webseiten-Betreiber ist insoweit verantwortliche Stelle, auf den die Datenverarbeitung zurückzuführen ist.

Wie sind soziale Netzwerke in europarechtlicher Sicht zu bewerten?

Die Artikel 29 Datenschutzgruppe hat bereits im letzten Jahr in ihrer Meinung 5/2009 die sozialen Netzwerke zu größerer Sicherheit für die User und weniger Datenansammlungen aufgefordert.

Weitere Schritte werden wohl im Mai des nächsten Jahres erreicht sein müssen, wenn die Richtlinie 2009/136/EG („Cookie-Richtlinie“ – wir berichteten) in das deutsche Recht umgesetzt sein muss. Da ab diesem Zeitpunkt mehr mit aktiver Einwilligung in die Cookie-Platzierung gearbeitet werden muss, werden sich zwangsläufig auch für die sozialen Netzwerke sowie für deren Geschäftswege einige Veränderungen ergeben. Davon wäre auch die Verknüpfung über Like-Buttons betroffen.

Fazit

Der Like-Button kann von Webseiten-Betreibern eingesetzt werden, sofern angenommen wird, dass die Übermittlung der Daten an Facebook erforderlich ist, um die Verlinkung zu ermöglichen und insoweit § 15 Abs. 1 TMG als Rechtsgrundlage gewertet wird. In jedem Fall müssen die Datenschutzerklärungen der Webseiten-Betreiber auf den Facebook-Like-Button eingehen. Es ist zudem empfehlenswert, etwaige Stellungnahmen der Aufsichtsbehörden und Gerichtsentscheidungen zu beobachten.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Artikel aus der ZEIT: Link , März 2011

Datenschützer mögen den Like-Button nicht

Für Facebook ist der Like-Knopf auf anderen Seiten ein Gewinn, er späht Nutzer aus. Datenschützer halten ihn für riskant und wüssten gern genauer, wie er funktioniert.

Auf vielen Websites ist er inzwischen eingebaut: Der kleine "Gefällt mir"-Knopf von Facebook. Bild.de hat ihn schon lange, Stern.de hat ihn vor einigen Monaten eingebaut, Spiegel Online hat sich vergangene Woche dafür entschieden. Auch viele Blogger und Online-Shops setzen inzwischen auf die Möglichkeit, sich mit dem großen Netzwerk zu verbinden.

Praktisch für sie: Klickt ein Facebook-Mitglied auf den Button, wird zugleich ein Beitrag mit Titel, Unterzeile und Bild auf der Profilseite veröffentlicht.

Branchengerüchten zufolge können die Besucherzahlen dank des Knopfes um bis zu das Sechsfache steigen. Und selbst große Seiten profitieren davon nicht unerheblich.

Vor allem aber gewinnt Facebook. Dem Unternehmen gehe es darum, seinen Knopf so breit wie möglich im Internet zu streuen, sagt der niederländische Sozialwissenschaftler Arnold Roosendaal. Ob er tatsächlich angeklickt werde, sei dabei weniger wichtig.

  • Privatsphäre
  • Vernetzung
  • Profil

Die 2004 gestartete Seite Facebook will nach Aussage ihre Gründers Mark Zuckerberg die Welt offener und vernetzter machen. Das gelingt ihr offensichtlich viel zu gut, gab es doch bereits häufig Proteste, Facebook nötige seine Nutzer zu mehr Offenheit, als diese sich wünschten. So sammelt die Seite E-Mail-Adressen und Telefonnummern auch von Nichtmitgliedern, wenn Mitglieder ihr Adressbuch bei Facebook speichern. Sie nutzt diese Informationen, um Nichtmitglieder zu kontaktieren. Der Konzern hat inzwischen auf den Widerstand seiner Nutzer reagiert und zumindest die möglichen Einstellungen, welche Profilinformationen für wen sichtbar sein sollen, überarbeitet. Auch "Gruppen" wurden eingeführt. Nutzer können ihre Kontakte in solchen organisieren, damit nicht jede Information an alle geht.

Viel wichtiger ist, dass er einen Zugang zu den Daten der Seite ermöglicht. Facebook kann dank seiner die Benutzerströme auf der Seite messen und noch dazu jeden Nutzer mit einem Facebook-Account, so er gerade eingeloggt ist, identifizieren. Ein Besuch auf einer Website, die den "Gefällt mir"-Knopf nutzt, genügt dafür bereits. So erfährt das Netzwerk, was Nutzer außerhalb der eigenen Server so tun und bekommt ein umfangreiches Profil seiner Mitglieder.

Für die Seitenbetreiber kann das hinderlich sein, lädt der Knopf doch im Hintergrund diverse Scripte nach – das bedeutet, er verbindet sich ständig mit Facebook-Servern und überträgt Daten, was die Seite im Zweifel langsamer macht.

Problematischer aber ist es wohl für die Nutzer von Facebook. "Facebooks Fangarme reichen weit über die eigenen Plattform und die eigenen Mitglieder hinaus", sagt Roosendaal. Sobald die Webaktivitäten einem einzelnen Facebook-Konto zugeordnet werden können, ist ein Internetnutzer mit seinen Aktivitäten und Interessen für Facebook namentlich identifizierbar.

Ob Facebook damit auch gegen deutsches Datenschutzrecht verstößt, wird derzeit geprüft. Ein Onlinehändler wurde bereits abgemahnt, weil er in seiner Datenschutzerklärung nicht über die Verwendung des Buttons informiert hatte.

Das Verfahren läuft noch, aber es könnte nur der Anfang sein. Zahlreiche Websites informieren in ihren Datenschutzerklärungen noch nicht über den Einbau des Plugins – und was es für die Nutzer bedeutet.

Und Datenschützern ist noch immer unklar, was der "Gefällt mir"-Knopf überhaupt alles an Daten überträgt. Den Angaben Facebooks dazu zumindest trauen sie nicht. Facebook habe behauptet, dass es IP-Adressen von Nutzern, die nicht Mitglied bei Facebook sind, nicht speichere, sagt Bernhard Freund, Referent beim Hamburgischen Landesdatenschutzbeauftragten.

Jedoch habe seine Behörde festgestellt, dass bereits ein Klick auf den Button genüge, um ein Cookie mit einer eindeutigen Identifikationskennung auf dem Rechner zwei Jahre lang zu platzieren. Eine Anmeldung bei Facebook sei dafür nicht nötig. Selbst wenn ein Nutzer nicht auf den Button klicke, werde bei ihm ein Cookie gesetzt. Der setze zwar keine eindeutige Kennung, könne in der Regel aber für die Dauer der Internetnutzung verfolgen, welche weiteren Webseiten besucht werden.

Moritz Karg vom Unabhängigen Landesdatenschutzzentrum in Schleswig-Holstein (ULD) ist mit der technischen Analyse des Like-Buttons befasst. Er sagt: "Bereits die Tatsache, dass nicht eindeutig klar ist, welche Verarbeitungsprozesse bei der Einbindung des Plugins in ein Webseitenangebot angestoßen werden, ist ein starkes Indiz für eine datenschutzrechtliche Unzulässigkeit." Facebook sei aufgefordert worden, die Vorgänge zu klären.

Noch haben die Datenschützer kein Verfahren gegen Facebook eingeleitet, da sie noch keine abschließende Bewertung treffen können. Damit der Button dem Datenschutzrecht entspricht, dürfte er aber Daten wie die IP-Adresse nur anonymisiert weitergeben. Auch müssten Betroffene ihr Recht auf Widerspruch, Auskunft und Löschung "ungehindert und effektiv" wahrnehmen können.

Diejenigen, die den Button einbauen, müssten eine Einwilligungslösung anbieten, finden Datenschützer. Oder Facebook müsste zwischen den Daten der Reichweitenanalyse und den Informationen aus den Netzwerkprofilen "strikt trennen".

Karg vom ULD glaubt jedenfalls, dass es "absolut unwahrscheinlich" ist, dass Facebook freiwillig eine datenschutzfreundliche Version seines Buttons anbieten wird: "Das Agieren von Facebook in der Vergangenheit lässt den Schluss zu, dass dem Unternehmen nicht an Datensparsamkeit und -vermeidung gelegen ist."

Eine andere Sorge ist eher grundsätzlicher Art: Facebook schafft mit dem Button eine neue Grundlage für die Bewertung von Websites. Bislang funktionierten Suchmaschinen wie Google, weil sie die Relevanz von Links bewerten können, indem sie die Verlinkung analysieren. Wenn aber Links aus einem geschlossenen Netzwerk wie Facebook ins Netz hineinreichen, können Suchmaschinen diese nicht mehr bewerten, weil sie keinen Zugriff auf sie haben.

Langfristig verschiebt sich dadurch die Gewichtung der Suchergebnisse, die Qualität der Suchergebnisse könnte sinken. Eine Orientierung im Netz würde schwerer.