Datenschutzbehörden (ULD) halten Facebook Plugins für datenschutzwidrig – Unterlassungsverfügungen und Bussgeld möglich

Jetzt ist es also passiert… Wie ich gerade über netzpolitik.org lese, warnt das Unabhängige Datenschutzzentrum Schleswig Holstein (ULD) Webseitenbetreiber in seiner aktuellen Pressemitteilung ausdrücklich vor Social Plugins von Facebook & Co, weil diese gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen.

Webseitenbetreiber, die diesen Dienst eingebunden haben, werden ausdrücklich aufgefordert, die Weitergabe der Daten ihrer Nutzer an Facebook in die USA einzustellen, indem sie die entsprechenden Dienste deaktivieren. Bis Ende September 2011 räumen die Datenschützer in Schleswig-Holstein noch Schonfrist ein, danach können Unterlassungsverfügungen und Bussgelder drohen.

Wie die nachfolgende datenschutzrechtliche Einschätzung (die ich bereits in einem älteren Beitrag dargestellt hatte) zeigt, war dieser Schritt – früher oder später – zu erwarten. Auch wenn man über eine Abmahnfähigkeit der Einbindung durch Wettbewerber möglicherweise noch diskutieren kann, ist aufgrund der aktuellen Warnung der Datenschutzbehörden von der Einbindung entsprechender Social Plugins abzuraten, wenn die nachfolgenden Voraussetzungen nicht eingehalten werden können.

Auch wenn das Unabhängige Datenschutzzentrum Schleswig Holstein zunächst nur für Schleswig Holstein zuständig ist, halte ich es für durchaus wahrscheinlich, dass sich andere Landesdatenschutzbehörden der Auffassung des ULD anschließen.I. Datenschutzrechtliche Beurteilung

Die Einbindung des Facebook Buttons erfolgt aus der technischen Perspektive über einen sogenannten I-Frame, der dafür sorgt, dass der Computer des Nutzers über das eingebundene Plugin direkt mit Facebook kommuniziert. Klar ist zunächst, dass Facebook einen eingeloggter Nutzer, der den Button klickt, erkennt. Die Webseite, die den Button eingebunden hat, erfährt dabei nicht, wer der Nutzer ist, der die Seite besucht.

Es wird jedoch berichtet, dass über den Button deutlich mehr Daten (wie z.B. die IP-Adresse) „ausspioniert“ und an Facebook übermittelt werden. Nach dem Beitrag bei chip.de werden möglicherweise auch Daten von den Besuchern weitergeleitet, die nicht einmal bei Facebook angemeldet sind.

Datenschutzrechtliche Vorschriften kommen immer dann zur Anwendung, wenn personenbezogene Daten im Sinne des § 3 Abs.1 BDSG weitergegeben oder verarbeitet werden. Da zumindest Facebook die jeweiligen Nutzer identifizieren kann, wird das Vorliegen entsprechend sensibler Daten nicht ernsthaft in Frage gestellt werden können.

Durch die Einbindung des Buttons treffen auch den Webseitenbetreiber bestimmte datenschutzrechtliche Pflichten, die sich über § 2a Abs.1 TMG auch nach deutschem Datenschutzrecht richten. Die dargelegte Weitergabe solcher personenbezogener Daten ist nur zulässig, wenn der jeweilige Besucher vorher zugestimmt hat oder ein anderer gesetzlicher Erlaubnistatbestand dies für zulässig erklärt.

Die Zustimmung zu der Datenschutzerklärung, die die Nutzer von Facebook bei der Anmeldung erklären, sorgt wohl nicht für eine Zulässigkeit des Like-Buttons, weil die Privacy Policy die Datenweitergabe nicht hinreichend konkret und detailliert ausführt. Das Einholen einer Zustimmung durch den Webseitenbetreiber im Sinne des § 13 Abs.1 TMG (aktives und aufgeklärtes „Opt-In“) , die unter Umständen integriert werden könnte, erscheint wenig praktikabel.

Teilweise wird vertreten, dass die Datenweitergabe über § 15 Abs.1 TMG legitimiert werden könnte. Dem steht jedoch entgegen, dass die umfangreiche Datenweitergabe, die über die Facebook Plugins offensichtlich erfolgt, wohl nicht für die Ermöglichung oder Abrechnung des betroffenen Telemedienangebots erforderlich ist und eine Weitergabe solcher Inhaltsdaten an Dritte von dieser Vorschrift wohl grundsätzlich nicht erfasst wird.

Danach muss man derzeit davon ausgehen, dass die Nutzung des Like-Buttons nur zulässig ist, wenn die Nutzer nach umfassender Aufklärung über die konkrete Datenverarbeitung und vor der Einblendung des Plugins ausdrücklich zugestimmt haben.

Die Anmeldung bei Facebook und das Akzeptieren der Privacy Policy von Facebook reicht – auch nach Auffassung des ULD – nicht, um eine hinreichende Zustimmung der bei Facebook angmeldeten Nutzer annehmen zu können. In der Privacy Policy werde aber nicht hinreichend detailliert und transparent dargestellt, wie genau und welche personenbezogenen Daten verarbeitet werden.

Das Unabhängige Datenschutzzentrum Schleswig Holstein (ULD) hat auch seine weitergehenden Prüfungsergebnisse in einem entsprechenden Bericht zusammengefasst. Dort wird festgestellt, dass Facebook beim Klicken des Like-Buttons einen Cookie „datr“ setzt, der für zwei Jahre auf dem Rechner bleibt und bei Wiederaufruf von Facebook oder anderen Like-Buttons die Facebook eine Profilbildung ermöglicht. Dieser Cookie wird – nach Feststellungen des ULD – auch bei nicht authentifizierten und nicht bei Facebook angemeldeten Webseitenbesuchern gesetzt. Damit werde seitens des Webseitenbetreibers das Trennungsgebot des § 15 Abs.3 Satz 3 TMG verletzt.

Bei angemeldeten Nutzern werde im Rahmen der Auswertung auch noch auf daten aus den Facebook Profilen der Nutezr zugegriffen.

II. Abmahngefahr ?

Fehlt also eine hinreichende Datenschutzerklärung stellt die Einbindung des Like-Buttons – unabhängig von den oben stehenden Ausführungen – in jedem Fall einen Verstoss gegen deutsches Datenschutzrecht dar. Eine Abmahnung ist unabhängig davon aber nur dann berechtigt, wenn ein Wettbewerber (also derjenige der ähnliche Waren oder Dienstleistungen wie der Webseitenbetreiber anbietet) aufgrund des Datenschutzverstoßes auch eine Verletzung des Wettbewerbsrechts begründen kann.

Bei vergleichbaren Datenschutzverstößen hatten verschiedene Gerichte (u.a. OLG Hamburg Urteil vom 09.06.2004 Az. 5 U 186/03) einen hinreichenden Wettbewerbsbezug abgelehnt. Andere Gerichte sind hingegen auch schon von einer Wettbewerbsrechtsverletzung ausgegangen (OLG Stuttgart Urteil vom 22.02.2007 Az. 2 U 132/06).

Auch wenn die Einbindung des Like-Buttons durchaus kommerziellen Charakter haben kann (und mit weiter wachsender Bedeutung der Social Plugins auch haben wird), weshalb sich in entsprechenden Fällen auch ein Wettbewerbsbezug argumentieren lässt, halte ich die Gefahr von gehäuften Abmahnungen aktuell für gering. Solange entsprechende Unterlassungsansprüche nicht von einem deutschen Gericht festgestellt werden, dürften entsprechende Abmahnungen die Ausnahme bleiben.

III. Zusammenfassung und Praxishinweis

Social Plugins, wie z.B. der Like-Button von Facebook, bieten einige spannende neue Möglichkeiten. Dennoch sollten bei deren Einbindung die dargestellten datenschutzrechtlichen Bedenken berücksichtigt werden.

Weit verbreitet ist derzeit die Integration eines Datenschutzhinweises, der zwar nicht dem Erfordernis der Zustimmung genügt, gegenüber den Seitenbesuchern aber dennoch eine gewisse Transparenz herstellt. Eine vernünftige Aufklärung würde zunächst aber einmal erfordern, dass Facebook offenlegt, welche Daten von eingeloggten Facebook Nutzern aber auch von Dritten „abgegriffen“ werden.

In jedem Fall ist ein dringender Appell an Facebook zu richten, nicht nur im Hinblick auf den Like Button, sondern auch bei den anderen Social Plugins (wie auch der kürzlich vorgestellten Kommentarfunktion) für deutlich mehr Transparenz zu sorgen. Es ist nicht hinnehmbar, dass weiter unbekannt bleibt, welche Daten diese Plugins eigentlich genau erheben. Erst dies würde Webseitenbetreiber nämlich in die Lage versetzen, die datenschutzrechtlichen Vorgaben zu erfüllen, und die eigenen Seitenbesucher über den Umfang der Datenerhebung zumindest einmal im Detail zu informieren.

Facebook täte sich aus meiner Sicht – gerade im Hinblick auf die Akzeptanz solch perspektivisch interessanter Werkzeuge – selbst einen Gefallen, hier den Bogen nicht zu weit überspannen und alle technisch möglichen (rechtlich aber teilweise fragwürdigen) Möglichkeiten auszuschöpfen.

Webseitenbetreibern, die sich der Social Plugins unbedingt bedienen wollen, ist spätestens nach Hinweis der Datenschutzbehörden zu der – relativ unpraktikablen – Lösung zu raten, den Facebook Button nur gegenüber den Nutzern anzuzeigen, die dessen Einbindung ausdrücklich zugestimmt haben. Auch dieses erfordernis wird in der Regel aber daran scheitern, dass nicht hinreichend über die Datenweitergabe aufgeklärt werden kann. Nach Auffassung der Datenschützer, die ich für nachvollziehbar halte, genügt es nicht einen entsprechenden Datenschutzhinweis im Sinne des § 13 Abs.1 TMG vorzusehen, der die Besucher zumindest einmal über die jeweilige Funktion und die Weitergabe „irgendwelcher“ Daten an Facebook aufklärt.

Das Abmahnrisiko hält sich derzeit aus den oben genannten Gründen zwar immer noch in überschaubaren Grenzen. Angesichts weit verbreiteter Zweifel an der Einschlägigkeit des § 15 Abs.1 TMG geht der Hinweis, man sei mit der Ergänzung der Datenschutzhinweise auf der (rechts-)sicheren Seite allerdings fehl.

Im Hinblick auf die ausdrückliche Warnung der Datenschützer aus Schleswig Holstein scheinen aber Bussgelder nun nicht mehr ausgeschlossen. Bis September 2011 gibt das ULD Zeit, entsprechende Funktionlitäten zu deaktivieren. Danach können die Datenschutzbehörden bei öffentlichen Stellen gegebenenfalls Beanstandungen nach § 42 LDSG SH aussprechen, bei privaten Stellen drohen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie möglicherweise sogar Bußgeldverfahren, die bei entsprechenden Verstößen des Telemediengesetzes bis zu einer Höhe von 50.000 Euro festgesetzt werden können.

Man wird sehen wie sich die Datenschutzbehörden der anderen Bundesländer zu der Frage positionieren…

Update 19.07.2011 14.50 Uhr:

Spannend zu dem Thema auch das Interview vom Barcamp Kiel mit Dr. Moritz Karg, seines Zeichens Mitarbeiter des ULD:

Update 29.08.2011 09.59 Uhr:

Die Diskussion um die datenschutzrechtliche Konformität des Facebook Like Buttons zieht weitere Kreise. Wie obenstehend prognostiziert, haben nun offensichtlich auch die Datenschutzbeauftragten in Rheinland-Pfalz, Mecklenburg-Vorpommern und Niedersachen erklärt, dass sie die Einbindung des Social Media Tools nicht für rechtskonform halten. Auch die öffentlich bestallten Datenschützer in Nordrhein-Westfalen, Brandenburg, Baden-Württemberg und Hamburg haben kommuniziert, dass sie Handlungsbedarf sehen. Bevor aber weitere Maßnahmen eingeleitet werden, soll erst eine entsprechende Abstimmung unter den Datenschutzbehörden erfolgen, um ein gemeinschaftliches Vorgehen zu koordinieren.

Das hört sich ganz so an, als ob – früher oder später – eine Entscheidung des Düsseldorfer Kreises verkündet wird, die die gemeinsame Linie zu Social Plugins, wie dem Facebook Like-Button, verkündet. Der sogenannte „Düsseldorfer Kreis“ ist die informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. Ähnlich war seinerzeit auch im Zusammenhang mit der datenschutzrechtlichen Zulässigkeit von Analysewerkzeugen wie Google Analytics vorgegangen worden.

Die Entwicklung zeigt aber, dass es sich bei der Frage der datenschutzrechtlichen Zulässigkeit des Like-Buttons sicher nicht nur um ein schlewswig-holsteinisches Problem handelt. Je nachdem wie sich die Linie der Datenschutzbehörden weiter entwickelt, werden sämtliche Webseitenbetreiber in Deutschland sich mit der Rechtskonformität „ihrer“ Like Buttons auseinandersetzen müssen…