Nach einem Bericht des Händlerbundes ist es nun offensichtlich passiert: Die Firma Allmedia GmbH soll einen Online-Händler wegen der datenschutzwidrigen Verwendung des Like-Buttons abgemahnt haben .
Bei dem Like-Button (auch „Gefällt-mir“-Button) handelt es sich um ein sogenanntes Social Plugin von Facebook. Durch die Einbindung eines von Facebook zur Verfügung gestellten Programmiercodes wird der Gefällt-mir Button den Besuchern der Webseite angezeigt. Klicken eingeloggte Nutzer von Facebook den Knopf, so wird das „Gefallen“ über dieses Plugin unter Angabe einer Nutzeridentifikation an Facebook in die USA übermittelt. Im Profil des Nutzers (sogenannte „Timeline“) wird dann angezeigt, dass dem Nutzer eine bestimmte Webseite oder ein spezifischer Inhalt gefällt. Über dieses Tool können also die Kontakte des jeweiligen Facebook Nutzers (sogenannter „Social Graph“) erreicht und möglicherweise neue Leser/Kunden gewonnen werden.
Die datenschutzrechtliche Zulässigkeit der Einbindung des Like-Buttons ist seit einiger Zeit in der Diskussion. Relevant wird diese Frage, weil Daten der Besucher einer Webseite, die ein solches Plugin eingebunden hat, ohne ausdrückliche Zustimmung an Facebook in die USA übertragen.
Im Hinblick auf die oben genannten Abmahnungen ist allerdings zu differenzieren, zwischen der datenschutzrechtlichen Bewertung einerseits und der Abmahnfähigkeit der Einbindung des Buttons andererseits. Entgegen einem weit verbreiteten Irrglauben kann nicht jeder Rechtsverstoß abgemahnt werden, sondern nur solche die auch eine hinreichende wettbewerbsrechtliche Relevanz aufweisen. Der nachfolgende Beitrag soll dies erläutern und mögliche Lösungswege aufzeigen.
I. Datenschutzrechtliche Beurteilung
Die Einbindung des Facebook Buttons erfolgt aus der technischen Perspektive über einen sogenannten I-Frame, der dafür sorgt, dass der Computer des Nutzers über das eingebundene Plugin direkt mit Facebook kommuniziert. Klar ist zunächst, dass Facebook einen eingeloggter Nutzer, der den Button klickt, erkennt. Die Webseite, die den Button eingebunden hat, erfährt dabei nicht, wer der Nutzer ist, der die Seite besucht.
Es wird jedoch berichtet, dass über den Button deutlich mehr Daten (wie z.B. die IP-Adresse) „ausspioniert“ und an Facebook übermittelt werden. Nach dem Beitrag bei chip.de werden möglicherweise auch Daten von den Besuchern weitergeleitet, die nicht einmal bei Facebook angemeldet sind.
Datenschutzrechtliche Vorschriften kommen immer dann zur Anwendung, wenn personenbezogene Daten im Sinne des § 3 Abs.1 BDSG weitergegeben oder verarbeitet werden. Da zumindest Facebook die jeweiligen Nutzer identifizieren kann, wird das Vorliegen entsprechend sensibler Daten nicht ernsthaft in Frage gestellt werden können.
Durch die Einbindung des Buttons treffen auch den Webseitenbetreiber bestimmte datenschutzrechtliche Pflichten, die sich über § 2a Abs.1 TMG auch nach deutschem Datenschutzrecht richten. Die dargelegte Weitergabe solcher personenbezogener Daten ist nur zulässig, wenn der jeweilige Besucher vorher zugestimmt hat oder ein anderer gesetzlicher Erlaubnistatbestand dies für zulässig erklärt.
Die Zustimmung zu der Datenschutzerklärung, die die Nutzer von Facebook bei der Anmeldung erklären, sorgt wohl nicht für eine Zulässigkeit des Like-Buttons, weil die Privacy Policy die Datenweitergabe nicht hinreichend konkret und detailliert ausführt. Das Einholen einer Zustimmung durch den Webseitenbetreiber im Sinne des § 13 Abs.1 TMG (aktives und aufgeklärtes „Opt-In“) , die unter Umständen integriert werden könnte, erscheint wenig praktikabel.
Teilweise wird vertreten, dass die Datenweitergabe über § 15 Abs.1 TMG legitimiert werden könnte. Dem steht jedoch entgegen, dass die umfangreiche Datenweitergabe, die über die Facebook Plugins offensichtlich erfolgt, wohl nicht für die Ermöglichung oder Abrechnung des betroffenen Telemedienangebots erforderlich ist und eine Weitergabe solcher Inhaltsdaten an Dritte von dieser Vorschrift wohl grundsätzlich nicht erfasst wird.
Danach muss man derzeit davon ausgehen, dass die Nutzung des Like-Buttons nur zulässig ist, wenn die Nutzer vor der Einblendung des Plugins zugestimmt haben.
Wer solche Tool trotz der rechtlichen Unwägbarkeiten nutzen will, dem ist zu empfehlen, bei der Einbindung solcher Plugins einen entsprechenden Datenschutzhinweis vorzusehen. Zum einen sorgt dies für Transparenz gegenüber den Webseitenbesuchern. Zum anderen könnte im Streitfall gegebenenfalls – trotz der hier geäußerten Zweifel an der Einschlägigkeit des § 15 Abs.1 TMG – versucht werden, das zuständige Gericht mit dieser Vorschrift von der Zulässigkeit der Datenübermittlung zu überzeugen.
Ohne einen solchen Hinweis entfällt auch dieses Argumentationsszenario…
II. Abmahngefahr ?
Fehlt also eine hinreichende Datenschutzerklärung stellt die Einbindung des Like-Buttons – unabhängig von den oben stehenden Ausführungen – in jedem Fall einen Verstoss gegen deutsches Datenschutzrecht dar. Eine Abmahnung ist unabhängig davon aber nur dann berechtigt, wenn ein Wettbewerber (also derjenige der ähnliche Waren oder Dienstleistungen wie der Webseitenbetreiber anbietet) aufgrund des Datenschutzverstoßes auch eine Verletzung des Wettbewerbsrechts begründen kann.
Bei vergleichbaren Datenschutzverstößen hatten verschiedene Gerichte (u.a. OLG Hamburg Urteil vom 09.06.2004 Az. 5 U 186/03) einen hinreichenden Wettbewerbsbezug abgelehnt. Andere Gerichte sind hingegen auch schon von einer Wettbewerbsrechtsverletzung ausgegangen (OLG Stuttgart Urteil vom 22.02.2007 Az. 2 U 132/06).
Auch wenn die Einbindung des Like-Buttons durchaus kommerziellen Charakter haben kann (und mit weiter wachsender Bedeutung der Social Plugins auch haben wird), weshalb sich in entsprechenden Fällen auch ein Wettbewerbsbezug argumentieren lässt, halte ich die Gefahr von gehäuften Abmahnungen aktuell für gering. Solange entsprechende Unterlassungsansprüche nicht von einem deutschen Gericht festgestellt werden, dürften entsprechende Abmahnungen die Ausnahme bleiben.
Da eine datenschutzwidrige Übermittlung von personenbezogenen Daten von den Datenschutzbehörden gemäß § 43 Abs. 2 Nr. 1 BDSG auch mit einem Bußgeld von bis zu 300.000 € belegt werden können, sollten auch etwaige Stellungnahmen der Datenschutzbehörden zu diesem Thema im Auge behalten werden.
III. Zusammenfassung und Praxishinweis
Social Plugins wie der Like-Button bieten einige spannende neue Möglichkeiten. Dennoch sollten bei deren Einbindung die dargestellten datenschutzrechtlichen Bedenken berücksichtigt werden.
Weit verbreitet ist derzeit die Integration eines Datenschutzhinweises, der zwar nicht dem Erfordernis der Zustimmung genügt, gegenüber den Seitenbesuchern aber dennoch eine gewisse Transparenz herstellt. Eine vernünftige Aufklärung würde zunächst aber einmal erfordern, dass Facebook offenlegt, welche Daten von eingeloggten Facebook Nutzern aber auch von Dritten „abgegriffen“ werden.
In jedem Fall ist ein dringender Appell an Facebook zu richten, nicht nur im Hinblick auf den Like Button, sondern auch bei den anderen Social Plugins (wie auch der kürzlich vorgestellten Kommentarfunktion) für deutlich mehr Transparenz zu sorgen. Es ist nicht hinnehmbar, dass weiter unbekannt bleibt, welche Daten diese Plugins eigentlich genau erheben. Erst dies würde Webseitenbetreiber nämlich in die Lage versetzen, die datenschutzrechtlichen Vorgaben zu erfüllen, und die eigenen Seitenbesucher über den Umfang der Datenerhebung zumindest einmal im Detail zu informieren.
Facebook täte sich aus meiner Sicht – gerade im Hinblick auf die Akzeptanz solch perspektivisch interessanter Werkzeuge – selbst einen Gefallen, hier den Bogen nicht zu weit überspannen und alle technisch möglichen (rechtlich aber teilweise fragwürdigen) Möglichkeiten auszuschöpfen.
Webseitenbetreibern, die sich der Social Plugins bedienen wollen, ist mangels Alternativen zu raten, zumindest die umsetzbaren Mindestanforderungen zu erfüllen, d.h. einen entsprechenden Datenschutzhinweis im Sinne des § 13 Abs.1 TMG vorzusehen, der die Besucher zumindest einmal über die jeweilige Funktion und – soweit möglich – die an Facebook übermittelten Daten informiert. Alternativ bliebe nur die – relativ unpraktikable – Lösung, den Facebook Button nur gegenüber den Nutzern anzuzeigen, die dessen Einbindung ausdrücklich zugestimmt haben.
Das Abmahnrisiko hält sich derzeit aus den oben genannten Gründen in überschaubaren Grenzen. Angesichts weit verbreiteter Zweifel an der Einschlägigkeit des § 15 Abs.1 TMG geht der Hinweis, man sei mit der Ergänzung der Datenschutzhinweise auf der (rechts-)sicheren Seite allerdings fehl.
Da sich gerade im datenschutzrechtlichen Umfeld aktuell einiges bewegt, gilt es ansonsten die weitere Entwicklung zu beobachten. Schließlich bleibt zu hoffen, dass die Abmahnungen der Allmedia GmbH (etwa über eine negative Feststellungsklage der abgemahnten Händler) einer Prüfung zugeführt werden, damit hier ein wenig mehr Rechtssicherheit geschaffen wird.
UPDATE 23.03.2011:
Das Landgericht Berlin (Az. 91 O 25/11) hat als erstes deutsches Gericht in einer aktuellen Entscheidung die „Abmahnfähigkeit“ einer datenschutzwidrigen Einbindung des Facebook Like Buttons verneint.
Weiterführend auch:
Verschiebung der Macht – Sind Facebook, Google & Co die neuen „Gesetzgeber“ ?
Einräumung von Nutzungsrechten bei Facebook, Youtube &Co – Auswirkungen für Verbraucher und Unternehmen
FOLGEN SIE MIR AUF TWITTER 
Vielen Dank für diesen Beitrag, sehr spannend. Bei meinen Recherchen habe ich noch einen älteren Beitrag eines Kollegen gefunden:
http://www.thomashelbing.com/de/facebook-social-plugins-datenschutz-bdsg-datenschutzhinweise-privacy-policy-like-button-gefallt-mir
Dort findet sich auch ein „Muster“ für einen möglichen Datenschutzhinweis.
Hallo,
vielen Dank für den Artikel.
Mich interessiert, wie Sie die Verwendung von http://getsociallive.com/ datenschutzrechtlich bewerten. In diesem Falle wird auf der eigenen Internetseite nur ein Link in der Form
<p style=“text-align:left;“ class=“getsocial“><a title=“Like This!“ href=“http://getsociallive.com/gslike.php?likeurl=http%3A%2F%2Ftest.com&liketitle=Test“ rel=“nofollow“ target=“_blank“><img style=“border:0;margin:0;padding:0;“ src=“http://getsocialserver.files.wordpress.com/2010/08/gslk8.png“ width=“49″ height=“23″ alt=“Like This!“ /></a></p>
eingebunden.
Die eigentliche Datenweitergabe erfolgt über die Internetseite http://getsociallive.com/
Sehe ich das richtig, dass bei Nutzung von GetSocialLive die eigene Seite keine personenbezogenen Daten weitergibt, sondern nur GetSocialLive?
Testweise habe ich auf der Seite http://kwheft.wordpress.com/2011/02/09/magst-du-die-facebook-like-schaltflache/ einmal eine Facebook Schaltfläche über GetSocialLive eingebunden.
Vielen Dank
Es werden doch immer neue Wege gefunden abzumahnen. In diesem Fall öffnen sich da viele Türen…
Also die Krativität der Abmahnverdiener kennt keine Grenzen. Warum tut die Gestzgenung da nichts? Bald werden gewöhnliche Verweise auf andere Seiten abgemahnt, denn auch da wird der anderen Seite übermittelt woher man kommt, auch das ist wieder eine Information, und jede Information ist Datenschutzrechtlich bedenklich.
Es wundert mich, dass hier nicht auf den technischen Hintergrund der Sache eingegangen wird, um erstmal festzustellen, ob der Seitenbetreiber die Daten denn überhaupt weitergegeben hat. Denn schon beim Wort „IFrame“ sollte man stutzig werden und erkennen, dass dieser Aufruf nicht vom Seitenbetreiber, sondern vom Benutzer selber angestossen wird. Der Betreiber gibt die Daten nicht weiter, sondern fordert den Browser des Benutzers auf, die Daten weiterzugeben.
Hierbei sollten vorallem „IFrame“, „Facebook“ und „Referrer“ erwähnt werden – alles Sachen, die vom Benutzer explizit oder impliziert verursacht werden. IFrames kann man abschalten, Facebook kann man grundsätzlich sperren (Firewall, HOSTS-Datei) und dass der Referrer übertragen wird ist nur die Standardeinstellung, also auch änderbar, z.B. im Browser Opera – einfach die Taste F12 drücken -> „Referrer übertragen“ deaktivieren. Die meisten Informationen, die ein Browser sendet, kann man auch unterdrücken – entsprechende Tutorials und Tools gibt es im Netz, siehe
https://addons.mozilla.org/de/firefox/addon/modify-headers/
Ich will nicht absprechen, dass der Webshopbetreiber bei solchen Aktionen eine gewisse Sorgfalt an den Tag legen könnte, die die unerfahrenen Nutzer schützt, jedoch lässt sich das Problem nicht auf den einen Shop und nicht auf Facebook reduzieren – Datenschutzbedenken sollte man jeder Zeit haben, wenn man im Internet unterwegs ist. _Jede_ Website, _jeder_ Werbebanner im Internet und jede Googlesuche kann diese Informationen abgraben, sogar verdeckt über ein eingebettetes Bild, oder einen versteckten IFrame – welche dieser Daten bedenklich sind, muss separat analysiert werden. Sicher ist, dass diese Gefahr überall lauert, denn es stecken immer gewerbliche Interessen hinter der Sammelwut.
http://www.heise.de/security/meldung/Das-Zombie-Cookie-1094770.html