Der "Facebook Like-Button" könnte für Webseitenbetreiber - zumindest in Schleswig-Holstein - zum teuren Vergnügen werden. Denn das dortige Unabhängige Landeszentrum für Datenschutz (ULD) forderte heute in einer
Pressemitteilung
"alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den "Gefällt mir"-Button auf ihren Webseiten zu entfernen."
Erfolge dies nicht bis Ende September 2011, werde das ULD weitergehende Maßnahmen ergreifen - bis hin zu Bußgeldverfahren mit möglichen Kosten von maximal 50.000,- Euro.
Das klingt irgendwie martialisch, irgendwie weltfremd - und doch: Nach geltender Rechtslage hat das ULD wohl durchaus Recht:
Die in eine Webseite eingebundene Schaltfläche ändert sich beispielsweise abhängig von der Tatsache, ob ein soeben auf die Seite gelangter Nutzer bei Facebook aktuell eingeloggt ist oder nicht. Dies zeigt, dass bereits beim Aufruf der Webseite Informationen an Facebook gesendet werden. Hierunter befindet sich auch die IP-Adresse des Webseitennutzers. Die Übermittlung der IP-Adresse, die im deutschen Recht teilweise als personenbezogenes Datum betrachtet wird, ist an sich von der Einwilligung des Nutzers nach
§ 4a BDSG (Bundesdatenschutzgesetz) abhängig. Eine solche müsste nach geltendem Recht eigentlich vor Nutzung der Seite und vor Einblendung des Facebook Like-Buttons abgefragt werden. In dem Fall, dass der Besucher der Webseite bei Facebook eingeloggt ist, ist sogar eine direkte Zuordnung des Seitenbesuchs zu dem Kontoinhaber möglich. Dass es sich hierbei um "persönliche Daten" handelt, dürfte insoweit außer Frage stehen.
Es gibt auch schon technische Lösungen, die eine vorherige Abfrage der Einwilligung ermöglichen. Hierzu wird nicht der Facebook-Button selbst eingebaut, sondern nur ein Link darauf, zusammen mit einer entsprechenden Aufklärung, was geschieht, wenn man dem Link folgt. Erst wenn der Nutzer diesen Link anklickt, wird der "echte" Facebook-Button mit seinen Funktionalitäten aufgerufen - und damit auch die Daten an Facebook versendet.
Beispiele hierfür finden sich beim Radiosender SWR3 (zum Beispiel auf
dieser Seite hier) oder bei der Anwaltskanzlei Ferner (z.B. bei
diesem Beitrag). Gepaart ist diese Art der Einbindung immer mit einer entsprechenden Aufklärung darüber in den Datenschutzbestimmungen der Seite.
Es ist aber nach Anschauung des ULD sogar fraglich, ob diese Einwilligung ausreicht - das lese ich jedenfalls aus deren Arbeitspapier (
pdf) zum Thema heraus. Dort werden zunächst die Voraussetzungen einer elektronisch erklärten Einwilligung beschrieben, wonach sichergestellt sein muss, dass
- der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat,
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Anmeldung bei Facebook allein könne nicht als Einwilligung gesehen werden. Das liegt vor allen Dingen daran, dass die Datenschutzbestimmungen von Facebook alles andere als übersichtlich sind, da lediglich auf eine Vielzahl von Dokumenten verwiesen werde, deren Durchsicht keinem Nutzer zuzumuten sei. Es ist demnach nicht klar, in welche Bestimmungen der Nutzer überhaupt einwilligt. Das wird noch dazu durch unklare und vage Formulierungen begleitet, die dazu führen, dass die für eine Einwilligung nötige Transparenz nicht gegeben sei.
Das und noch einige weitere Erwägungen führt das ULD dann zu dem Schluss
"dass die personenbezogene Datenverarbeitung bei Facebook in keinem Fall durch eine nach deutschem bzw. europäischen Recht wirksame Einwilligung legitimiert werden kann."
Denkt man diesen Satz weiter, so ist es dem Betreiber einer Webseite aber ebenfalls nicht möglich, den Nutzer über die mit seiner Einwilligung verbundenen Konsequenzen aufzuklären. Damit wäre auch die Einbindung per doppeltem Klick wohl nicht datenschutzrechtskonform.
Zwar ist die Wahrscheinlichkeit einer wettbewerbsrechtlichen Abmahnung eher als gering einzuschätzen: Das Kammergericht hat mit Urteil vom 29.04.2011, Az.:
5 W 88/11, festgestellt, dass die Nutzung des Buttons im geschäftlichen Verkehr nicht wettbewerbsrechtlich abgemahnt werden könne. Dennoch wurde ein Verstoß gegen
§ 13 TMG (Telemediengesetz) bejaht, so dass jedenfalls ein datenschutzrechtlicher Verstoß vorläge. Und die Aussicht auf ein Bußgeldverfahren gegen die Datenschutzbehörden dürfte jetzt so manchem Webseitenbetreiber den Angstschweiß auf die Stirn treiben. Zunächst in Schleswig-Holstein - doch es ist davon auszugehen, dass auch andere Länder der Einschätzung folgen werden.
Fazit:
Die Einbindung des Facebook Like-it-Buttons ist datenschutzrechtlich derzeit nicht zu empfehlen. Gleiches dürfte gelten für den Google-+1-Button, der nach ersten Informationen ähnlich funktioniert wie sein Facebook-Pendant.
Ich würde mich freuen, wenn hier oder an anderen Stelle eine rechtliche Diskussion stattfinden würde, wie insbesondere andere Juristen die Situation einschätzen.
Das Pottblog hat Dr. Moritz Karg vom ULD beim BarCamp Kiel zum Thema interviewt:
Das sagt die Presse:
Hier gibt es noch einige Reaktionen von Kollegen:
Wenn Sie eine Frage zum Artikel haben...
...stellen Sie sie mir doch einfach:
Sebastian Dosch
Rechtsanwalt und Fachanwalt für IT-Recht
Fon: 06221 8713-400
E-Mail: kanzlei@dosch-digital.de
Skype: kLAWtext
