4. November 2010 - Facebook – „find’ ich gut“?

So lösen Sie das Problem mit dem Like-Button

Was den Datenschutz betrifft, hat Facebook gelinde gesagt keinen überragenden Ruf. Ein Grund mehr für Sie, Vorsicht walten zu lassen, wenn Ihr Unternehmen aus Marketinggründen einen Like-Button auf seiner Webseite installieren will.

so-losen-die-das-problem-mit-dem-like-button.jpeg
Facebook macht mit seinem „Like-Button“ wieder einmal Datenschutz-Schlagzeilen (Bild: facebook.com)

Wäre dieser Button nur ein einfacher Zähler, der keine personenbezogenen Daten erfasst, bestünde aus Sicht des Datenschutzes kein Problem. Da dies aber nicht der Fall ist, ist es notwendig, sich zunächst die Funktion des Buttons einmal genauer anzuschauen.

Was passiert beim Like-Button?

Sofern der Like-Button auf der eigenen Webseite angebracht wird, passiert oberflächlich Folgendes: Ein Benutzer, der bei Facebook eingeloggt ist und auf eine Webseite mit Like-Button kommt, sieht eine Liste seiner Facebookfreunde, die diesen Button angeklickt haben. Er kann sich ihnen anschließen und den Like-Button betätigen. Dies wird dann in seinem Facebookprofil gespeichert. Dort können seine Facebookfreunde wiederum sehen, dass ihm diese Webseite gefällt.

Moderne Mund-zu-Mund-Propaganda

Für den Betreiber ist das eine fast perfekte „Mund-zu-Mund“-Propaganda. Ein derartiger Meinungsaustausch ist natürlich nur möglich, wenn in irgendeiner Form personenbezogene Daten hin und her gesandt werden. Womit wir bei Thema Datenschutz angekommen wären.

Welche Daten werden übermittelt?

Technisch gesehen sorgt der Like-Button dafür, dass zwischen dem Browser des Surfers und Facebook eine Verbindung herstellt wird. Hierbei werden die Daten übermittelt, die bei der Implementierung des Like-Buttons vom Webseitenbetreiber definiert wurden. Dabei handelt es sich um die URL der Seite sowie weitere Angaben, die definieren sollen, was der Surfer mag – der Inhalt des Like-Buttons eben. Sobald ein Facebookuser den Button anklickt, werden die entsprechenden Daten zu seinem Profil hinzugefügt.

Hierbei hat der User allerdings keine direkte Kontrolle, was in seiner „Like-It-Liste“ auftaucht. Er muss sich darauf verlassen, dass die Hintergrundinformation des Buttons mit der auf der Webseite angezeigten Information übereinstimmt.

Die zuständige Aufsichtsbehörde ist informiert

Dieser Ablauf gilt für die Surfer, die während des Surfens einen Facebook-account geöffnet haben. Allerdings findet die Registrierung der jeweiligen URL und der IP-Adresse des Surfers auch dann statt, wenn er nicht in Facebook eingeloggt ist.

Aus diesem Grund hat das Hamburger Stadtportal den Like-Button zumindest zeitweilig von seiner Seite entfernt und die für Facebook zuständige Aufsichtbehörde informiert.

Inwiefern ist der Betreiber der Webseite betroffen?

Da die Daten eigentlich nicht über die Webseite selbst erfasst werden, könnte man annehmen, der Betreiber der Webseite sei im Sinne des Datenschutzes überhaupt nicht betroffen.

Ganz so einfach ist es leider nicht. Durch die Installation des Like-Buttons erfährt Facebook personenbezogene Daten über angemeldete Facebookmitglieder, nämlich die Tatsache, dass sie eine bestimmte Webseite besucht haben. Diese Daten sind eindeutig personenbezogen, da Facebook entsprechende Informationen über seine registrierten Benutzer vorliegen.

Der Webseitenbetreiber benötigt eine Erlaubnis für die Datenübermittlung

Betätigt ein User den Button, werden weitere Daten übermittelt. Hier ist der Betreiber betroffen: Er muss gemäß § 4 BDSG nachweisen, dass er eine Erlaubnis besitzt, diese Daten zu übermitteln.

Eine Einwilligung scheidet aus praktischen Gründen aus. Kaum ein Facebookuser würde den Button anklicken, wenn er vorher eine recht komplizierte Einwilligung akzeptieren müsste. Darüber hinaus müsste sich der Nutzer auch noch bei der entsprechenden Webseite registrieren, da sonst die Einwilligung nicht zuzuordnen wäre.

Der Button ist ein Teledienst

Als Erlaubnisnorm wird stattdessen der § 15 Abs. 1 Telemediengesetz (TMG) herangezogen.

Hier geht man davon aus, dass die Nutzung des Like-Buttons ein Teledienst ist. Die übermittelten Informationen (URL und die Zusatzinformationen der Webseite) sind hierbei nötig, um den Dienst in Anspruch zu nehmen. Er besteht ja eben darin, bekannt zu machen, dass der Facebookuser eine bestimmte Sache gut findet.

Facebook und die Datenverarbeitung im Ausland

Da die Server der Firma Facebook im Ausland, nämlich in den USA stehen, bleibt zu prüfen, ob die Daten dorthin übermittelt werden dürfen.

Der Hinweis, dass Facebook sich in seinen Datenschutzbestimmungen eine Zustimmung zur Datenverarbeitung in den USA gestatten lässt, hilft dem Betreiber einer deutschen Webseite nicht wirklich weiter. Allenfalls könnte man, eher moralisch, argumentieren, dass der Facebookuser über den Ort der Verarbeitung der Daten informiert sein müsste.

Facebook ist immerhin dem Safe-Harbor-Abkommen beigetreten

Da die USA von der EU-Kommission nicht als datenschutzrechtlich sicheres Drittland eingestuft werden, fehlt es an einer Erlaubnis, die Daten in die USA zu übermitteln. Hier hilft dann allerdings, dass Facebook dem Safe-Harbor-Abkommen beigetreten ist. Nach der Rechtsauffassung der EU reicht dies aus, um das notwendige Datenschutzniveau sicherzustellen.

Allerdings nehmen die Aufsichtsbehörden für den nichtöffentlichen Bereich die übermittelnde Stelle jetzt stärker in die Pflicht und verlangen zusätzliche Prüfungen (siehe den Artikel „Safe Harbor: Dokumentieren Sie die Überprüfung Ihres Datenimporteurs„).

Zum Schluss: Notwendige Datenschutzhinweise

Die Verwendung des Like-Buttons muss der Webseitenbetreiber in den Datenschutzhinweisen in allgemein verständlicher Form erläutern. Nach § 13 Abs. 1 TMG ist er dazu verpflichtet, den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung seiner Daten zu informieren. Auch die Übermittlung in Staaten außerhalb der EU und des EWR muss er erwähnen.

Also muss dort erklärt werden, welche Daten durch den Button in die USA übermittelt werden und wie dies allgemein technisch gestaltet ist. Darüber hinaus wäre der Hinweis hilfreich, welche Möglichkeiten bestehen, die Übermittlung zu vermeiden. Des Weiteren kann es sinnvoll sein, auf die Datenschutzregelungen von Facebook selbst hinzuweisen.

Textvorschläge für Datenschutzhinweise zum Like-Button finden Sie online unter www.datenschutz-praxis.de/fachwissen/vorlagen/muster.

Aber Achtung: Facebook ändert sein Vorgehen immer wieder. Daher ist es unerlässlich, sich stets über den aktuellen Stand zu informieren. Auch eine Aussage der Aufsichtsbehörde, an der man sich orientieren könnte, steht noch aus.

Jochen Brandt
Diplom-Wirtschafts- und Arbeitsjurist (HWP) Jochen Brandt ist als selbstständiger Trainer und Berater mit dem Schwerpunkt Datenschutz tätig (www.brandtschutz.de).

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln